|
sms-tan verfahren wirkilch so sicher?
Hallo,
kürzlich bekam ich ein Schreiben von meiner Bank in dem mir mitgeteilt wurde das zukünftig, bei Verwendung des Papierlisten-Tan-Verfahrens ein Limit pro Tag gesetzt wird. Man empfahl mir stattdessen das SMS-Tan-Verfahren weil dieses viel sicherer sei. Ich hab mich jetzt natürlich gefragt warum dieses viel sicherer sein soll und kam zur umgekehrten Erkenntnis. Ich weiß von niemandem wo er seine Papier-Tanliste aufbewahrt aber die Handys von irgendwelchen Leuten in die Finger zu bekommen ist überhaupt kein Problem (liegt in Kaffees auf dem Tisch, bei Freunden bekannten irgendwo auf dem Tisch oder Schrank in der Wohnung etc.). Entsprechend ist es doch viel leichter das Handy zu bekommen worauf die Tans gesendet werden als die Papierliste mit den Tans zu finden. Warum ist also das SMS-Tan-Verfahren so viel sicherer eingestuft? Wäre schön wenn sich jemand dazu äußern könnte der beide Verfahren praktisch kennt und nicht nur, wie ich, darüber gehört hat. |
AW: sms-tan verfahren wirkilch so sicher?
Die TAN-Liste befindet sich ja nicht auf dem Handy, sondern die TAN wird einem aufs Handy geschickt.
Über die Sicherheit kann man sich streiten; HBCI(Chipkarte) ist auf jeden Fall sicherer. |
AW: sms-tan verfahren wirkilch so sicher?
Ja eben, wenn ich also das Handy von jemandem entwende werden dann mir seine Tans zugeschickt.
- Zettel-Tan-Verfahren: Ich benötige die Tan-Liste + Zugang zum Onlinebanking - SMS-Tan-Verfahren: Ich benötige das Handy des anderen + Zugang zum Onlinebanking die Faktoren die sich meines Wissens unterscheiden sind somit nur das ich in dem einen Fall das Handy benötige, im anderen Fall die Tan-Liste. Und wie gesagt finde ich es einfacher an das Handy von jemandem ran zu kommen als sein Tan-Liste zu finden. (Handy tragen die meisten durch die ganze Welt während die Papierliste irgendwo gut verstaut ist) |
AW: sms-tan verfahren wirkilch so sicher?
Wenn ich das damals bei meiner Bank richtig verstanden habe, dann darf zwischen Empfang und Benutzung der SMS Tan nur eine bestimmte - sicher sehr kurz gehaltene Zeit vergehen, bevor diese nimmer funktioniert.
[Edit]Ausserdem wirst du dein Handy sicher gleich Griffbereit neben dir zu liegen haben wenn du eine Überweisung machst und auf die Tan wartest. |
AW: sms-tan verfahren wirkilch so sicher?
Das wäre ja kein Hindernis wenn ich das Handy von jemandem entwende. Meine Überlegung ist eben das es leichter ist das Handy (Tan-Empfänger) von jemandem zu bekommen als an die Papierliste ran zu kommen.
|
AW: sms-tan verfahren wirkilch so sicher?
Was kein Hindernis ist, wenn ich das Handy entwendet habe. Ich finde die Argumentation des TE sehr einleuchtend, und würde auch weiterhin meine Papierliste bevorzugen.
\Edit: Redbox ist ja immernoch im Urlaub :) |
AW: sms-tan verfahren wirkilch so sicher?
Allerdings würde ich garnet erst die Tan anfordern wenn mein Handy weg wäre :stupid:
Aber stimmt schon, Sicherheit würde ich auch anders definieren. Aber bisher habe ich mir darüber noch keine Gedanken gemacht, da meine Frau die Überweisungen macht. Und wenn was schiefgehen sollte ist sie halt Schuld :mrgreen: |
AW: sms-tan verfahren wirkilch so sicher?
Es geht ja auch nicht darum, ob Du als Kontoinhaber die TAN anforderst, sondern derjenige, der Dein Handy besitzt, sofern er auch Deine Zugangsdaten in Erfahrung bringen konnte.
|
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
Wenn ich bösartiges beabsichtigen will wäre ich nach meinem jetzigen Wissen erfreuter wenn jemand das SMS-Tan verfahren verwendet weil ich dann nur sein Handy benötige + Zugang zum Onlinebanking. Wenn jemand das Papier-Tan-Verfahren verwendet müsste ich erstmal in Erfahrung bringen wo derjenige seine Tan-Liste aufbewahrt. Im Moment kann ich mir noch nicht erklären warum das sms-tan-verfahren als sicherer eingestuft wird. |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
|
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
|
AW: sms-tan verfahren wirkilch so sicher?
.. ich habe auf ChipTan (comfort) umgestellt.
Meine Bank stellt auch das Papiertanverfahren in Kürze ein. Es gab als Alternative nur sms-Tan oder ChipTan. Da war mir ChipTan sympatischer. Grüße Klaus |
AW: sms-tan verfahren wirkilch so sicher?
wäre eine Variante. Aber auch bei der Papiervariante muss ich die angeforderte Tan innerhalb weniger Minuten eingeben (mir wird zum Beispiel gesagt das ich für die Transaktion Tan Nr. 54 von 100 möglichen eingeben muss)
@Klaus: genau das hat mich zu diesem Thema veranlasst. Ich kann einfach nicht nachvollziehen warum das Papierferfahren dem sms-Verfahren weichen muss. |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
(ok, abgesehn von denen für die Herstellung des Handys, der Telefonmasten, des nötigen Stroms usw.) |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
Das ist für uns IT-Heinies, die ständig um Sicherheit bemüht sind vielleicht schwer nachzuvollziehen, aber es soll tatsächlich Deppen unbedarfte Nutzer geben, die auf die Anforderung "Bitte geben Sie zur Kontrolle 10 unverbrauchte TANs ein" reagieren. Mach das mal, wenn du jeweils nur EINE TAN kriegst, wenn du eine Anfrage an deine Bank stellst. |
AW: sms-tan verfahren wirkilch so sicher?
Das SMS-Tan-Verfahren ist nicht umbedingt sicherer als andere Verfahren. Die Sicherheit kommt vor alllem daher, dass es eine zweistufige Authentifizierung ist. Erst muss man Benutzername und Passwort eingeben - danach kommt die TAN.
Das heisst, dass beim hypothetischen Handy-Klau erst einmal das Passwort bekannt sein muss, bevor überhaupt das geklaute Handy zum Zuge kommen kann. Zugegeben, es ist je nachdem gar noicht so schwer an das Passwort zu kommnem (z.B über einen Keylogger). Insofern macht es auch keinen grossen Unterschied ob man eine Streichliste, ein RSA-Token oder ein Handy klaut... Zugegeben es ist wahrscheinlich einfacher an ein Handy eines bekannten ranzukommen, allerdings glaube ich nicht, dass ein Handyklau lange unbemerkt bleiben würde. Weil ja da die meisten Leute es in der Regel bei sich tragen und es bemerken würden wenn das Ding plötzlich nicht mehr da ist. Man sollte dann schnell genug reagieren die Bank bzw. das Unternehmen dann kontaktieren und den Zugang sperren lassen. Auserdem müsste der hypotetische Verbrecher sehr vorsichtig sein weil das Handy geortet werden kann und weil auch das waschen des Geldes nicht umbedingt ganz einfach ist - man kann (also die Justiz) schliesslich zurückverfolgen wohin das Geld fliesst... |
AW: sms-tan verfahren wirkilch so sicher?
Das zur Zeit sicherste Online-Verfahren (absolut sicher gibt es eh nicht) ist und bleibt HBCI mit ChipCard und einem Class2/3 Lesegerät.
Alle anderen Verfahren mit TAN (wo auch immer die herkommen) sind anfällig für Phishing-Attacken (die wollen ja eine TAN haben). Hat man keine TAN (bei HBCI mit ChipKarte gibt es keine TANs) kann man auch keine weitergeben ;) Jeder der etwas anderes benutzt soll bitte nicht nachher weinen, weil die Kohle flöten ist. Und wenn meine Hausbank das nicht anbieten kann, dann muss ich mich fragen, warum ich bei denen bin. (Ist für mich immer ein K.O.-Kriterium bei der Bank-Wahl gewesen, seit es HBCI mit ChipCard gibt) |
AW: sms-tan verfahren wirkilch so sicher?
