1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

xTAN gegen Phishing: sicherer als iTAN, einfacher als mTAN

Discussion in 'Sicherheit' started by scharf, Sep 14, 2005.

Thread Status:
Not open for further replies.
  1. scharf

    scharf ROM

    iTAN ist kein sicheres Verfahren gegen Phishing-Angriffe: iTAN-Verfahren unsicherer als von Banken behauptet und Forschungsgruppe der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren

    Nach einigem Überlegen bin ich auf ein einfaches und sicheres Verfahren gekommen, das xTAN-Verfahren:

    Die TANs enthalten neben Ziffern auch Buchstaben z.b. 456D5A4E (deren position zufällig gewäht ist). Die Buchstaben müssen vom Kunden durch Ziffern an den angegebenen Positionen in der Bankleitzahl und Kontonummer ersetzt werden.

    Beispiel: der Kunde überweist auf folgendes Konto
    Code:
    BLZ 12[COLOR=Red]3[/COLOR]45678 Konto 098[COLOR=Blue]7[/COLOR]65431
    AB[COLOR=Red]C[/COLOR]DEFGH       IJK[COLOR=Blue]L[/COLOR]MNOPQ
    Er wählt eine beliebige TAN (z.b. 123C56L) und muss die Buchstaben mit Ziffern aus den Kontodaten ersetzen: 1234567
    Da die Buchtsaben zufälig in der TAN sind, kann ein Angreifer aufgrund der eingegebenen TAN nicht wissen welche Ziffern ursprünglich Buchstaben waren. Die Bank kann leicht die übertragenen Kontodaten mit den Ziffern in der TAN vergleichen. (D.h. wenn der Angreifer auf ein anderes Konto übereisen will, stimmen die ersetzten Ziffern nicht!)

    Der einzig mögliche Angriff wäre, dass ein Script beobachtet, wann der Nutzer beim Eingeben "nachdenkt" und daraus könnte man schliessen, wo die Buchstaben sind. Aber das dürfte nicht allzu leicht sein.

    Ich nenne das Verfahren xTAN-Verfahren (für eXchange TAN).

    Falls Sie eine frühere Beschreibung dieses Verfahrens kennen, informieren Sie mich bitte: xTAN@scharf-software.de.

    Falls Sie das xTAN-Verfahren einsetzen wollen, informieren Sie mich bitte: xTAN@scharf-software.de!

    Michael Scharf
     
    scharf, Sep 14, 2005
    #1
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    TheD0CT0R, Sep 15, 2005
    #2
  3. scharf

    scharf ROM

    Danke fuer den hinweis. Es ging mir hier nicht um das werben meiner homepage sondern umd die sache....
     
    scharf, Sep 15, 2005
    #3
  4. NickNack

    NickNack Megabyte

    Und die ist folgende:
    http://de.wikipedia.org/wiki/HBCI
     
    NickNack, Sep 15, 2005
    #4
  5. kalweit

    kalweit Hüter der Glaskugel

    > Es ging mir hier nicht um das werben meiner homepage sondern umd die sache...

    Nee, es ging dir um eine Referenz deiner Veröffentlichung...
     
    kalweit, Sep 15, 2005
    #5
Thread Status:
Not open for further replies.

Share This Page