Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.sci.electronics > #325468 > unrolled thread

iTAN vs Elektronik

Back to article view | Back to de.sci.electronics

Contents

  iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-25 17:28 +0200
    Re: iTAN vs Elektronik Wolfgang Martens <na3506b2013@t-online.de> - 2022-08-25 18:17 +0200
      Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-25 18:25 +0200
        Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-08-26 22:40 +0200
          Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-26 23:38 +0200
            Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-08-31 15:48 +0200
              Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-31 16:08 +0200
                Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-01 02:27 +0200
                  Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-01 12:23 +0200
                  Re: iTAN vs Elektronik Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2022-09-01 20:40 +0200
                    Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-02 09:04 +0200
                    Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-02 09:09 +0200
                      Re: iTAN vs Elektronik Hergen Lehmann <hlehmann.expires.5-11@snafu.de> - 2022-09-02 12:43 +0200
                      Re: iTAN vs Elektronik Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2022-09-03 00:22 +0200
                        Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-10 17:22 +0200
                      Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-10 17:20 +0200
                    Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-10 17:19 +0200
    Re: iTAN vs Elektronik Hergen Lehmann <hlehmann.expires.5-11@snafu.de> - 2022-08-25 20:41 +0200
      Re: iTAN vs Elektronik Thomas Einzel <usenet-2022@einzel.de> - 2022-08-25 22:49 +0200
        Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-25 23:02 +0200
        Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-25 23:04 +0200
          Re: iTAN vs Elektronik Thomas Einzel <usenet-2022@einzel.de> - 2022-08-26 00:09 +0200
        Re: iTAN vs Elektronik Hergen Lehmann <hlehmann.expires.5-11@snafu.de> - 2022-08-26 10:08 +0200
          Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-26 11:39 +0200
          Re: iTAN vs Elektronik Thomas Einzel <usenet-2022@einzel.de> - 2022-08-26 14:36 +0200
            Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-26 16:49 +0200
          Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-26 18:10 +0200
            Re: iTAN vs Elektronik Martin Gerdes <martin.gerdes@gmx.de> - 2022-08-28 22:28 +0200
              Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-29 09:03 +0200
                Re: iTAN vs Elektronik Martin Gerdes <martin.gerdes@gmx.de> - 2022-08-31 01:38 +0200
        Re: iTAN vs Elektronik Hans-Peter Diettrich <DrDiettrich1@aol.com> - 2022-08-26 15:09 +0200
          Re: iTAN vs Elektronik Jürgen Jänicke <post@j-jaenicke.de> - 2022-08-26 16:48 +0200
          Re: iTAN vs Elektronik "Bernd W." <lesichnicht@gmx.com> - 2022-08-28 17:53 +0200
            Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-08-30 14:57 +0200
              Re: iTAN vs Elektronik Hergen Lehmann <hlehmann.expires.5-11@snafu.de> - 2022-08-30 18:23 +0200
                Re: iTAN vs Elektronik Hans-Peter Diettrich <DrDiettrich1@aol.com> - 2022-08-30 19:36 +0200
                Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-30 21:18 +0200
                  Re: iTAN vs Elektronik Hergen Lehmann <hlehmann.expires.5-11@snafu.de> - 2022-08-30 23:38 +0200
                    Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-31 09:17 +0200
                Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-08-31 13:16 +0200
                  Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-31 14:02 +0200
                    Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-08-31 19:31 +0200
                      Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-01 01:18 +0200
                        Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-01 02:33 +0200
                        Re: iTAN vs Elektronik Hanno Foest <hurga-news2@tigress.com> - 2022-09-01 10:13 +0200
                          Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-01 10:59 +0200
                            Re: iTAN vs Elektronik Hanno Foest <hurga-news2@tigress.com> - 2022-09-01 11:54 +0200
                              Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-01 13:02 +0200
                                Re: iTAN vs Elektronik Alexander Schreiber <als@usenet.thangorodrim.de> - 2022-09-09 15:27 +0200
                                  Re: iTAN vs Elektronik Marte Schwarz <marte.schwarz@gmx.de> - 2022-09-10 07:17 +0200
                                    Re: iTAN vs Elektronik Juergen <schreibsklave@web.de> - 2022-09-10 12:23 +0200
                          Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-10 17:26 +0200
                            Re: iTAN vs Elektronik Hanno Foest <hurga-news2@tigress.com> - 2022-09-10 23:57 +0200
                              Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-09-11 02:21 +0200
                                Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-09-11 08:48 +0200
                                  Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-09-11 11:32 +0200
                                Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-11 12:50 +0200
                                  Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-12 00:09 +0200
                                    Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-09-12 08:09 +0200
                                      Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-12 08:54 +0200
                                        Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-12 09:21 +0200
                                          Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-12 09:51 +0200
                                          Re: iTAN vs Elektronik Hans-Peter Diettrich <DrDiettrich1@aol.com> - 2022-09-12 10:18 +0200
                                        Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-12 14:49 +0200
                                      Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-12 20:30 +0200
                                        Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-12 21:05 +0200
                                          Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-12 22:06 +0200
                                            Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-12 22:30 +0200
                                            Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-09-12 23:56 +0200
                                              Re: iTAN vs Elektronik Hanno Foest <hurga-news2@tigress.com> - 2022-09-13 01:00 +0200
                                                Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-13 09:43 +0200
                                                  Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-13 13:07 +0200
                                                    Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-09-13 14:20 +0200
                                                      Re: iTAN vs Elektronik Thomas Prufer <prufer.public@mnet-online.de.invalid> - 2022-09-13 14:35 +0200
                                                      Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-13 15:32 +0200
                                                      Internationale Bestellungen (was Re: iTAN vs Elektronik "Wolfgang Allinger" <all2001@spambog.com> - 2022-09-13 19:32 -0400
                                                        Re: Internationale Bestellungen (was Re: iTAN vs Elektronik Thomas Prufer <prufer.public@mnet-online.de.invalid> - 2022-09-14 08:14 +0200
                                                          Re: Internationale Bestellungen (was Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-14 09:52 +0200
                                                        Re: Internationale Bestellungen (was Re: iTAN vs Elektronik Frank Scheffski <usenet@alles-moppelkotze.de> - 2022-09-14 19:47 +0200
                                                          Re: Internationale Bestellungen (was Re: iTAN vs Elektronik "Wolfgang Allinger" <all2001@spambog.com> - 2022-09-15 07:20 -0400
                                                            Re: Internationale Bestellungen (was Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-09-15 14:16 +0200
