TAN wird unsicher - bei der Postbank
Die Postbank will die iTAN-Papierliste sterben lassen.
Als Ersatz werden "mobileTAN" und "chipTAN" angeboten.
Dass das auf Dauer billiger ist, kann man sich vorstellen. Aber dass es dem Kunden als sicherer verkauft wird, ist einfach frech und eine Lüge.
mobileTAN:
Hierbei hinterlegt der Kunde seine Mobilfunknummer bei der Postbank (1. Datenschutz. Was hat die meine Handynummer zu interessieren?). Für jede anstehende Transaktion wird eine SMS an diese Nummer geschickt. (2.Meine TAN-Liste habe ich immer an einem "sicheren Ort" aufbewahrt, wo sie mir nicht so leicht abhanden kommen oder gestohlen werden kann. Mein Handy habe ich immer dabei. Wer mein PIN ausspioniert, braucht sich also nur mein Handy "ausborgen", statt bei mir zuhause einzubrechen. 3. Eine Handykommunikation lässt sich leicht abhören als eine vor Ort vorliegende Papierliste. IMSI-Catcher sind günstig, die GSM-Verschlüsselung geknackt.)
Diese SMS enhält dann nicht nur eine TAN, sondern auch gleich den Betrag, der überwiesen werden soll. Dies soll die Sicherheit erhöhen, da so niemand mittels Man-in-the-middle ein hingesendete TAN abfangen und die Überweisung auf sein eigenes Konto umbiegen kann. (Aber: 4. Datenschutz. Was ist, wenn Mobilfunkprovider diese SMS in Logfiles schreiben. Als Admin bei einem Provider kann man also mit einer kurzen Volltextsuche und der Kenntnis meiner Mobilfunknummer (siehe Visitenkarte) sämtliche Kontobewegungen, die per SMS autorisiert wurden, anzeigen.)
Es geht noch unsicherer: chipTAN.
Zur Erstellung einer TAN schiebt man seine EC-Karte in ein portables Lesegerät (etwa so dick wie 30 Papier-TAN-Listen). Die Elektronik auf dem Gerät ermittelt dann aus den Karteninformationen, der aktuellen Uhrzeit und einem im Leser gespeicherten Schlüssel eine neue TAN.
Statt der TAN-Liste müsste mir der Bösewicht also das Lesegerät stehlen? Nein, einfacher, er beantragt für SEINE eigene Postbankkarte auch ein Lesegerät. Die Lesegeräte sind unabhängig vom Konto und gegeneinander austauschbar. Der Bösewicht muss nur noch meine EC-Karte (Taschendiebstahl), die PIN bzw. das Internet-Kennwort (per Spyware auf meinem Computer) stehlen. Die früher zusätzlich erforderliche TAN braucht er nicht mehr, die erzeugt er später zum Zeitpunkt des Kontoleerräumens selbst.
Im Wesentlichen wurde mit der chipTAN die TAN als solche komplett abgeschafft.
Ich rufe hiermit alle Postbankkunden auf, sich dringend kurz vor dem 18.1.2011 noch schnell ein letztes Mal eine Papier-TAN-Liste zu bestellen, um damit ihren Protest kundzutun.
Als Ersatz werden "mobileTAN" und "chipTAN" angeboten.
Dass das auf Dauer billiger ist, kann man sich vorstellen. Aber dass es dem Kunden als sicherer verkauft wird, ist einfach frech und eine Lüge.
mobileTAN:
Hierbei hinterlegt der Kunde seine Mobilfunknummer bei der Postbank (1. Datenschutz. Was hat die meine Handynummer zu interessieren?). Für jede anstehende Transaktion wird eine SMS an diese Nummer geschickt. (2.Meine TAN-Liste habe ich immer an einem "sicheren Ort" aufbewahrt, wo sie mir nicht so leicht abhanden kommen oder gestohlen werden kann. Mein Handy habe ich immer dabei. Wer mein PIN ausspioniert, braucht sich also nur mein Handy "ausborgen", statt bei mir zuhause einzubrechen. 3. Eine Handykommunikation lässt sich leicht abhören als eine vor Ort vorliegende Papierliste. IMSI-Catcher sind günstig, die GSM-Verschlüsselung geknackt.)
Diese SMS enhält dann nicht nur eine TAN, sondern auch gleich den Betrag, der überwiesen werden soll. Dies soll die Sicherheit erhöhen, da so niemand mittels Man-in-the-middle ein hingesendete TAN abfangen und die Überweisung auf sein eigenes Konto umbiegen kann. (Aber: 4. Datenschutz. Was ist, wenn Mobilfunkprovider diese SMS in Logfiles schreiben. Als Admin bei einem Provider kann man also mit einer kurzen Volltextsuche und der Kenntnis meiner Mobilfunknummer (siehe Visitenkarte) sämtliche Kontobewegungen, die per SMS autorisiert wurden, anzeigen.)
Es geht noch unsicherer: chipTAN.
Zur Erstellung einer TAN schiebt man seine EC-Karte in ein portables Lesegerät (etwa so dick wie 30 Papier-TAN-Listen). Die Elektronik auf dem Gerät ermittelt dann aus den Karteninformationen, der aktuellen Uhrzeit und einem im Leser gespeicherten Schlüssel eine neue TAN.
Statt der TAN-Liste müsste mir der Bösewicht also das Lesegerät stehlen? Nein, einfacher, er beantragt für SEINE eigene Postbankkarte auch ein Lesegerät. Die Lesegeräte sind unabhängig vom Konto und gegeneinander austauschbar. Der Bösewicht muss nur noch meine EC-Karte (Taschendiebstahl), die PIN bzw. das Internet-Kennwort (per Spyware auf meinem Computer) stehlen. Die früher zusätzlich erforderliche TAN braucht er nicht mehr, die erzeugt er später zum Zeitpunkt des Kontoleerräumens selbst.
Im Wesentlichen wurde mit der chipTAN die TAN als solche komplett abgeschafft.
Ich rufe hiermit alle Postbankkunden auf, sich dringend kurz vor dem 18.1.2011 noch schnell ein letztes Mal eine Papier-TAN-Liste zu bestellen, um damit ihren Protest kundzutun.
superwallah - 18. Dez, 21:38
0 Kommentare - Kommentar verfassen - 0 Trackbacks
