iTAN vs Elektronik...

H

Helmut Schellong

Guest
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
In _meinen_ Händen für nahezu vollkommen sicher (z.B. 99,99999%).
Definition: Mißbrauch einer meiner TANs in meinem Online-Banking.

Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.

Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!
photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.


Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.


SMS über Mobil-Telefon ist auch so eine Sache.
Für De-Mail mit Hoher Authentifikation muß man zusätzlich
zu name+pass eine mTAN-PIN (per Post) und eine mTAN-TAN (per SMS) eingeben.
SMS alleine fände ich auch zweifelhaft; mit der PIN zusammen bin ich besänftigt.
Man hat sich hier an den Mobil-Vertrag drangehängt, der seit einigen Jahren
nur mit Vorlage des Ausweises abgeschlossen werden kann.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren
nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager
zur Überprüfung zugefaxt.
Und weil das Smartphone nicht in das Fax passt, steigt jetzt die
Sicherheit. :)
 
On 08/25/2022 18:17, Wolfgang Martens wrote:
Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.

Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
zum richtigen Konto zu nutzen.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Am 25.08.22 um 17:28 schrieb Helmut Schellong:

> Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen
Müller via \"Social Engineering\" dazu zu bringen, Teile der Liste preis
zu geben. Phishing-Mails der Form \"Dringende Sicherheitsüberprüfung -
klicken sie hier und geben sie ihre Kontonummer, ihre PIN sowie 10 TANs
ein\" waren eine Zeit lang alltäglich. Bei nur 100 möglichen Alternativen
für die Anforderung einer TAN ist die Wahrscheinlichkeit eines
zufälligen Treffers unter diesen 10 unangenehm hoch.

Zudem war der Versand der Listen für die Bank kostenintensiv.

Die meisten Banken sind daher schon vor Jahren davon abgekommen.


Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.

Das erschwert BruteForce-Attacken, ist aber keine Hürde mehr, wenn der
Angreifer erst mal per Phishing den gesamten Key in Erfahrung gebracht hat.


Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Leider derzeit die angesagte Mode.


> Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um
Phishing zu vereiteln.

Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei
ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil nicht
immer zur Hand. Das Smartphone ist dagegen in den meisten Haushalten
bereits vorhanden und dank Sandboxing zumindest deutlich sicherer als
der PC.


> SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine
Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.
 
Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:
Am 25.08.22 um 17:28 schrieb Helmut Schellong:

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen
Müller via \"Social Engineering\" dazu zu bringen, Teile der Liste preis
zu geben.

Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.

Phishing-Mails der Form \"Dringende Sicherheitsüberprüfung -
klicken sie hier und geben sie ihre Kontonummer, ihre PIN sowie 10 TANs
ein\" waren eine Zeit lang alltäglich. Bei nur 100 möglichen Alternativen
für die Anforderung einer TAN ist die Wahrscheinlichkeit eines
zufälligen Treffers unter diesen 10 unangenehm hoch.

Zudem war der Versand der Listen für die Bank kostenintensiv.

Die meisten Banken sind daher schon vor Jahren davon abgekommen.

Das alte TAN verfahren ahtte uch Vorteile. Man konnte eine oder wenige
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können.
Bei iTAN musste man die gesamte Lsite einpaken. Kein Sicherheitsgewinn.

Heute mit der 2 Faktor, Multi Faktor, wie auch immer Authentifizierung
darf man entweder alles Equipment mitschleppen, oder mobil geht gar
nichts. Super sicher immer alles dabei zu haben. Wer mTAN nutzt und sich
die TANs schlauer weise _nicht_ auf sein Smartphone senden läßt, darf
ein weiteres \"Dumm\"-Mobilfunkgerät mitschleppen und hat die Chance dass
am betreffenden Ort das betreffende Netz nicht da ist, oder man das
andere adegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich
die absolut \"sicherste\" Art und entspricht in Puncto Sicherheit ungefähr
dem iTAN verfahren und \"die ganze Liste immer mit dabei\".
....
Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Leider derzeit die angesagte Mode.


Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um
Phishing zu vereiteln.

Phishing zu vereiteln geht am besten durch Wissen, nicht durch die
neuste coole Methode, die in ein paar Wochen ausgehebelt wird.

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Marketing \"einfach nur 1x klicken\" ist eher das Problem. Komplexe Sachen
bleiben komplex, auch wenn man sie bunt anmalt.

Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei
ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil nicht
immer zur Hand. Das Smartphone ist dagegen in den meisten Haushalten
bereits vorhanden und dank Sandboxing zumindest deutlich sicherer als
der PC.

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine
Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

mTAN ist einfach nur eine Billiglösung um die Verantwortung auf den
Kunden abzuwälzen.
Dann gibt es noch Spezialisten-Banken, die eine mTAN für jedes Login wollen.

2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck mittlerweile oft verfehlt, leider.
--
Thomas
 
On Thu, 25 Aug 2022 20:41:54 +0200, Hergen Lehmann wrote:
sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.
Leider derzeit die angesagte Mode.
Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um
Phishing zu vereiteln.

Wenn das mal die Support-Scammer in Delhi wüßten. Ist halt doch meistens
ein Layer-8-Problem, da kannst technische Hürden einziehen, wie Du
willst.

Oder diese freche Nummer:

Kriegte meine Mutter vor knapp einem Jahr einen Cold Call vom
\"Zentralmahngericht Stuttgart\" auf den Anrufbeantworter. Die
übermittelte Rufnummer war 0711-625413. Ich ging von einem
Betrugsversuch aus.

Inhalt der Mitteilung:

\"[Frauenstimme} Zentralmahngericht Stuttgart For. Wenn Sie das ganze
außergerichtlich einigen möchten, dann drücken Sie auf die Eins. Wenn
Sie Informationen über die Pfändung haben möchten, auf die Zwei. Mit
freundlichen Grüßen, Vollzugsbehörde Stuttgart.\"

Müßig zu sagen, daß wir keinerlei Geschäftsbeziehungen mit der
Stuttgarter Justiz pflegen, es keinerlei offene Forderungen gibt, die
eine Pfändung rechtfertigen, ein \"Zentralmahngericht\" in Stuttgart
nicht existiert (Zuständig für Mahnverfahren ist das Amtsgericht
Stuttgart) und der ganze Anruf hochgradig dubios war.

Beschwerde bei der Bundesnetzagentur wurde umgehend eingereicht, die
bayrische Polizei in ihrer Digitaldefensive erlaubt in ihrem Formular
zur Online-Strafanzeige leider keine Cold-Calls mit Betrugsabsicht als
Tatbestand.

Seitens der Bundesnetzagentur hieß es dann:

\"[...] vielen Dank für Ihre Nachricht vom 09.09.2021, [...] Sie
berichten über einen Anruf unter Anzeige der Rufnummer 0711625413. Nach
den hier vorliegenden Erkenntnissen ist davon auszugehen, dass diese
Rufnummer aufgesetzt, d.h. gefälscht ist. Inhaltlich betrifft Ihre
Eingabe daher das technisch und rechtlich komplexe Thema der
Rufnummernübermittlung [...]

Bitte beachten Sie, dass die Bundesnetzagentur über die Sach- und
Rechtslage bei Anrufen mit aufgesetzter Rufnummer umfänglich auf ihrer
Internetseite unter http://www.bundesnetzagentur.de/Rufnummernmissbrauch
[...] informiert.

[...] Grundsätzlich geregelt sind die Rechte und Pflichten bei der
Rufnummernübermittlung in § 66k Telekommunikationsgesetz (TKG). Trotz
des dort enthaltenen gesetzlichen Verbots, fremde Rufnummern
aufzusetzen, kommt es zu Anrufen, bei denen die übermittelte und
angezeigte Rufnummer manipuliert ist. In der Tat erlaubt der technische
Fortschritt inzwischen vielfältige Manipulationsmöglichkeiten. [...]\"

Übersetzt: \"Wir können (und wollen) nichts machen.\".

Call-ID-Spoofing [1] (so der Fachausdruck) macht inzwischen offenbar
jeder [2] [3].