                                                              Re: Internationale Bestellungen (was Re: iTAN vs Elektronik Frank Scheffski <usenet@alles-moppelkotze.de> - 2022-09-15 21:46 +0200
                                                                Re: Internationale Bestellungen (was Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-09-15 23:50 +0200
                                                    Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-09-13 16:20 +0200
                                                      Re: iTAN vs Elektronik Hanno Foest <hurga-news2@tigress.com> - 2022-09-13 17:42 +0200
                                                      Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-09-13 17:54 +0200
                                                      Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-14 09:34 +0200
                                                    Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-14 09:18 +0200
                                                  Re: iTAN vs Elektronik Guido Grohmann <guido.grohmann@gmx.de> - 2022-09-13 18:39 +0200
                                                    Re: iTAN vs Elektronik "Wolfgang Allinger" <all2001@spambog.com> - 2022-09-13 19:35 -0400
                                        Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-09-12 22:52 +0200
                                    Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-12 14:35 +0200
                        Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-01 10:59 +0200
                          Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-02 08:39 +0200
                            Re: iTAN vs Elektronik Holger Schieferdecker <spamless@gmx.de> - 2022-09-22 10:04 +0200
                        Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-01 12:13 +0200
                          Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-01 13:03 +0200
                  Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-31 14:17 +0200
              Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-08-31 15:51 +0200
                Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-08-31 19:36 +0200
                  Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-01 01:16 +0200
                  Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-09-01 01:19 +0200
                    Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-01 02:38 +0200
                    Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-01 11:07 +0200
                      Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-10 18:54 +0200
                        Re: iTAN vs Elektronik Marc Haber <mh+usenetspam1118@zugschl.us> - 2022-09-11 10:57 +0200
                          Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-11 11:27 +0200
        Re: iTAN vs Elektronik Marcel Mueller <news.5.maazl@spamgourmet.org> - 2022-08-27 17:42 +0200
          Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-27 19:24 +0200
            Re: iTAN vs Elektronik Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2022-08-27 20:56 +0200
              Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-27 23:01 +0200
                Re: iTAN vs Elektronik Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2022-08-28 20:45 +0200
              Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 09:39 +0200
              Re: iTAN vs Elektronik Marcel Mueller <news.5.maazl@spamgourmet.org> - 2022-08-28 11:59 +0200
                Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 12:41 +0200
          Re: iTAN vs Elektronik Heinz Schmitz <HeinzSchmitz@kra.org> - 2022-08-27 19:54 +0200
            Re: iTAN vs Elektronik Karl Schippe <Karl.Schippe@mail.invalid> - 2022-08-30 09:19 +0200
          Re: iTAN vs Elektronik Thomas Einzel <usenet-2022@einzel.de> - 2022-08-27 22:20 +0200
            Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-27 23:12 +0200
              Re: iTAN vs Elektronik Thomas Einzel <usenet-2022@einzel.de> - 2022-08-28 00:11 +0200
                Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-28 11:54 +0200
                  Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-08-28 13:00 +0200
              Re: iTAN vs Elektronik Marcel Mueller <news.5.maazl@spamgourmet.org> - 2022-08-28 12:03 +0200
            Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 10:23 +0200
              Re: iTAN vs Elektronik Marcel Mueller <news.5.maazl@spamgourmet.org> - 2022-08-28 12:30 +0200
                Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-28 13:02 +0200
                Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 13:19 +0200
                Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-08-28 13:20 +0200
                  Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 14:15 +0200
                    Re: iTAN vs Elektronik Hergen Lehmann <hlehmann.expires.5-11@snafu.de> - 2022-08-28 15:23 +0200
                      Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 18:06 +0200
                      Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-28 18:07 +0200
                    Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-28 15:38 +0200
                      Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-08-28 20:20 +0200
                        Re: iTAN vs Elektronik Hans-Peter Diettrich <DrDiettrich1@aol.com> - 2022-08-28 20:53 +0200
                          Re: iTAN vs Elektronik Rolf Bombach <rolfnospambombach@invalid.invalid> - 2022-08-28 21:28 +0200
                        Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-29 08:53 +0200
                          Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-29 09:47 +0200
                            Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-29 13:32 +0200
                            Re: iTAN vs Elektronik Volker Bartheld <volker.bartheld@3ds.com> - 2022-08-29 08:30 -0700
            Re: iTAN vs Elektronik Rolf Bombach <rolfnospambombach@invalid.invalid> - 2022-08-28 21:12 +0200
          Re: iTAN vs Elektronik Martin Gerdes <martin.gerdes@gmx.de> - 2022-08-28 22:28 +0200
          Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-08-31 15:56 +0200
            Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-31 17:54 +0200
              Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-09-01 02:40 +0200
      Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-25 23:01 +0200
        Re: iTAN vs Elektronik Axel Berger <Spam@Berger-Odenthal.De> - 2022-08-25 23:14 +0200
        Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-25 23:33 +0200
        Re: iTAN vs Elektronik Thomas Prufer <prufer.public@mnet-online.de.invalid> - 2022-08-26 07:37 +0200
          Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-26 16:55 +0200
            Re: iTAN vs Elektronik Thomas Prufer <prufer.public@mnet-online.de.invalid> - 2022-08-27 09:27 +0200
              Re: iTAN vs Elektronik Volker Bartheld <news2022@bartheld.net> - 2022-08-27 09:47 +0200
              Re: iTAN vs Elektronik Gerhard Hoffmann <dk4xp@arcor.de> - 2022-08-27 09:51 +0200
              Re: iTAN vs Elektronik Rupert Haselbeck <mein-rest-muell@gmx.de> - 2022-08-27 11:44 +0200
                Re: iTAN vs Elektronik Rolf Bombach <rolfnospambombach@invalid.invalid> - 2022-08-28 21:39 +0200
      Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-25 23:11 +0200
        Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-08-26 22:48 +0200
          Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-26 23:53 +0200
      Re: iTAN vs Elektronik Mirko Siederik <ui3748-559@online.de> - 2022-08-26 11:49 +0200
    Re: iTAN vs Elektronik Arno Welzel <usenet@arnowelzel.de> - 2022-08-26 22:40 +0200
      Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-26 23:33 +0200
        Re: iTAN vs Elektronik Martin Gerdes <martin.gerdes@gmx.de> - 2022-08-28 22:28 +0200
          Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-29 13:03 +0200
    Re: iTAN vs Elektronik Martin Gerdes <martin.gerdes@gmx.de> - 2022-08-28 22:28 +0200
      Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-08-29 12:36 +0200
        Re: iTAN vs Elektronik Martin Gerdes <martin.gerdes@gmx.de> - 2022-08-31 01:38 +0200
    Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-04 00:00 +0200
      Re: iTAN vs Elektronik Juergen <schreibsklave@web.de> - 2022-09-08 13:05 +0200
        Re: iTAN vs Elektronik Helmut Schellong <rip@schellong.biz> - 2022-09-08 14:56 +0200
          Re: iTAN vs Elektronik Juergen <schreibsklave@web.de> - 2022-09-08 17:46 +0200

Page 1 of 9  [1] 2 3 4 5 6 7 8 9  Next page →

#325468 — iTAN vs Elektronik

Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
In _meinen_ Händen für nahezu vollkommen sicher (z.B. 99,99999%).
Definition: Mißbrauch einer meiner TANs in meinem Online-Banking.

Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.

Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!
photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.


Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.


SMS über Mobil-Telefon ist auch so eine Sache.
Für De-Mail mit Hoher Authentifikation muß man zusätzlich
zu name+pass eine mTAN-PIN (per Post) und eine mTAN-TAN (per SMS) eingeben.
SMS alleine fände ich auch zweifelhaft; mit der PIN zusammen bin ich besänftigt.
Man hat sich hier an den Mobil-Vertrag drangehängt, der seit einigen Jahren
nur mit Vorlage des Ausweises abgeschlossen werden kann.


-- 
Mit freundlichen Grüßen
Helmut Schellong   var@schellong.biz
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar.bish.html  http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/audio_unsinn.htm  http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/string.c.html  http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/math87.htm  http://www.schellong.de/htm/dragon.c.html

[toc] | [next] | [standalone]

#325470

Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
> Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren 
> nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager 
zur Überprüfung zugefaxt.
Und weil das Smartphone nicht in das Fax passt, steigt jetzt die 
Sicherheit.  :-)

[toc] | [prev] | [next] | [standalone]

#325471

On 08/25/2022 18:17, Wolfgang Martens wrote:
> Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
>> Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
> Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.
> 

Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
zum richtigen Konto zu nutzen.


-- 
Mit freundlichen Grüßen
Helmut Schellong   var@schellong.biz
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar.bish.html  http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/audio_unsinn.htm  http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/string.c.html  http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/math87.htm  http://www.schellong.de/htm/dragon.c.html

[toc] | [prev] | [next] | [standalone]

#325523

Helmut Schellong, 2022-08-25 18:25:

> On 08/25/2022 18:17, Wolfgang Martens wrote:
>> Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
>>> Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
>> Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.
>>
> 
> Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
> zum richtigen Konto zu nutzen.

Das gilt für Smartphone-Lösungen ebenso.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#325527

On 08/26/2022 22:40, Arno Welzel wrote:
> Helmut Schellong, 2022-08-25 18:25:
> 
>> On 08/25/2022 18:17, Wolfgang Martens wrote:
>>> Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
>>>> Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
>>> Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.
>>>
>>
>> Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
>> zum richtigen Konto zu nutzen.
> 
> Das gilt für Smartphone-Lösungen ebenso.
> 
> 

Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.
Ein Verlieren meiner iTAN-Liste würde mich nicht /kratzen/.


-- 
Mit freundlichen Grüßen
Helmut Schellong   var@schellong.biz
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar.bish.html  http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/audio_unsinn.htm  http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/string.c.html  http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/math87.htm  http://www.schellong.de/htm/dragon.c.html

[toc] | [prev] | [next] | [standalone]

#325716

Helmut Schellong, 2022-08-26 23:38:

> On 08/26/2022 22:40, Arno Welzel wrote:
>> Helmut Schellong, 2022-08-25 18:25:
>>
>>> On 08/25/2022 18:17, Wolfgang Martens wrote:
>>>> Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
>>>>> Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
>>>> Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.
>>>>
>>>
>>> Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
>>> zum richtigen Konto zu nutzen.
>>
>> Das gilt für Smartphone-Lösungen ebenso.
>>
>>
> 
> Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.

Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.
Erforderte einen Anruf bei der Bank, dass ich ein neues Smartphone habe
und das gerne nutzen würde. War dann in ca. 15 Minuten erledigt. Auf dem
selben Weg hätte ich es auch sperren lassen können. Weiterhin efordert
auch die Nutzung des Smartphone, dass der Angreifer Benutzernamen,
Passwort und Pin für die Smartphone-App kennt.

> Ein Verlieren meiner iTAN-Liste würde mich nicht /kratzen/.

Du musst dann eine neue anfordern.

-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#325719

On 08/31/2022 15:48, Arno Welzel wrote:
> Helmut Schellong, 2022-08-26 23:38:
> 
>> On 08/26/2022 22:40, Arno Welzel wrote:
>>> Helmut Schellong, 2022-08-25 18:25:
>>>
>>>> On 08/25/2022 18:17, Wolfgang Martens wrote:
>>>>> Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
>>>>>> Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
>>>>> Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.
>>>>>
>>>>
>>>> Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
>>>> zum richtigen Konto zu nutzen.
>>>
>>> Das gilt für Smartphone-Lösungen ebenso.
>>>
>>>
>>
>> Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.
> 
> Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.

Die Sätze vorstehend, auf die Du antwortest, sind übrigens nicht alle von mir.

> Erforderte einen Anruf bei der Bank, dass ich ein neues Smartphone habe
> und das gerne nutzen würde. War dann in ca. 15 Minuten erledigt. Auf dem
> selben Weg hätte ich es auch sperren lassen können. Weiterhin efordert
> auch die Nutzung des Smartphone, dass der Angreifer Benutzernamen,
> Passwort und Pin für die Smartphone-App kennt.
> 
>> Ein Verlieren meiner iTAN-Liste würde mich nicht /kratzen/.
> 
> Du musst dann eine neue anfordern.
> 

Habe ich seit Jahren liegen.
Muß ich aktivieren, sobald ich das will.


-- 
Mit freundlichen Grüßen
Helmut Schellong   var@schellong.biz
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar.bish.html  http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/audio_unsinn.htm  http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/string.c.html  http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/math87.htm  http://www.schellong.de/htm/dragon.c.html

[toc] | [prev] | [next] | [standalone]

#325752

Helmut Schellong, 2022-08-31 16:08:

> On 08/31/2022 15:48, Arno Welzel wrote:
>> Helmut Schellong, 2022-08-26 23:38:
[...]
>>> Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.
>>
>> Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.
> 
> Die Sätze vorstehend, auf die Du antwortest, sind übrigens nicht alle von mir.

Ja und? Die Namen der Zitierten standen dabei.

[...]
>> Du musst dann eine neue anfordern.
>>
> 
> Habe ich seit Jahren liegen.
> Muß ich aktivieren, sobald ich das will.

Ja - vermutlich hast Du gleich 5 Stück angefordert, damit Du immer
Ersatz bis zum Lebensende hast.

Wie auch immer - mein Smartphone ist eines der Geräte, dass ich täglich
nutze und daher auch *sofort* merke, wenn es weg ist. Also nicht erst
nach 8-12 Stunden sondern in der Regel innerhalb von 1 Stunde oder
weniger. Selbst wenn ich es wirklich verlieren sollte (was mir in meinem
ganzen Leben noch nie passiert ist mit keinem meiner mobilen Geräte oder
Schlüssel) oder es mir gestohlen werden sollte (was mir auch noch nie
passiert ist), wäre das maximal ein Anruf bei der Bank. Und mit dem
Smartphone könnte ein Dieb oder Finder auch nicht viel anfangen, weil er
mindestens eine Pin benötigt, um es zu entsperren und dann innerhalb der
Bank-relevanten Apps nochmal Fingerabdruck *und* eine andere Pin *und*
er müsste sich online mit einem weiteren Benutzernamen *und* einer einem
anderen Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme
ich außerdem eine Benachrichtigung per E-Mail und kann der
selbstverständlich auch telefonisch widersprechen und sie zurückgehen
lassen.

-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#325770

On 09/01/2022 02:27, Arno Welzel wrote:
> Helmut Schellong, 2022-08-31 16:08:
> 
>> On 08/31/2022 15:48, Arno Welzel wrote:
>>> Helmut Schellong, 2022-08-26 23:38:
> [...]
>>>> Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.
>>>
>>> Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.
>>
>> Die Sätze vorstehend, auf die Du antwortest, sind übrigens nicht alle von mir.
> 
> Ja und? Die Namen der Zitierten standen dabei.

