xTAN gegen Phishing: sicherer als iTAN, einfacher als mTAN

Dieses Thema im Forum "Sicherheit" wurde erstellt von scharf, 14. September 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. scharf

    scharf ROM

    Registriert seit:
    13. September 2005
    Beiträge:
    2
    iTAN ist kein sicheres Verfahren gegen Phishing-Angriffe: iTAN-Verfahren unsicherer als von Banken behauptet und Forschungsgruppe der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren

    Nach einigem Überlegen bin ich auf ein einfaches und sicheres Verfahren gekommen, das xTAN-Verfahren:

    Die TANs enthalten neben Ziffern auch Buchstaben z.b. 456D5A4E (deren position zufällig gewäht ist). Die Buchstaben müssen vom Kunden durch Ziffern an den angegebenen Positionen in der Bankleitzahl und Kontonummer ersetzt werden.

    Beispiel: der Kunde überweist auf folgendes Konto
    Code:
    BLZ 12[COLOR=Red]3[/COLOR]45678 Konto 098[COLOR=Blue]7[/COLOR]65431
        AB[COLOR=Red]C[/COLOR]DEFGH       IJK[COLOR=Blue]L[/COLOR]MNOPQ
    
    Er wählt eine beliebige TAN (z.b. 123C56L) und muss die Buchstaben mit Ziffern aus den Kontodaten ersetzen: 1234567
    Da die Buchtsaben zufälig in der TAN sind, kann ein Angreifer aufgrund der eingegebenen TAN nicht wissen welche Ziffern ursprünglich Buchstaben waren. Die Bank kann leicht die übertragenen Kontodaten mit den Ziffern in der TAN vergleichen. (D.h. wenn der Angreifer auf ein anderes Konto übereisen will, stimmen die ersetzten Ziffern nicht!)

    Der einzig mögliche Angriff wäre, dass ein Script beobachtet, wann der Nutzer beim Eingeben "nachdenkt" und daraus könnte man schliessen, wo die Buchstaben sind. Aber das dürfte nicht allzu leicht sein.

    Ich nenne das Verfahren xTAN-Verfahren (für eXchange TAN).

    Falls Sie eine frühere Beschreibung dieses Verfahrens kennen, informieren Sie mich bitte: xTAN@scharf-software.de.

    Falls Sie das xTAN-Verfahren einsetzen wollen, informieren Sie mich bitte: xTAN@scharf-software.de!

    Michael Scharf
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
  3. scharf

    scharf ROM

    Registriert seit:
    13. September 2005
    Beiträge:
    2
    Danke fuer den hinweis. Es ging mir hier nicht um das werben meiner homepage sondern umd die sache....
     
  4. NickNack

    NickNack Megabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    1.667
    Und die ist folgende:
    http://de.wikipedia.org/wiki/HBCI
     
  5. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.472
    > Es ging mir hier nicht um das werben meiner homepage sondern umd die sache...

    Nee, es ging dir um eine Referenz deiner Veröffentlichung...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen