Samstag, 18. Dezember 2010

TAN wird unsicher - bei der Postbank

Die Postbank will die iTAN-Papierliste sterben lassen.
Als Ersatz werden "mobileTAN" und "chipTAN" angeboten.
Dass das auf Dauer billiger ist, kann man sich vorstellen. Aber dass es dem Kunden als sicherer verkauft wird, ist einfach frech und eine Lüge.

mobileTAN:
Hierbei hinterlegt der Kunde seine Mobilfunknummer bei der Postbank (1. Datenschutz. Was hat die meine Handynummer zu interessieren?). Für jede anstehende Transaktion wird eine SMS an diese Nummer geschickt. (2.Meine TAN-Liste habe ich immer an einem "sicheren Ort" aufbewahrt, wo sie mir nicht so leicht abhanden kommen oder gestohlen werden kann. Mein Handy habe ich immer dabei. Wer mein PIN ausspioniert, braucht sich also nur mein Handy "ausborgen", statt bei mir zuhause einzubrechen. 3. Eine Handykommunikation lässt sich leicht abhören als eine vor Ort vorliegende Papierliste. IMSI-Catcher sind günstig, die GSM-Verschlüsselung geknackt.)
Diese SMS enhält dann nicht nur eine TAN, sondern auch gleich den Betrag, der überwiesen werden soll. Dies soll die Sicherheit erhöhen, da so niemand mittels Man-in-the-middle ein hingesendete TAN abfangen und die Überweisung auf sein eigenes Konto umbiegen kann. (Aber: 4. Datenschutz. Was ist, wenn Mobilfunkprovider diese SMS in Logfiles schreiben. Als Admin bei einem Provider kann man also mit einer kurzen Volltextsuche und der Kenntnis meiner Mobilfunknummer (siehe Visitenkarte) sämtliche Kontobewegungen, die per SMS autorisiert wurden, anzeigen.)

Es geht noch unsicherer: chipTAN.

Zur Erstellung einer TAN schiebt man seine EC-Karte in ein portables Lesegerät (etwa so dick wie 30 Papier-TAN-Listen). Die Elektronik auf dem Gerät ermittelt dann aus den Karteninformationen, der aktuellen Uhrzeit und einem im Leser gespeicherten Schlüssel eine neue TAN.
Statt der TAN-Liste müsste mir der Bösewicht also das Lesegerät stehlen? Nein, einfacher, er beantragt für SEINE eigene Postbankkarte auch ein Lesegerät. Die Lesegeräte sind unabhängig vom Konto und gegeneinander austauschbar. Der Bösewicht muss nur noch meine EC-Karte (Taschendiebstahl), die PIN bzw. das Internet-Kennwort (per Spyware auf meinem Computer) stehlen. Die früher zusätzlich erforderliche TAN braucht er nicht mehr, die erzeugt er später zum Zeitpunkt des Kontoleerräumens selbst.
Im Wesentlichen wurde mit der chipTAN die TAN als solche komplett abgeschafft.

Ich rufe hiermit alle Postbankkunden auf, sich dringend kurz vor dem 18.1.2011 noch schnell ein letztes Mal eine Papier-TAN-Liste zu bestellen, um damit ihren Protest kundzutun.

Trackback URL:
http://superwallah.twoday.net/stories/11495822/modTrackback

Superwallah - IT, Innovation, Indien

Globaler Cyber-Fortschritt ist heute

Suche

 

ich

Du bist nicht angemeldet.

Wer bist Du?

Sag es mir. Und hinterlass einen Kommentar nach Lesen eines Eintrag!

Aktuelle Beiträge

Methode zur Organisation...
Ich habe auf dem 34C3 eine interessante Methode kennengelernt,...
superwallah - 3. Jan, 22:11
Filofax Personal Abmessungen
Wer eigene Filofax-Einlagen basteln möchte, muss...
superwallah - 3. Jan, 15:01
Sicherheit in Android...
TLS ist nur so sicher wie die Gesamtheit der Root-CAs,...
superwallah - 13. Jun, 21:30
Den richtigen Co-Working-Space...
Die moderne Welt des Arbeitens liegt im Teilen der...
superwallah - 24. Mai, 18:16
Adressen und Kalender...
Wer meinem Blog folgt, weiss, dass ich mich konsequent...
superwallah - 23. Mai, 09:36

Meine Gadgets

Gesehene Filme

Zähler

Web Counter by www.webcounter.goweb.de
Web Counter by www.webcounter.goweb.de

Status

Online seit 4368 Tagen
Zuletzt aktualisiert: 3. Jan, 22:11