Ich mache hin und wieder auch vorsorgliche Anmerkungen.

> [...]
>>> Du musst dann eine neue anfordern.
>>>
>>
>> Habe ich seit Jahren liegen.
>> Muß ich aktivieren, sobald ich das will.
> 
> Ja - vermutlich hast Du gleich 5 Stück angefordert, damit Du immer
> Ersatz bis zum Lebensende hast.

Nein, die ING hat mir 2019 selbsttätig eine weitere Liste gesandt.
Kann sein, daß die das automatisch machen, sobald jemand z.B. 60% Verbrauch
der aktiven Liste erreicht hat.

> Wie auch immer - mein Smartphone ist eines der Geräte, dass ich täglich
> nutze und daher auch *sofort* merke, wenn es weg ist. Also nicht erst
> nach 8-12 Stunden sondern in der Regel innerhalb von 1 Stunde oder
> weniger. Selbst wenn ich es wirklich verlieren sollte (was mir in meinem
> ganzen Leben noch nie passiert ist mit keinem meiner mobilen Geräte oder
> Schlüssel) oder es mir gestohlen werden sollte (was mir auch noch nie
> passiert ist), wäre das maximal ein Anruf bei der Bank. Und mit dem
> Smartphone könnte ein Dieb oder Finder auch nicht viel anfangen, weil er
> mindestens eine Pin benötigt, um es zu entsperren und dann innerhalb der
> Bank-relevanten Apps nochmal Fingerabdruck *und* eine andere Pin *und*
> er müsste sich online mit einem weiteren Benutzernamen *und* einer einem
> anderen Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme
> ich außerdem eine Benachrichtigung per E-Mail und kann der
> selbstverständlich auch telefonisch widersprechen und sie zurückgehen
> lassen.
> 

Trotzdem habe ich pauschal photoTAN-Generator gewählt, statt Banking-App.


-- 
Mit freundlichen Grüßen
Helmut Schellong   var@schellong.biz
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar.bish.html  http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/audio_unsinn.htm  http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/string.c.html  http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/math87.htm  http://www.schellong.de/htm/dragon.c.html

[toc] | [prev] | [next] | [standalone]

#325793

Hallo Arno Welzel,

Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:

> meiner mobilen Geräte oder Schlüssel) oder es mir gestohlen werden
> sollte (was mir auch noch nie passiert ist), wäre das maximal ein
> Anruf bei der Bank. Und mit dem Smartphone könnte ein Dieb oder

Der geht ja ganz einfach mit dem Sma:tphone.

> Finder auch nicht viel anfangen, weil er mindestens eine Pin
> benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
> Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
> online mit einem weiteren Benutzernamen *und* einer einem anderen
> Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
> außerdem eine Benachrichtigung per E-Mail und kann der

Auf das Sma:tphone?

> selbstverständlich auch telefonisch widersprechen und sie zurückgehen
> lassen.

Mit dem Sma:tphone?

Toll, wie universell so'n Ding ist, sogar wenn man's verloren hat oder
es gestohlen wurde...

-- 
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------

[toc] | [prev] | [next] | [standalone]

#325805

On Thu, 1 Sep 2022 20:40:35 +0200, Sieghard Schicktanz wrote:
> Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:
>> mit dem Smartphone könnte ein Dieb oder
>> Finder auch nicht viel anfangen, weil er mindestens eine Pin
>> benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
>> Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
>> online mit einem weiteren Benutzernamen *und* einer einem anderen
>> Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
>> außerdem eine Benachrichtigung per E-Mail

Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
gespeicherten Daten vergleichsweise einfach ran. Jedenfalls ohne
irgendwelche Hardware zu belauschen, Chipgehäuse zu öffnen, usw. Von
Hackern, denen es gelang am Smartphone den Pin zurückzusetzen, _ohne_
daß die darauf gespeicherten Daten gelöscht wurden, gab es auch schon
Berichte. Dein Fingerabdruck ist möglicherweise physikalisch auf dem
Display drauf (https://www.youtube.com/watch?v=SnEkg-SWDZs, wischt Du
das immer ab, bevor Du es "verlierst") und die E-Mail-App nebst
Zugangsdaten auch. Jetzt benutzt Du das Paßwort 4rn0W31z31 vielleicht
neben Deinem E-Mail-Provider auch noch für Facebook, Whatsapp, die
Banking-App, etc. und der Drops ist weitestgehend gelutscht.

Es ist halt ein generelles Problem von Mehrfaktorauthentisierung, wenn
dann doch alle Faktoren wieder auf einem Gerät zusammenkommen.

> Auf das Sma:tphone?

Natürlich. ;-)

>> selbstverständlich auch telefonisch widersprechen und sie zurückgehen
>> lassen.
> Mit dem Sma:tphone?

Vermutlich. Es wird dann vielleicht die "Sicherheitsfrage" nach dem
Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil holt.

> Toll, wie universell so'n Ding ist, sogar wenn man's verloren hat oder
> es gestohlen wurde...

So schauts aus.

Ich weiß nicht, wie groß in der Praxis die Angriffsfläche ist und was
mit gestohlenen/verlorenen Smartphones in 2022 typischerweise passiert,
https://www.youtube.com/watch?v=NpN9NzO4Mo8 ist ja auch schon wieder 6
Jahre alt, Suchmaschinenabfrage nach "what happens to stolen
smartphones" war nicht so recht aussagekräftig.

Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
Kartenleser, usw.), vielleicht das Ding mit anderer SIM "einfach so"
weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
die das Gerät ausschlachten oder tiefer in die Forensik einsteigen. Die
arbeiten dann wohl nach Auftrag und dem Auftraggeber geht es dann mehr
um die spezielle Person und nicht deren Telefon, s. auch
https://www.zeit.de/digital/datenschutz/2014-12/umts-verschluesselung-umgehen-angela-merkel-handy

Volker

[toc] | [prev] | [next] | [standalone]

#325806

On Thu, 1 Sep 2022 20:40:35 +0200, Sieghard Schicktanz wrote:
> Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:
>> mit dem Smartphone könnte ein Dieb oder
>> Finder auch nicht viel anfangen, weil er mindestens eine Pin
>> benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
>> Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
>> online mit einem weiteren Benutzernamen *und* einer einem anderen
>> Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
>> außerdem eine Benachrichtigung per E-Mail

Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
gespeicherten Daten vergleichsweise einfach ran. Jedenfalls ohne
irgendwelche Hardware zu belauschen, Chipgehäuse zu öffnen, usw. Von
Hackern, denen es gelang am Smartphone den Pin zurückzusetzen, _ohne_
daß die darauf gespeicherten Daten gelöscht wurden, gab es auch schon
Berichte. Dein Fingerabdruck ist möglicherweise physikalisch auf dem
Display drauf (https://www.youtube.com/watch?v=SnEkg-SWDZs, wischt Du
das immer ab, bevor Du es "verlierst"?) und die E-Mail-App nebst
Zugangsdaten auch. Jetzt benutzt Du das Paßwort 4rn0W31z31 vielleicht
neben Deinem E-Mail-Provider auch noch für Facebook, Whatsapp, die
Banking-App, etc. und der Drops ist weitestgehend gelutscht.

Es ist halt ein generelles Problem von Mehrfaktorauthentisierung, wenn
dann doch alle Faktoren wieder auf einem Gerät zusammenkommen.

> Auf das Sma:tphone?

Natürlich. ;-)

>> selbstverständlich auch telefonisch widersprechen und sie zurückgehen
>> lassen.
> Mit dem Sma:tphone?

Vermutlich. Es wird dann vielleicht die "Sicherheitsfrage" nach dem
Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil holt.

> Toll, wie universell so'n Ding ist, sogar wenn man's verloren hat oder
> es gestohlen wurde...

So schauts aus.

Ich weiß nicht, wie groß in der Praxis die Angriffsfläche ist und was
mit gestohlenen/verlorenen Smartphones in 2022 typischerweise passiert,
https://www.youtube.com/watch?v=NpN9NzO4Mo8 ist ja auch schon wieder 6
Jahre alt, Suchmaschinenabfrage nach "what happens to stolen
smartphones" war nicht so recht aussagekräftig.

Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
Kartenleser, usw.), vielleicht das Ding mit anderer SIM "einfach so"
weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
die das Gerät ausschlachten oder tiefer in die Forensik einsteigen. Die
arbeiten wohl nach Auftrag und dem Auftraggeber geht es mehr um die
spezielle Person und nicht deren Telefon, s. auch
https://www.zeit.de/digital/datenschutz/2014-12/umts-verschluesselung-umgehen-angela-merkel-handy

Volker

[toc] | [prev] | [next] | [standalone]

#325822

Am 02.09.22 um 09:09 schrieb Volker Bartheld:

> Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
> gespeicherten Daten vergleichsweise einfach ran.

Alle modernen Smartphones verschlüsseln den internen Speicher. Der 
(zufällig generierte) Schlüssel hierzu ist wiederum mit der Entsperr-Pin 
oder dem Fingerabdruck verschlüsselt. Wer das Ding aus Bequemlichkeit 
dauerhaft entsperrt lässt, ist selbst Schuld.

Besonders sicherheitskritische Apps wie die diskutierten TAN-Generatoren 
fordern in aller Regel eine zusätzliche Authentifizierung an, so das man 
effektiv bereits bei 4FA ist (Kenntnis der Konto-Zugangsdaten plus 
Besitz des Handy plus Kenntnis des Entsperr-Kennworts plus Kenntnis des 
TAN-Generator-Kennworts).


> Von
> Hackern, denen es gelang am Smartphone den Pin zurückzusetzen, _ohne_
> daß die darauf gespeicherten Daten gelöscht wurden, gab es auch schon
> Berichte.

Die dürften recht alt sein, auf aktuellen Android- oder iOS-Geräten ist 
das prinzipbedingt (s.o.) nicht mehr möglich.

Kritischer ist die externe µSD im portablen Modus. Auf dieser sollte man 
nur unpersönliche Daten (z.B. Musik+Filme) sowie verschlüsselte Backups 
speichern, sonst hat man bei Diebstahl ein Problem. Vielleicht wurde da 
was verwechselt?


> Dein Fingerabdruck ist möglicherweise physikalisch auf dem
> Display drauf (https://www.youtube.com/watch?v=SnEkg-SWDZs, wischt Du
> das immer ab, bevor Du es "verlierst"?) 

Ein eher akademisches Problem. Der gewöhnliche Smartphone-Dieb wird das 
Ding in aller Regel verkaufen oder selbst verwenden wollen.

Sollten sich die Daten des Vorbesitzers zufällig auf dem Silbertablett 
präsentieren, schaut er vielleicht aus Neugier mal rein, aber Aufwand 
wird er dafür nicht treiben, sondern bei Anblick des Sperrbildschirms 
den kürzesten Weg zum Factory-Reset suchen.


> Zugangsdaten auch. Jetzt benutzt Du das Paßwort 4rn0W31z31 vielleicht
> neben Deinem E-Mail-Provider auch noch für Facebook, Whatsapp, die
> Banking-App, etc. und der Drops ist weitestgehend gelutscht.

Steht überall, das man sowas nicht macht, also selbst schuld.


> Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
> eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
> bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
> Kartenleser, usw.), vielleicht das Ding mit anderer SIM "einfach so"
> weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
> die das Gerät ausschlachten oder tiefer in die Forensik einsteigen. 

Ja, eben. Und diese Experten greifen ihr Opfer dann auch systematisch 
von allen Seiten an. Das Smartphone ist hier nur eine Informationsquelle 
von vielen - und eine eher schlechte, weil sie sich nur schwer unbemerkt 
anzuzapfen lässt.

[toc] | [prev] | [next] | [standalone]

#325856

Hallo Volker Bartheld,

Du schriebst am Fri, 2 Sep 2022 09:09:43 +0200:

...
> >> selbstverständlich auch telefonisch widersprechen und sie
> >> zurückgehen lassen.
> > Mit dem Sma:tphone?
> 
> Vermutlich. Es wird dann vielleicht die "Sicherheitsfrage" nach dem
> Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil
> holt.

Hmm - Arno das so gemeint hat?

> > Toll, wie universell so'n Ding ist, sogar wenn man's verloren hat
> > oder es gestohlen wurde...
> 
> So schauts aus.

Aber wohl erstmal für den ehemaligen Besittzer etwas weniger.

> Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
> eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
> bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
> Kartenleser, usw.), vielleicht das Ding mit anderer SIM "einfach so"
> weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
> die das Gerät ausschlachten oder tiefer in die Forensik einsteigen.

Ja, das ist wohl die verbliebene Chance: Versteckt in der Menge.

-- 
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------

[toc] | [prev] | [next] | [standalone]

#326126

Sieghard Schicktanz, 2022-09-03 00:22:

> Hallo Volker Bartheld,
> 
> Du schriebst am Fri, 2 Sep 2022 09:09:43 +0200:
> 
> ...
>>>> selbstverständlich auch telefonisch widersprechen und sie
>>>> zurückgehen lassen.
>>> Mit dem Sma:tphone?
>>
>> Vermutlich. Es wird dann vielleicht die "Sicherheitsfrage" nach dem
>> Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil
>> holt.
> 
> Hmm - Arno das so gemeint hat?

Nein, habe ich nicht. Nein, mein Geburstdatum ist *nicht* relevant, wenn
ich bei der Bank telefonisch etwas beauftragen will.



-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#326125

Volker Bartheld, 2022-09-02 09:09:

> On Thu, 1 Sep 2022 20:40:35 +0200, Sieghard Schicktanz wrote:
>> Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:
>>> mit dem Smartphone könnte ein Dieb oder
>>> Finder auch nicht viel anfangen, weil er mindestens eine Pin
>>> benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
>>> Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
>>> online mit einem weiteren Benutzernamen *und* einer einem anderen
>>> Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
>>> außerdem eine Benachrichtigung per E-Mail
> 
> Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
> gespeicherten Daten vergleichsweise einfach ran. Jedenfalls ohne

Die Daten die da drin sind, sind komplett egal.

Das, was für die Bestätigung einer Transaktion benötigt wird, ist nur in
meinem Kopf.

> Es ist halt ein generelles Problem von Mehrfaktorauthentisierung, wenn
> dann doch alle Faktoren wieder auf einem Gerät zusammenkommen.

Tun sie ja nicht. Die Transaktion wird ja eben NICHT auf dem Smartphone
ausgelöst. Das dient nur als zweiter Faktor.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#326124

Sieghard Schicktanz, 2022-09-01 20:40:

> Hallo Arno Welzel,
> 
> Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:
> 
>> meiner mobilen Geräte oder Schlüssel) oder es mir gestohlen werden
>> sollte (was mir auch noch nie passiert ist), wäre das maximal ein
>> Anruf bei der Bank. Und mit dem Smartphone könnte ein Dieb oder
> 
> Der geht ja ganz einfach mit dem Sma:tphone.

Eben nicht. Der Dieb müsste mich zusätzlich nach den Zugangsdaten
fragen, die nur in meinem Kopf sind.

>> Finder auch nicht viel anfangen, weil er mindestens eine Pin
>> benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
>> Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
>> online mit einem weiteren Benutzernamen *und* einer einem anderen
>> Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
>> außerdem eine Benachrichtigung per E-Mail und kann der
> 
> Auf das Sma:tphone?

Nein.

>> selbstverständlich auch telefonisch widersprechen und sie zurückgehen
>> lassen.
> 
> Mit dem Sma:tphone?

Nein.



-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#325476

Am 25.08.22 um 17:28 schrieb Helmut Schellong:

> Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen 
Müller via "Social Engineering" dazu zu bringen, Teile der Liste preis 
zu geben. Phishing-Mails der Form "Dringende Sicherheitsüberprüfung - 
klicken sie hier und geben sie ihre Kontonummer, ihre PIN sowie 10 TANs 
ein" waren eine Zeit lang alltäglich. Bei nur 100 möglichen Alternativen 
für die Anforderung einer TAN ist die Wahrscheinlichkeit eines 
zufälligen Treffers unter diesen 10 unangenehm hoch.

Zudem war der Versand der Listen für die Bank kostenintensiv.

Die meisten Banken sind daher schon vor Jahren davon abgekommen.


> Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
> Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
> korrekt eingegeben werden müssen.

Das erschwert BruteForce-Attacken, ist aber keine Hürde mehr, wenn der 
Angreifer erst mal per Phishing den gesamten Key in Erfahrung gebracht hat.


> Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
> und durch SmartPhone-App oder photoTAN ersetzt werden.

Leider derzeit die angesagte Mode.


> Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um 
Phishing zu vereiteln.

Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei 
ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil nicht 
immer zur Hand. Das Smartphone ist dagegen in den meisten Haushalten 
bereits vorhanden und dank Sandboxing zumindest deutlich sicherer als 
der PC.


> SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine 
Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

[toc] | [prev] | [next] | [standalone]

#325477

Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:
> Am 25.08.22 um 17:28 schrieb Helmut Schellong:
> 
>> Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
> 
> iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen 
> Müller via "Social Engineering" dazu zu bringen, Teile der Liste preis 
> zu geben. 

Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen 
mit den Nachteilen leben.

> Phishing-Mails der Form "Dringende Sicherheitsüberprüfung - 
> klicken sie hier und geben sie ihre Kontonummer, ihre PIN sowie 10 TANs 
> ein" waren eine Zeit lang alltäglich. Bei nur 100 möglichen Alternativen 
> für die Anforderung einer TAN ist die Wahrscheinlichkeit eines 
> zufälligen Treffers unter diesen 10 unangenehm hoch.
> 
> Zudem war der Versand der Listen für die Bank kostenintensiv.
> 
> Die meisten Banken sind daher schon vor Jahren davon abgekommen.

Das alte TAN verfahren ahtte uch Vorteile. Man konnte  eine oder wenige 
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können. 
Bei iTAN musste man die gesamte Lsite einpaken. Kein Sicherheitsgewinn.

Heute mit der 2 Faktor, Multi Faktor, wie auch immer Authentifizierung 
darf man entweder alles Equipment mitschleppen, oder mobil geht gar 
nichts. Super sicher immer alles dabei zu haben. Wer mTAN nutzt und sich 
die TANs schlauer weise _nicht_ auf sein Smartphone senden läßt, darf 
ein weiteres "Dumm"-Mobilfunkgerät mitschleppen und hat die Chance dass 
am betreffenden Ort das betreffende Netz nicht da ist, oder man das 
andere adegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich 
die absolut "sicherste" Art und entspricht in Puncto Sicherheit ungefähr 
dem iTAN verfahren und "die ganze Liste immer mit dabei".
...
> 
>> Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
>> und durch SmartPhone-App oder photoTAN ersetzt werden.
> 
> Leider derzeit die angesagte Mode.
> 
> 
>> Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
> 
> Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um 
> Phishing zu vereiteln.

Phishing zu vereiteln geht am besten durch Wissen, nicht durch die 
neuste coole Methode, die in ein paar Wochen ausgehebelt wird.

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen 
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke 
ich _nicht_ auf einen link sondern logge mich über die selbst 
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den 
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Marketing "einfach nur 1x klicken" ist eher das Problem. Komplexe Sachen 
bleiben komplex, auch wenn man sie bunt anmalt.

> Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei 
> ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil nicht 
> immer zur Hand. Das Smartphone ist dagegen in den meisten Haushalten 
> bereits vorhanden und dank Sandboxing zumindest deutlich sicherer als 
> der PC.

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

>> SMS über Mobil-Telefon ist auch so eine Sache.
> 
> Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine 
> Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

mTAN ist einfach nur eine Billiglösung um die Verantwortung auf den 
Kunden abzuwälzen.
Dann gibt es noch Spezialisten-Banken, die eine mTAN für jedes Login wollen.

2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf 
Webseiten geworden, Sinn und Zweck  mittlerweile oft verfehlt, leider.
-- 
Thomas

[toc] | [prev] | [next] | [standalone]

#325479

On Thu, 25 Aug 2022 22:49:53 +0200, Thomas Einzel wrote:
> Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:
>> Am 25.08.22 um 17:28 schrieb Helmut Schellong:
>>> Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
>> iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen 
>> Müller via "Social Engineering" dazu zu bringen, Teile der Liste preis 
>> zu geben. 
> Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen 
> mit den Nachteilen leben.

Da hast Du viel Wahres mit wenigen Worten ausgedrückt.

Volker

[toc] | [prev] | [next] | [standalone]

Page 1 of 9  [1] 2 3 4 5 6 7 8 9  Next page →

Back to top | Article view | de.sci.electronics

csiph-web