\"[...] Der Bundesnetzagentur ist es nicht gelungen, die Täter von
verbotenen Werbeanrufen für eine Demonstration der Querdenker in
Stuttgart zu ermitteln. [...] Tausende Roboteranrufe mit einer
Bandansage hatten am 3. April 2021 Stuttgarter Bürger belästigt. [...]\"

\"[...] Der Mann erklärte in perfektem Deutsch, er arbeite in der
Rechtsabteilung der Frankfurter Volksbank. [...] Beliebt ist etwa die
Masche, die Opfer zum glücklichen Sieger eines Gewinnspiels zu
erklären. Ihnen wird dann gesagt, das Auto stünde noch in der Türkei –
sie müssten nur das Geld für den Zoll überweisen [...]\"

\"[...] Ebenfalls beliebt ist die Polizeimasche. Zwar hat die Deutsche
Telekom seit dem Jahr 2017 insgesamt 10\'000 Rufnummern sperren lassen,
die gerne missbraucht wurden – sie können von Betrügern nicht mehr
genutzt werden. Allerdings nur so lange diese aus dem Inland anrufen;
wer im Ausland sitzt hat weiterhin freie Hand [...]\"

\"[...] Die Rückverfolgung der Täter ist schwierig. Sitzen die Täter im
Inland, könnte man die Anrufe zurückverfolgen – doch bräuchte man dafür
einen gerichtlichen Beschluss, der den Netzbetreiber anweist, die Daten
freizugeben. Zudem muss dies zeitnah geschehen, da diese Daten nicht
lange gespeichert werden. Sitzen die Täter im Ausland, ist es dagegen
nahezu unmöglich, sie über eine Rückverfolgung des Anrufes aufzuspüren
[...]\"

Schwierig? _Nahezu_ unmöglich. Immerhin gibt es einen Standard [4], wo
es in 2.12 \"Caller Identity Handling for Outgoing Calls (from the
SIP-PBX)\" heißt:

\"If the SIP-PBX is configured with the \'no screening\' feature, the From:
header field is left unchanged, otherwise the P-Asserted-Identity value
is entered into the From: header field. If OIR (CLIR) is not activated,
most SIP end devices including the fixed network SIP end devices display
the phone number in the user part of the From: header field. They may
also display the P-Asserted-Identity as a second Calling Party Number.\"

Übersetzt: Falls also ein Verbrecher von Deutschland aus operiert und
seine eigene Telefonanlage nutzt, die mit dem \"no screening\" Feature
ausgestattet ist (= die Telekom erlaubt ihm ohne Prüfung eine
x-beliebige Rufnummer zu übertragen), dann werden tatsächlich _zwei_
Rufnummern gesendet. Die gefakete in der From-Zeile des Protokolls und
die netzseitige, sog. \"P-Asserted-Identity\".

Manche Endgeräte - so z. B. die FritzBox 7272 - können das im
Voice-over-IP-Betrieb auswerten [5] und zeigen zusätzlich zur vom
Anrufer selbst festgelegten Nummer die netzseitige Nummer in Klammern
an.

Routet der Bastard seinen Anruf allerdings übers Ausland und nutzt
eigens zum Zweck der Rufnummernfälschung erfundene Dienste [6], dann
bist Du natürlich gekniffen.

Volker,
muß jetzt noch kurz eine Erbschaftsangelegenheit regeln. Da ist offenbar
ein nigerianischer Adeliger in die ewigen Jagdgründe eingegangen und die
Witwe braucht mich dringend als Finanzmanager.

[1] https://de.wikipedia.org/wiki/Call_ID_Spoofing
[2] https://www.golem.de/news/call-id-spoofing-bundesnetzagentur-kann-querdenker-nicht-rueckverfolgen-2107-157961.html
[3] https://www.fr.de/panorama/spoofing-so-koennen-sie-sich-vor-betrug-am-telefon-schuetzen-12337192.html
[4] https://www.telekom.de/hilfe/downloads/1tr118.pdf
[5] https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7272/1613_In-Anrufliste-werden-zwei-Rufnummern-fur-einen-Anruf-angezeigt/
[6] https://calleridreputation.com/blog/a-comprehensive-guide-to-caller-id-spoofing/
 
On Thu, 25 Aug 2022 22:49:53 +0200, Thomas Einzel wrote:
Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:
Am 25.08.22 um 17:28 schrieb Helmut Schellong:
Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen
Müller via \"Social Engineering\" dazu zu bringen, Teile der Liste preis
zu geben.
Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.

Da hast Du viel Wahres mit wenigen Worten ausgedrückt.

Volker
 
Thomas Einzel wrote:
> Kann man niemandem beibringen? Dem widerspreche ich.

Den Banken nicht, oder zumindest nicht allen. \"Klicken Sie nicht auf
Links\" tönen sie alle in ingendwelchem Blurb, den keiner liest. \"Unsere
echten Mails enthalten niemals einen Link\" und das dann auch konsequent
durchhalten -- etwas, das selbst Oma Schulze lernen könnte -- schaffen
die wenigsten. Die Sparkasse scheint es neuerdings, nach etlichen
Ausrutschern, zu tun.

unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck mittlerweile oft verfehlt, leider.

Wieso verfehlt? Der Weg, das zu vermeiden und loszuwerden, ist Cookies
anzunehmen und nicht zu löschen. Ziel erreicht. Genervt werden nur die,
die genervt werden sollen.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
On 08/25/2022 20:41, Hergen Lehmann wrote:
Am 25.08.22 um 17:28 schrieb Helmut Schellong:

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen Müller via \"Social Engineering\" dazu zu bringen, Teile der Liste preis zu geben. Phishing-Mails der Form \"Dringende Sicherheitsüberprüfung - klicken sie hier und geben sie ihre Kontonummer, ihre PIN sowie 10 TANs ein\" waren eine Zeit lang alltäglich. Bei nur 100 möglichen Alternativen für die Anforderung einer TAN ist die Wahrscheinlichkeit eines zufälligen Treffers unter diesen 10 unangenehm hoch.

Wenn alle übermittelten TANs ungebrauchte sind.

Die ING sperrt den ganzen Zugang bei mehrfachen Falscheingaben.
Ein Betrüger braucht Zugangscode, Paßwort, DiBa-Key und TANs.
Ich habe meine Zweifel, daß eine solches erfolgreiches Phishing oft vorkommt.

Da die TAN-Liste von der Bank kommt, ist eine TAN-Nachfrage der Bank kraß unlogisch.

> Zudem war der Versand der Listen für die Bank kostenintensiv.

In bald 10 Jahren benutze ich noch immer die erste TAN-Liste.
Allerdings habe ich kein Girokonto bei der ING.

Die meisten Banken sind daher schon vor Jahren davon abgekommen.


Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.

Das erschwert BruteForce-Attacken, ist aber keine Hürde mehr, wenn der Angreifer erst mal per Phishing den gesamten Key in Erfahrung gebracht hat.

Wenn dem Angreifer das gelungen ist.
BruteForce kann doch nicht funktionieren, wenn der ganze Zugang nach
z.B. drei Falscheingaben gesperrt wird.

Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Leider derzeit die angesagte Mode.


Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um Phishing zu vereiteln.

Nicht, wenn diese Hardware ein /SmartPhone/ ist!
Außerdem ist eine iTAN-Liste _das_ Stück Hardware.

opticalTAN und photoTAN sind hier sicher.
Diese Geräte haben mit gar nichts Verbindung.

Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil nicht immer zur Hand. Das Smartphone ist dagegen in den meisten Haushalten bereits vorhanden und dank Sandboxing zumindest deutlich sicherer als der PC.


SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

Bei meinem neuen De-Mail-Provider mußte ich 4 l_a_n_g_e Paßwörter angeben.
Eines ist ein Entsperr-Paßwort.
Auch der Benutzername ist wie die Paßwörter aufgebaut.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Volker Bartheld wrote:
> Übersetzt: \"Wir können (und wollen) nichts machen.\".

Richtiger übersetzt: \"Wir wollen das so\". Denn

In der Tat erlaubt der technische
Fortschritt inzwischen vielfältige Manipulationsmöglichkeiten. [...]\"

heißt: \"Eigentlich ging das nicht, aber mit großem Einsatz und Mühe
haben wir diese technische Möglichkeit aktiv geschaffen.\"


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
On 08/25/2022 23:01, Volker Bartheld wrote:
On Thu, 25 Aug 2022 20:41:54 +0200, Hergen Lehmann wrote:
sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.
Leider derzeit die angesagte Mode.
Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um
Phishing zu vereiteln.

Wenn das mal die Support-Scammer in Delhi wüßten. Ist halt doch meistens
ein Layer-8-Problem, da kannst technische Hürden einziehen, wie Du
willst.

Oder diese freche Nummer:

Kriegte meine Mutter vor knapp einem Jahr einen Cold Call vom
\"Zentralmahngericht Stuttgart\" auf den Anrufbeantworter. Die
übermittelte Rufnummer war 0711-625413. Ich ging von einem
Betrugsversuch aus.

Inhalt der Mitteilung:

\"[Frauenstimme} Zentralmahngericht Stuttgart For. Wenn Sie das ganze
außergerichtlich einigen möchten, dann drücken Sie auf die Eins. Wenn
Sie Informationen über die Pfändung haben möchten, auf die Zwei. Mit
freundlichen Grüßen, Vollzugsbehörde Stuttgart.\"

Hier wäre bei mir Schluß.
Krudes, seltsam formuliertes Deutsch: \"Wenn Sie das ... einigen möchten,\"


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Am 25.08.2022 um 23:04 schrieb Axel Berger:
Thomas Einzel wrote:
Kann man niemandem beibringen? Dem widerspreche ich.

Den Banken nicht, oder zumindest nicht allen. \"Klicken Sie nicht auf
Links\" tönen sie alle in ingendwelchem Blurb, den keiner liest. \"Unsere
echten Mails enthalten niemals einen Link\" und das dann auch konsequent
durchhalten -- etwas, das selbst Oma Schulze lernen könnte -- schaffen
die wenigsten. Die Sparkasse scheint es neuerdings, nach etlichen
Ausrutschern, zu tun.

unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck mittlerweile oft verfehlt, leider.

Wieso verfehlt?

bezog ich primär auf 2FA, die die Cookie Zustimmung war nur die Analogie

Der Weg, das zu vermeiden und loszuwerden, ist Cookies
anzunehmen und nicht zu löschen. Ziel erreicht. Genervt werden nur die,
die genervt werden sollen.

Annehmen, ja, am besten alle und automatisch (I don\'t care about
cookies) - und am Sitzungsende alles automatisch (bis auf manuelle
Ausnahmen) löschen. Tolle Wurst.

Wie 2FA auf dem Handy, womit man auch online Banking macht, gaaaaz toll
und supi sicher.
--
Thomas
 
On Thu, 25 Aug 2022 23:01:43 +0200, Volker Bartheld <news2022@bartheld.net>
wrote:

Volker,
muß jetzt noch kurz eine Erbschaftsangelegenheit regeln. Da ist offenbar
ein nigerianischer Adeliger in die ewigen Jagdgründe eingegangen und die
Witwe braucht mich dringend als Finanzmanager.

Du auch?

Bei mir kam mal sowas an: Erbe in Spanien, usw usf.

Aber nicht als Email -- hat ja jeder -- sondern per Post, auf Papier, mit echter
Briefmarke, aufgeklebt auf einen Umschlag und so. Die Rentabilität hab ich nicht
verstanden...


Thomas Prufer
 
Am 25.08.22 um 22:49 schrieb Thomas Einzel:

Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.

Das ist leider die logische Konsequenz, wenn alle Menschen unabhängig
von ihrem Bildungsstand gleichberechtigt am Wirtschaftsleben teilhaben
sollen...


Das alte TAN verfahren ahtte uch Vorteile. Man konnte  eine oder wenige
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können.
Bei iTAN musste man die gesamte Lsite einpaken. Kein Sicherheitsgewinn.

Beim alten TAN-Verfahren genügte es für den Angreifer, eine einzige TAN
erfolgreich abzuphishen. Bei iTAN mussten es zumindest mehrere sein, um
gute Chancen auf einen Treffer zu haben.
Tauglich für ein Zeitalter, in dem auch bildungsferne Schichten in
SocialMedia unterwegs sind, ist beides nicht mehr.


andere adegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich
die absolut \"sicherste\" Art und entspricht in Puncto Sicherheit ungefähr
dem iTAN verfahren und \"die ganze Liste immer mit dabei\".

Der Sicherheitsvorteil besteht darin, das ein Angreifer nicht bequem aus
der Ferne per Phishing in den Besitz des Gerätes gelangen kann.


Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Die Praxis bestätigt leider, das du hier unrecht hast. Phishing
funktioniert besser denn je, und die Mehrzahl der Nutzer klickt blind
auf jeden coolen Link.


Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei
ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil
nicht immer zur Hand. Das Smartphone ist dagegen in den meisten
Haushalten bereits vorhanden und dank Sandboxing zumindest deutlich
sicherer als der PC.

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

Ja, das war grundsätzlich der richtige Weg. Wenn ich es richtig
verstanden habe, genügen die dort verwendeten Schlüssellängen aber nicht
mehr aktuellen Anforderungen, so das ein Nachfolger her musste.

Direkter Nachfolger wäre die PhotoTAN, für welche es auch dedizierte
Lesegeräte unabhängig vom Smartphone gibt.

Elegant hätte ich auch die Nutzung der NFC-Funktion der Girocard mit dem
Smartphone als Kommunikations-Gateway gefunden.


2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck  mittlerweile oft verfehlt, leider.

Leider hat der Gesetzgeber 2FA vorgeschrieben, so das die Banken nicht
frei entscheiden können, bei welchen Aktionen 2FA Sinn macht und bei
welchen nicht.
 
On 08/26/2022 10:08, Hergen Lehmann wrote:
Am 25.08.22 um 22:49 schrieb Thomas Einzel:

Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen mit den Nachteilen leben.
[...]
Die Praxis bestätigt leider, das du hier unrecht hast. Phishing funktioniert besser denn je, und die Mehrzahl der Nutzer klickt blind auf jeden coolen Link.

Es sind ja Fälle bekannt, wo eine etwas ältere Frau aufgrund entsprechender Anrufe
zweimal einem angeb. Polizisten auf der Straße Geld übergab - insgesamt 180000 €.
Wie häufig so etwas vorkommt, weiß ich nicht.
Es scheint nicht wenige Leute zu geben, die die /Welt/ überhaupt nicht kennen.

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

Ja, das war grundsätzlich der richtige Weg. Wenn ich es richtig verstanden habe, genügen die dort verwendeten Schlüssellängen aber nicht mehr aktuellen Anforderungen, so das ein Nachfolger her musste.

Die Sparkassen haben heute noch 5-stellige Paßwörter (fix) zum Online-Banking!
Jedenfalls meine.

Es herrscht insgesamt ein unbrechbar erscheinender Widerstand gegen alles Digitale.

Das ist so wie z.B. die maximal 6-stelligen Namen/Symbole für den Linker beim Kompilieren.
Das hat wohl ungefähr 30 Jahre gedauert, bis dieser absolut unmögliche
Zustand beseitigt war.
Ich meine damit, daß bereits zu Beginn dieses 30-jährigen Zeitraumes die Sache
problemlos erledigt hätte werden können.

Man möchte halt, daß ein halbes Jahrhundert ins Land geht, um irgendeinen
/unmöglichen/ Zustand zu beseitigen, der währenddessen Milliarden kostet.

Weiteres Beispiel:
Hier in den NG hatte früher _hält_ /hält/ nicht funktioniert, wegen \'ä\' darin.
Auch das dauerte Jahrzehnte bis zur Korrektur.

Ein weiteres Beispiel, eventuell das folgenreichste überhaupt, sind die
alten Einheiten wie Zoll, Fuß, Meile, Seemeile, Knoten, ..., die allesamt entfernt gehören.
Vielleicht kostet das unnötig 300 Milliarden pro Jahr.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:
Am 25.08.22 um 17:28 schrieb Helmut Schellong:

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und
robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach, Lieschen
Müller via \"Social Engineering\" dazu zu bringen, Teile der Liste preis
zu geben.

< < . . . >

Nun dann sollten diese \"Lieschen Müllers\" von einem freundlich gesinnten
Freund, Verwandten zum Verzicht auf diese Art von Banking bewegt werden.
M.S.
 
Am 26.08.2022 um 10:08 schrieb Hergen Lehmann:
Am 25.08.22 um 22:49 schrieb Thomas Einzel:
....
Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Die Praxis bestätigt leider, das du hier unrecht hast.

Es ist richtig dass es leider oft funktioniert. Primär meiner Meinung
nach, weil den Menschen weisgemacht wird, dass alles ganz leicht und mit
einem Klick bequem von der Couch aus...
.... nein, komplex bunt angemalt bleibt komplex.

Phishing
funktioniert besser denn je, und die Mehrzahl der Nutzer klickt blind
auf jeden coolen Link.

Und man könnte das tatsächlich den (oder wenigstens vielen) Menschen
nicht beibringen wie man sich korrekt/vorsichtig beim Onlinebanking
verhält? Nur dem hatte ich widersprochen, nicht dass Online Betrug mit
Nutzern mit wenig Wissen zur Zeit zahlreich \"gut\" funktioniert.
....
2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck  mittlerweile oft verfehlt, leider.

Leider hat der Gesetzgeber 2FA vorgeschrieben, so das die Banken nicht
frei entscheiden können, bei welchen Aktionen 2FA Sinn macht und bei
welchen nicht.

Nicht 2FA bei jedem login und solche Banken gibt es.
--
Thomas
 
On 8/25/22 10:49 PM, Thomas Einzel wrote:
Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:

Optimal wäre natürlich ein dediziertes Cryptotoken (wie einst bei
ChipTAN), aber das kostet auch wieder Geld und ist unbequem, weil
nicht immer zur Hand. Das Smartphone ist dagegen in den meisten
Haushalten bereits vorhanden und dank Sandboxing zumindest deutlich
sicherer als der PC.

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

Sehe ich auch so. Wieso kann ich beim Einkaufen einfach mit Karte
bezahlen, wo die Gefahr einer gestohlenen Karte viel größer ist, während
ich zu Hause alle möglichen Klimmzüge machen soll, um mich zu
legitimieren? 1 Gerät für alle Karten finde ich optimal.


SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine
Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

Ich mußte mir zwangläufig ein Mobiltelefon (und Vertrag) zulegen, weil
PayPal mein Festnetz Telefon nicht bedienen kann. Ein Nachbar kann auf
seinem Apparat die im Browser angezeigte PIN eingeben, bei mir klappt
das überhaupt nicht. Und Durchsage einer SMS aufs Festnetz-Telefon ist
unbrauchbar, weil dort aus den Ziffern eine Zahl gemacht wird, die man
sich mehrfach anhören muß, bis man alle Ziffern richtig und lückenlos
beisammen hat.


mTAN ist einfach nur eine Billiglösung um die Verantwortung auf den
Kunden abzuwälzen.
Dann gibt es noch Spezialisten-Banken, die eine mTAN für jedes Login
wollen.

Wozu auch PayPal zählt. Seitdem ich ein Mobiltelefon habe, muß ich beim
Bezahlen keine PIN mehr anfordern und eingeben, aber Einloggen geht
nicht ohne.

Die Postbank schreibt ein neues Gerät vor, wieder 30€ zur Förderung der
deutschen Wirtschaft.

2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck  mittlerweile oft verfehlt, leider.

So ist es :-(

Speziell die Postbank macht mir das Online-Banking schwer. Alle paar
Wochen wird mein Account gesperrt und ich muß mir eine neue PIN per Post
schicken lassen. Will mich vielleicht jemand ärgern und loggt sich mit
meiner ID und (natürlich) falschem Passwort so oft ein, bis mein Account
gesperrt wird? So eine Art DoS Attacke? :-(

DoDi
 
Thomas Einzel wrote:
weil den Menschen weisgemacht wird, dass alles ganz leicht und mit
einem Klick bequem von der Couch aus...
... nein, komplex bunt angemalt bleibt komplex.

Wo hast Du die Datei (die ich am fremden Rechner gerade nicht finden
kann) denn hin gespeichert?

Ich habe das gar nicht gespeichert, das hat Word gespeichert.

Auch gerne genommen, wenn ich zurückfrage, was mir 20 kB HTML-Overhead
denn bitte genau sagen sollen: Ich habe die Email nicht geschrieben, das
war Outlook.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Am 26.08.2022 um 15:09 schrieb Hans-Peter Diettrich:
On 8/25/22 10:49 PM, Thomas Einzel wrote:
Am 25.08.2022 um 20:41 schrieb Hergen Lehmann:



Speziell die Postbank macht mir das Online-Banking schwer. Alle paar
Wochen wird mein Account gesperrt und ich muß mir eine neue PIN per Post
schicken lassen. Will mich vielleicht jemand ärgern und loggt sich mit
meiner ID und (natürlich) falschem Passwort so oft ein, bis mein Account
gesperrt wird? So eine Art DoS Attacke? :-(
Solch einen hinterlistigen Fall hat es tatsächlich in der Nachbarschaft
gegeben. Da hat aber die Postbank recht schnell und unbürokratisch auf
Antrag komplwett neue Zugangsdaten vergeben und Ruhe wars.. .

Jürgen
 

Welcome to EDABoard.com

Sponsor

Back
Top