Ausgenommen dem Pishing-Beitrag sind das alles keine Argumnente für die SMS-TAN. Meine TAN Liste liegt Zuhause gut verstaut, da kommt so leicht keiner dran.
Wenn ich mich als für klug genug halte um solche Pishingversuche zu erkennen und die Zettel-TAN eben gut verstaut bei mir aufbewahre, hat Sir Thornberry imho recht, wenn er behauptet die Zettel-TAN ist sicherer. Zurückverfolgt werden, wo das Geld hingeht, kann die Justiz in beiden Fällen ;) Interessant ist das mit der Ortung: Wenn ich nur eine TAN-bekäme wenn mein Handy geortet werden kann und diese Ortung gespeichert würde / sich in einem definierten Radius um eine von mir vorgegebene GPS-Koordinate befindet, wäre das sicher noch ein sicherer Schritt, kollidiert da aber stark mit dem Datenschutz und hat den faden Beigeschmack dass ein Handy nunmal nicht immer ortbar ist, auch wenn gps aktiv ist.... [Edit] ODer halt direkt die bessere Variante ohne TAN ;) Gruß Ansgar |
AW: sms-tan verfahren wirkilch so sicher?
Öh..HBCI mit Chipcard? Sind damit die verfahren gemeint, bei denen ich onlinen einen zahlencode bekomme(nach dem einloggen), bei mir vorm monitor die karte in ein offline lesegerät einstecke und den code eingebe um den zeitlich beschränkten Tan zu bekommen o.O(wäre dass was ich habe)
|
AW: sms-tan verfahren wirkilch so sicher?
Handy + Kontonummer != Kontozugang
Da fehlt noch mindestens das Passwort zum Einloggen. Bei meiner Bank ist es sogar so, daß man sich nicht mit der Kontonummer anmeldet, sondern mit einem Usernamen. Was ich an dem SMS-Verfahren nicht so doll finde ist die Usability. Chipkarte/Lesegerät finde ich zu teuer, und ganz ehrlich, für den Privatgebrauch zu unhandlich/aufgeplustert. Ich hab doch mehrere Wochen Zeit unlautere Buchungen zu stornieren. Verantwortungsvollen Umgang mit dem eigenen Konto sollte man schon pflegen, dann kann in der Regel kaum was schief gehen. Sherlock |
AW: sms-tan verfahren wirkilch so sicher?
Da die Sicherheit beider Verfahren wahrscheinlich als gleich eingeschätzt wird (ich persönlich halte das SMS-Verfahren für unsicherer, da das Handy leichter in falsche Hände geraten kann), würde ich sagen, dass das Hauptargument FÜR das SMS-Verfahren auf Seiten der Bank liegt: Geld sparen durch weniger Papier.
Nun, die Umwelt freuts und die Datensicherheit wird wohl nicht übermäßig verschlechtert... |
AW: sms-tan verfahren wirkilch so sicher?
@Sherlock: Öh, die Lesegeräte gibts bei unserer bank für nen Obulus und sind so breit/lang wie die kontokarte una haben vllt 1cm höhe o.O
MFG Memnarch |
AW: sms-tan verfahren wirkilch so sicher?
Und dennoch zahlst Du für die Kontoführung inklusive aller gängigen Karten und Zinsen aufs Girokonto nix? Dann ist das wohl Ok.
Sherlock |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
 HBCI mit ChipCard |
AW: sms-tan verfahren wirkilch so sicher?
darf ich mal IMSI-Catcher in den Raum werfen?
Fast jeder kann mit Hilfe von Internet & Co. so ein Ding bauen. Und da finde ich die Post doch sicherer als irgend ein Handy (für das ja mittlerweile auch Trojaner programmiert werden) |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
Wenn ich unterwegs bin und ich brauche aus irgendeinem Grund eine TAN - was mache ich dann??? Aus diesem simplen Grund wird die SMS-TAN eingeführt. Man muss sie nicht nutzen - aber man kann!!! Zitat: Vorteile der mobileTAN * Beim Login zum noris Onlinebanking entscheiden Sie, ob Sie eine mobileTAN oder eine TAN von Ihrer iTAN Liste benutzen möchten. * Statt eine TAN von der iTAN-Liste nutzen zu müssen, erhalten Sie die mobileTAN auf Ihr Handy. * Die angeforderte mobileTAN kann immer nur für den Auftrag genutzt werden, für die sie angefordert wurde. Für weitere Vorgänge ist sie ungültig und somit für andere wertlos. DEMO: |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
Wenn ich mit meinem ANDROID-PAD über ein UMTS-Modem ins Internet gehe, kann ich mir anzeigen lassen, WO ICH BIN: Strasse und Hausnummer stimmen - da habe ich echt gestaunt!!! |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
|
AW: sms-tan verfahren wirkilch so sicher?
Habt Ihr eigentlich alle Eure Handys nicht gegen unbefugte Benutzung mit einer (anderen) PIN gesichert?
|
AW: sms-tan verfahren wirkilch so sicher?
Bei Smartphones mag das gehen, aber mein Telefon fragt die PIN nur dann ab, wenn ich es einschalte. Solange es an ist, ist keine PIN nötig.
|
AW: sms-tan verfahren wirkilch so sicher?
Tatsächlich hatte bislang *jedes* meiner Mobiltelefone so eine Funktion...
|
AW: sms-tan verfahren wirkilch so sicher?
Aber wie Daniel schon geschrieben hat, das nützt dir nichts, wenn dir das Telefon im eingeschalteten Zustand abhanden kommt - zumindest ist es auch bei meinem so, deswegen habe ich erst keine PIN eingerichtet, weil da eh keine sensiblen Daten drauf sind (nur Telefonnummern im Adressbuch) und ich eine Prepaid Karte ohne Vertrag benutze. Es können also auch keine teuren Gespräche geführt werden, wenn es mir abhanden kommt.
|
AW: sms-tan verfahren wirkilch so sicher?
Ich habe gerade mal geschaut, ich könnte es mit einer PIN-Sperre versehen, die immer aktiv ist und vor jeder Aktion mit dem Gerät eine PIN verlangt.
Es würde die Sicherheit erhöhen - aber der Komfort hätte sich damit für mich erledigt. |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
|
AW: sms-tan verfahren wirkilch so sicher?
Ja, und deswegen habe ich meinen TAN-Zettel zuhause liegen. ;-)
|
AW: sms-tan verfahren wirkilch so sicher?
Also ich finde das SMS-TAN-Verfahren für mich perfekt, weil ich auf meinen Dienstreisen so meine Bankgeschäfte abwickeln kann ohne irgendwelche Geräte mitschleppen zu müssen, die ich nicht eh dabei habe. Deshalb kam das HBCI-Verfahren für mich nicht in Frage. Die Sicherheitsbedenken finde ich sehr weit hergeholt. Wie hat man sich das vorzustellen: Da späht zunächst mal jemand die Zugangsdaten aus und dann schleicht er solange hinter mir her, bis ich mein Handy irgendwo liegen lasse? Also bitte!
Da scheint mir doch wahrscheinlicher das eine Einbrecher bei mir zuhause die TAN-Liste klaut - an die selbstverständlich - wegen der besseren Übersicht - auch gleich die Zugangsdaten angeheftet sind. |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
http://de.wikipedia.org/wiki/IMSI-CatcherDafür brauchst du dein Handy nicht irgendwo liegen lassen, sondern die Personen loggen einfach den Mobilfunkverkehr... |
AW: sms-tan verfahren wirkilch so sicher?
Zitat:
Ich sehe das ähnlich wie samso. Die meisten gehen hier davon aus, dass gezielt ihr Account angegriffen würde. Davon hätte ich tatsächlich noch nie gehört. Was eben ständig passiert ist Phishing und das ist mit SMS-TAN nahezu unmöglich. So. Und SELBST WENN die TAN abgehört wird, ist der Gag an der SMS-TAN ja nun, dass die Transaktionsgebunden ist, sprich die funktioniert nur für genau die Überweisung, für die sie angefordert wurde. Was genau soll jetzt ein Angreifer damit anfangen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:52 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz