iTAN vs Elektronik...

Am 01.09.22 um 01:18 schrieb Volker Bartheld:

Ah, Danke. Verstehe. Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache. Und schon gar nicht irgendwelche Banking-Apps drauf laufen
lasse.

Handhabe ich genauso: Nix mit Geld auf Smartphone. Etwas vorsichtiger zu
sein als andere (die dann als Opfer neuer Sicherheitsprobleme in der
ersten Reihe stehen) hab noch niemandem geschadet.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith
 
Volker Bartheld <news2022@bartheld.net> wrote:
On Wed, 31 Aug 2022 19:31:12 +0200, Marc Haber wrote:
Eine Secure Enclave ist ein Speicher, bei dem das Feature ist, dass
man dort hinterlegte Daten nicht mehr herausbekommt. Das macht man
z.B. für private Schlüssel (neu eingeben bzw ein neues Schlüsselpaar
generieren und den öffentlichen Schlüssel neu zertifizieren lassen),
verschlüsselte Passworte (Passwort neu setzen) oder die
Vergleichsdaten für biometrische Identifikationsverfahren (neu
anlernen).

Ah, Danke. Verstehe. Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache. Und schon gar nicht irgendwelche Banking-Apps drauf laufen
lasse.

Wie gesagt, Apple macht das mit den iDevices so gut, dass es nahezu
alternativlos sicher ist. Ein PC mit Smartcard kommt da vielleicht
ran, aber das iDevice ist wegen \"zugenagelt\" immer noch sicherer.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Hanno Foest <hurga-news2@tigress.com> wrote:
Am 01.09.22 um 01:18 schrieb Volker Bartheld:
Ah, Danke. Verstehe. Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache. Und schon gar nicht irgendwelche Banking-Apps drauf laufen
lasse.

Handhabe ich genauso: Nix mit Geld auf Smartphone. Etwas vorsichtiger zu
sein als andere (die dann als Opfer neuer Sicherheitsprobleme in der
ersten Reihe stehen) hab noch niemandem geschadet.

Wie machst Du denn Dein Onlinebanking?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Volker Bartheld <news2022@bartheld.net> wrote:
On Wed, 31 Aug 2022 19:36:40 +0200, Marc Haber wrote:
Arno Welzel <usenet@arnowelzel.de> wrote:
Hast Du dazu ein paar weiterführende Quellen? Insbesondere zur
Kompromittierung von Apps, die für Banking genutzt werden und dem
Abgreifen von TANs etc. bei den Apps durch Angreifer?
Leider nein, ich kann nur die Konzepte bewerten.

Hab irgendwann mal einen unterhaltsamen Def Con Talk gesehen, wo jemand
Android Apps entsprechend instrumentiert hat.

Mit \"irgendwann\" wäre ich da vorsichtig, auch Android hat dazugelernt
und wird von Version zu Version sicherer. Als Anwender merkt man das
leider nur daran, dass manche Dinge, die früher ganz einfach gingen,
plötzlich nicht mehr so einfach möglich sind, weil diese Funktion halt
auf anfänglich schlecht gemachten und dann nachträglich abgesicherten
Eigenschaften des Betriebssystems basiert.

Dennoch ist Android noch weit von dem Sicherheitsniveau entfernt, auf
dem Apple seit Jahren ist (und auch mit gewissem Ehrgeiz daran
arbeitet, dass das niemand aushöhlt)

Auch in Android-Telefonen gibt es inzwischen \"secure enclaves\", sie
heißen nur bei jedem Hersteller anders und werden nicht mit der
gebotenen Aggressivität vermarktet.

Außerdem müsste man wissen (was ich nicht tue), ob auf Geräten mit
\"secure enclave\" diese automatisch über dieselben API-Calls benutzt
wird, über die auch die Software-Crypto-Funktionen auf Geräten ohne
\"secure enclave\" angesprochen werden, oder ob sich jede App einzeln
entscheiden muss (vielleicht gar für jeden Hersteller), ob sie ein
vorhandenes \"secure enclave\" benutzt oder ob sie weiterhin ihren
Simpel-Code verwendet, den sie eh braucht weil es noch Geräte \"ohne\"
gibt.

Apple traue ich die notwendige Attitüde \"da ist unser Secure Enclave,
das benutzt Du bitte in Deiner App, sonst kommst Du nicht in den
Appstore\" einfach eher zu als den ganzen Chinakracher-Herstellern.

Grüße
Marc, der dennoch ein Androidtelefon hat

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Am 01.09.22 um 10:59 schrieb Marc Haber:

Handhabe ich genauso: Nix mit Geld auf Smartphone. Etwas vorsichtiger zu
sein als andere (die dann als Opfer neuer Sicherheitsprobleme in der
ersten Reihe stehen) hab noch niemandem geschadet.

Wie machst Du denn Dein Onlinebanking?

Linuxrechner, recht restriktiv konfigurierter Firefox, chipTAN.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith
 
On 09/01/2022 01:18, Volker Bartheld wrote:
On Wed, 31 Aug 2022 19:31:12 +0200, Marc Haber wrote:
Eine Secure Enclave ist ein Speicher, bei dem das Feature ist, dass
man dort hinterlegte Daten nicht mehr herausbekommt. Das macht man
z.B. für private Schlüssel (neu eingeben bzw ein neues Schlüsselpaar
generieren und den öffentlichen Schlüssel neu zertifizieren lassen),
verschlüsselte Passworte (Passwort neu setzen) oder die
Vergleichsdaten für biometrische Identifikationsverfahren (neu
anlernen).

Ah, Danke. Verstehe. Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache. Und schon gar nicht irgendwelche Banking-Apps drauf laufen
lasse.

Das ist auf jeden Fall die richtige Pauschal-Einstellung.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On 09/01/2022 02:27, Arno Welzel wrote:
Helmut Schellong, 2022-08-31 16:08:

On 08/31/2022 15:48, Arno Welzel wrote:
Helmut Schellong, 2022-08-26 23:38:
[...]
Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.

Nö, hab ich schon erlebt. Altes Smartphone defekt und nicht benutzbar.

Die Sätze vorstehend, auf die Du antwortest, sind übrigens nicht alle von mir.

Ja und? Die Namen der Zitierten standen dabei.

Ich mache hin und wieder auch vorsorgliche Anmerkungen.

[...]
Du musst dann eine neue anfordern.


Habe ich seit Jahren liegen.
Muß ich aktivieren, sobald ich das will.

Ja - vermutlich hast Du gleich 5 Stück angefordert, damit Du immer
Ersatz bis zum Lebensende hast.

Nein, die ING hat mir 2019 selbsttätig eine weitere Liste gesandt.
Kann sein, daß die das automatisch machen, sobald jemand z.B. 60% Verbrauch
der aktiven Liste erreicht hat.

Wie auch immer - mein Smartphone ist eines der Geräte, dass ich täglich
nutze und daher auch *sofort* merke, wenn es weg ist. Also nicht erst
nach 8-12 Stunden sondern in der Regel innerhalb von 1 Stunde oder
weniger. Selbst wenn ich es wirklich verlieren sollte (was mir in meinem
ganzen Leben noch nie passiert ist mit keinem meiner mobilen Geräte oder
Schlüssel) oder es mir gestohlen werden sollte (was mir auch noch nie
passiert ist), wäre das maximal ein Anruf bei der Bank. Und mit dem
Smartphone könnte ein Dieb oder Finder auch nicht viel anfangen, weil er
mindestens eine Pin benötigt, um es zu entsperren und dann innerhalb der
Bank-relevanten Apps nochmal Fingerabdruck *und* eine andere Pin *und*
er müsste sich online mit einem weiteren Benutzernamen *und* einer einem
anderen Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme
ich außerdem eine Benachrichtigung per E-Mail und kann der
selbstverständlich auch telefonisch widersprechen und sie zurückgehen
lassen.

Trotzdem habe ich pauschal photoTAN-Generator gewählt, statt Banking-App.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Hanno Foest <hurga-news2@tigress.com> wrote:
Am 01.09.22 um 10:59 schrieb Marc Haber:
Handhabe ich genauso: Nix mit Geld auf Smartphone. Etwas vorsichtiger zu
sein als andere (die dann als Opfer neuer Sicherheitsprobleme in der
ersten Reihe stehen) hab noch niemandem geschadet.

Wie machst Du denn Dein Onlinebanking?

Linuxrechner, recht restriktiv konfigurierter Firefox, chipTAN.

ChipTAN wird es nicht mehr so lange geben, fürchte ich. Das ist
natürlich ähnlich sicher wie ein dediziertes Smartphone mit
anständigem Sicherheitskonzept.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Helmut Schellong <rip@schellong.biz> wrote:
>Das ist auf jeden Fall die richtige Pauschal-Einstellung.

Da Du das sagst muss es falsch sein. Und das ist es auch.

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Hallo Arno Welzel,

Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:

meiner mobilen Geräte oder Schlüssel) oder es mir gestohlen werden
sollte (was mir auch noch nie passiert ist), wäre das maximal ein
Anruf bei der Bank. Und mit dem Smartphone könnte ein Dieb oder

Der geht ja ganz einfach mit dem Sma:tphone.

Finder auch nicht viel anfangen, weil er mindestens eine Pin
benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
online mit einem weiteren Benutzernamen *und* einer einem anderen
Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
außerdem eine Benachrichtigung per E-Mail und kann der

Auf das Sma:tphone?

selbstverständlich auch telefonisch widersprechen und sie zurückgehen
lassen.

Mit dem Sma:tphone?

Toll, wie universell so\'n Ding ist, sogar wenn man\'s verloren hat oder
es gestohlen wurde...

--
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------
 
On Thu, 01 Sep 2022 10:59:19 +0200, Marc Haber wrote:
Volker Bartheld <news2022@bartheld.net> wrote:
On Wed, 31 Aug 2022 19:31:12 +0200, Marc Haber wrote:
Eine Secure Enclave ist ein Speicher, bei dem das Feature ist, dass
man dort hinterlegte Daten nicht mehr herausbekommt.
Keine Ahnung, ob das bzw. wie es Google mit Titan M
umsetzt. Mir fischelt die ganze Smartphonegeschichte inzwischen so
hinreichend stark, daß ich damit keine sicherheitsrelevanten Sachen
mache.
Wie gesagt, Apple macht das mit den iDevices so gut, dass es nahezu
alternativlos sicher ist.

Ich hab bei iIrgendwas leider immer den Louis Rossmann im Hinterkopf und
wie er schimpft, daß die Teile immer schwerer zu reparieren gehen und
man ohne ziemlich abgefahrene Tricks nicht (mehr) an die Daten
rankommt. Und damit meine ich nicht irgendwelche privaten Schlüssel,
sondern ganz normale Fotos, Videos, Textdateien, usw. Natürlich sollte
man die regelmäßig in der iCloud gespeichert haben und dann der Aussage
des Kundendienstes \"Wenn ihr Gerät defekt ist, so daß es nicht mehr
bootet, tauschen wir es innerhalb der Gewährleistungszeit gerne gegen
ein Ersatzgerät aus - aber die Daten sind halt futsch.\"
achselzuckend-emotionslos gegenüberstehen.

Ich bin halt ein alter, paranoider Sack, der seine Daten(sicherung)
lieber selber in die Hand nimmt. Und nach...
https://support.mozilla.org/en-US/questions/1188280
.... war der Firefox Browser auf meinem Schlaufernsprecher dann auch
gestorben. Ach ja, Ehre wem Ehre gebührt: Ist bei Chrome natürlich
genauso:
https://support.google.com/chrome/thread/27304190/export-bookmarks-google-chrome-android

Zumindest bei der Extraktion scheint es inzwischen andere Möglichkeiten
zu geben:
https://onthisveryspot.com/technology-and-computing/how-do-i-export-bookmarks-from-android-browser/
, für Experimente bin ich aber zu faul, da nur noch sehr eingeschränkte
Smartphonenutzung. Meist mTAN, mal eine SMS, e-Mail, bissl Navigation
und wenns hart auf hart kommt, telefoniere ich sogar damit. ;-)

> Ein PC mit Smartcard kommt da vielleicht ran,

Gut möglich. Aber setze das mal so auf, daß es sicher und zuverlässig
funktioniert. Wir hatten das Thema mit dem e-Ausweis ja schon. Und mir
wäre es @work auch lieber, meine RFID-Zugangskarte und ein kürzeres
Paßwort zu nutzen, als alle naslang 25(?) Zeichen Prosa eingeben zu
müssen. Der Lockscreen scheint erst nach ~10 Minuten zu kommen (statt
derer 5 wie ursprünglich angenommen), immer noch nervig genug. Sind
Group Policies, manuelle Änderungen daher zwecklos.

Volker
 
On Thu, 1 Sep 2022 20:40:35 +0200, Sieghard Schicktanz wrote:
Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:
mit dem Smartphone könnte ein Dieb oder
Finder auch nicht viel anfangen, weil er mindestens eine Pin
benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
online mit einem weiteren Benutzernamen *und* einer einem anderen
Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
außerdem eine Benachrichtigung per E-Mail

Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
gespeicherten Daten vergleichsweise einfach ran. Jedenfalls ohne
irgendwelche Hardware zu belauschen, Chipgehäuse zu öffnen, usw. Von
Hackern, denen es gelang am Smartphone den Pin zurückzusetzen, _ohne_
daß die darauf gespeicherten Daten gelöscht wurden, gab es auch schon
Berichte. Dein Fingerabdruck ist möglicherweise physikalisch auf dem
Display drauf (https://www.youtube.com/watch?v=SnEkg-SWDZs, wischt Du
das immer ab, bevor Du es \"verlierst\") und die E-Mail-App nebst
Zugangsdaten auch. Jetzt benutzt Du das Paßwort 4rn0W31z31 vielleicht
neben Deinem E-Mail-Provider auch noch für Facebook, Whatsapp, die
Banking-App, etc. und der Drops ist weitestgehend gelutscht.

Es ist halt ein generelles Problem von Mehrfaktorauthentisierung, wenn
dann doch alle Faktoren wieder auf einem Gerät zusammenkommen.

> Auf das Sma:tphone?

Natürlich. ;-)

selbstverständlich auch telefonisch widersprechen und sie zurückgehen
lassen.
Mit dem Sma:tphone?

Vermutlich. Es wird dann vielleicht die \"Sicherheitsfrage\" nach dem
Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil holt.

Toll, wie universell so\'n Ding ist, sogar wenn man\'s verloren hat oder
es gestohlen wurde...

So schauts aus.

Ich weiß nicht, wie groß in der Praxis die Angriffsfläche ist und was
mit gestohlenen/verlorenen Smartphones in 2022 typischerweise passiert,
https://www.youtube.com/watch?v=NpN9NzO4Mo8 ist ja auch schon wieder 6
Jahre alt, Suchmaschinenabfrage nach \"what happens to stolen
smartphones\" war nicht so recht aussagekräftig.

Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
Kartenleser, usw.), vielleicht das Ding mit anderer SIM \"einfach so\"
weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
die das Gerät ausschlachten oder tiefer in die Forensik einsteigen. Die
arbeiten dann wohl nach Auftrag und dem Auftraggeber geht es dann mehr
um die spezielle Person und nicht deren Telefon, s. auch
https://www.zeit.de/digital/datenschutz/2014-12/umts-verschluesselung-umgehen-angela-merkel-handy

Volker
 
On Thu, 1 Sep 2022 20:40:35 +0200, Sieghard Schicktanz wrote:
Du schriebst am Thu, 1 Sep 2022 02:27:57 +0200:
mit dem Smartphone könnte ein Dieb oder
Finder auch nicht viel anfangen, weil er mindestens eine Pin
benötigt, um es zu entsperren und dann innerhalb der Bank-relevanten
Apps nochmal Fingerabdruck *und* eine andere Pin *und* er müsste sich
online mit einem weiteren Benutzernamen *und* einer einem anderen
Passwort anmelden. Und für jede Transaktion über 100 EUR bekomme ich
außerdem eine Benachrichtigung per E-Mail

Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
gespeicherten Daten vergleichsweise einfach ran. Jedenfalls ohne
irgendwelche Hardware zu belauschen, Chipgehäuse zu öffnen, usw. Von
Hackern, denen es gelang am Smartphone den Pin zurückzusetzen, _ohne_
daß die darauf gespeicherten Daten gelöscht wurden, gab es auch schon
Berichte. Dein Fingerabdruck ist möglicherweise physikalisch auf dem
Display drauf (https://www.youtube.com/watch?v=SnEkg-SWDZs, wischt Du
das immer ab, bevor Du es \"verlierst\"?) und die E-Mail-App nebst
Zugangsdaten auch. Jetzt benutzt Du das Paßwort 4rn0W31z31 vielleicht
neben Deinem E-Mail-Provider auch noch für Facebook, Whatsapp, die
Banking-App, etc. und der Drops ist weitestgehend gelutscht.

Es ist halt ein generelles Problem von Mehrfaktorauthentisierung, wenn
dann doch alle Faktoren wieder auf einem Gerät zusammenkommen.

> Auf das Sma:tphone?

Natürlich. ;-)

selbstverständlich auch telefonisch widersprechen und sie zurückgehen
lassen.
Mit dem Sma:tphone?

Vermutlich. Es wird dann vielleicht die \"Sicherheitsfrage\" nach dem
Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil holt.

Toll, wie universell so\'n Ding ist, sogar wenn man\'s verloren hat oder
es gestohlen wurde...

So schauts aus.

Ich weiß nicht, wie groß in der Praxis die Angriffsfläche ist und was
mit gestohlenen/verlorenen Smartphones in 2022 typischerweise passiert,
https://www.youtube.com/watch?v=NpN9NzO4Mo8 ist ja auch schon wieder 6
Jahre alt, Suchmaschinenabfrage nach \"what happens to stolen
smartphones\" war nicht so recht aussagekräftig.

Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
Kartenleser, usw.), vielleicht das Ding mit anderer SIM \"einfach so\"
weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
die das Gerät ausschlachten oder tiefer in die Forensik einsteigen. Die
arbeiten wohl nach Auftrag und dem Auftraggeber geht es mehr um die
spezielle Person und nicht deren Telefon, s. auch
https://www.zeit.de/digital/datenschutz/2014-12/umts-verschluesselung-umgehen-angela-merkel-handy

Volker
 
Am 02.09.22 um 09:09 schrieb Volker Bartheld:

Ich sag mal so: Ohne Sicherheitschip käme man an die auf dem Smartphone
gespeicherten Daten vergleichsweise einfach ran.

Alle modernen Smartphones verschlüsseln den internen Speicher. Der
(zufällig generierte) Schlüssel hierzu ist wiederum mit der Entsperr-Pin
oder dem Fingerabdruck verschlüsselt. Wer das Ding aus Bequemlichkeit
dauerhaft entsperrt lässt, ist selbst Schuld.

Besonders sicherheitskritische Apps wie die diskutierten TAN-Generatoren
fordern in aller Regel eine zusätzliche Authentifizierung an, so das man
effektiv bereits bei 4FA ist (Kenntnis der Konto-Zugangsdaten plus
Besitz des Handy plus Kenntnis des Entsperr-Kennworts plus Kenntnis des
TAN-Generator-Kennworts).


Von
Hackern, denen es gelang am Smartphone den Pin zurückzusetzen, _ohne_
daß die darauf gespeicherten Daten gelöscht wurden, gab es auch schon
Berichte.

Die dürften recht alt sein, auf aktuellen Android- oder iOS-Geräten ist
das prinzipbedingt (s.o.) nicht mehr möglich.

Kritischer ist die externe µSD im portablen Modus. Auf dieser sollte man
nur unpersönliche Daten (z.B. Musik+Filme) sowie verschlüsselte Backups
speichern, sonst hat man bei Diebstahl ein Problem. Vielleicht wurde da
was verwechselt?


Dein Fingerabdruck ist möglicherweise physikalisch auf dem
Display drauf (https://www.youtube.com/watch?v=SnEkg-SWDZs, wischt Du
das immer ab, bevor Du es \"verlierst\"?)

Ein eher akademisches Problem. Der gewöhnliche Smartphone-Dieb wird das
Ding in aller Regel verkaufen oder selbst verwenden wollen.

Sollten sich die Daten des Vorbesitzers zufällig auf dem Silbertablett
präsentieren, schaut er vielleicht aus Neugier mal rein, aber Aufwand
wird er dafür nicht treiben, sondern bei Anblick des Sperrbildschirms
den kürzesten Weg zum Factory-Reset suchen.


Zugangsdaten auch. Jetzt benutzt Du das Paßwort 4rn0W31z31 vielleicht
neben Deinem E-Mail-Provider auch noch für Facebook, Whatsapp, die
Banking-App, etc. und der Drops ist weitestgehend gelutscht.

Steht überall, das man sowas nicht macht, also selbst schuld.


Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
Kartenleser, usw.), vielleicht das Ding mit anderer SIM \"einfach so\"
weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
die das Gerät ausschlachten oder tiefer in die Forensik einsteigen.

Ja, eben. Und diese Experten greifen ihr Opfer dann auch systematisch
von allen Seiten an. Das Smartphone ist hier nur eine Informationsquelle
von vielen - und eine eher schlechte, weil sie sich nur schwer unbemerkt
anzuzapfen lässt.
 
Hallo Volker Bartheld,

Du schriebst am Fri, 2 Sep 2022 09:09:43 +0200:

....
selbstverständlich auch telefonisch widersprechen und sie
zurückgehen lassen.
Mit dem Sma:tphone?

Vermutlich. Es wird dann vielleicht die \"Sicherheitsfrage\" nach dem
Geburtsdatum gestellt werden, welches man aus dem Facebook-Profil
holt.

Hmm - Arno das so gemeint hat?

Toll, wie universell so\'n Ding ist, sogar wenn man\'s verloren hat
oder es gestohlen wurde...

So schauts aus.

Aber wohl erstmal für den ehemaligen Besittzer etwas weniger.

Ich vermute bei der Flut an unterschiedlichen Modellen, daß der Dieb
eher den schnellen Euro sucht, d. h. schauen ob er damit schwarz
bezahlen kann, ohne großen Streß Daten absaugen (uSD in den externen
Kartenleser, usw.), vielleicht das Ding mit anderer SIM \"einfach so\"
weiterbenutzen/verkaufen und erst gaaaaanz hinten kommen die Experten,
die das Gerät ausschlachten oder tiefer in die Forensik einsteigen.

Ja, das ist wohl die verbliebene Chance: Versteckt in der Menge.

--
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------
 
On 08/25/2022 17:28, Helmut Schellong wrote:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
In _meinen_ Händen für nahezu vollkommen sicher (z.B. 99,99999%).
Definition: Mißbrauch einer meiner TANs in meinem Online-Banking.

Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.

Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!
photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.


Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.


SMS über Mobil-Telefon ist auch so eine Sache.
Für De-Mail mit Hoher Authentifikation muß man zusätzlich
zu name+pass eine mTAN-PIN (per Post) und eine mTAN-TAN (per SMS) eingeben.
SMS alleine fände ich auch zweifelhaft; mit der PIN zusammen bin ich besänftigt.
Man hat sich hier an den Mobil-Vertrag drangehängt, der seit einigen Jahren
nur mit Vorlage des Ausweises abgeschlossen werden kann.

Ich habe nun meinen Zugang auf photoTAN umgestellt.

Es ist umständlicher als mit iTAN - wie ich es mir dachte.

Und die Aktivierung hatte zu Beginn auch nicht funktioniert, so daß ich von Montag
(zwei erfolglose Versuche) bis heute am Freitag mit der Aktivierung wartete.
Beim allerletzten Schritt, OK-Button nach Eingabe des zweiten Aktivierungscodes (9-stellig),
kam nicht die Seite mit der Aktivierungsbestätigung, sondern eine Entschuldigung, daß der
Service zur Zeit nicht zur Verfügung steht und ich es doch später noch einmal versuchen solle.
Heute kam auf Anhieb die Seite mit der Bestätigung der erfolgreichen Aktivierung.

Das, was stört, ist das Dunkelschalten des Displays nach 15 Sekunden und das Ausschalten
des photoTAN-Gerätes nach 60 Sekunden, so daß alles von vorne begonnen werden muß.
Ich mußte zwar nichts von vorne beginnen, weil ich ein Profi bin, jedoch muß die
Konzentration dauernd zwischen Gerät und Online-Banking hin- und hergehen.
Man muß bis zu 15-stellige Nummern (über 2 Zeilen) mit der einen Hand eingeben
und mit der anderen Hand das Display zwischendurch mehrmals wieder hell schalten.
Das ist zum Glück nur bei der seltenen Aktivierung notwendig.

Ich würde mir wünschen, statt 15s auf 60s und statt 60s auf 240s zu gehen.
Die aktuellen kurzen Zeiten zeugen von mangelnder Praxis.
Da sind 3 x AAA drin. Das hält lange genug, denn so oft braucht man den Generator
nicht. Kann sein, daß ich ihn mitunter ein halbes Jahr lang nicht brauche.

Dennoch stört das Gerät auch beim Login, weil auch hier eine Hin-und-her-Konzentration
notwendig ist: Es muß nach Scan-Vorgang die PIN im Gerät eingetippt werden, dann die
TAN generiert werden und abschließend die TAN im Online-Banking eingegeben werden.

Positiv ist die schnelle Erfassung und Auswertung des zu scannenden Bildes.
Es kann einfach mit ≥5cm pro Sekunde auf das Bild zugeflogen werden - und
mittendrin ist das Resultat plötzlich da.
Eine gewisse Geschicklichkeit vorausgesetzt.

Ich kann mir vorstellen, daß nicht wenige Leute mit so\'nem Gerät nicht oder
nur schwer und fluchend klarkommen.
Den DiBa-Key einzugeben war sehr bedeutend \'ruhiger\' - geradezu lässig!

Bei der Aktivierung war auch eine iTAN notwendig, und es wurde ein
Einmal-Paßwort per SMS auf\'s Mobil-Telefon zugesandt, daß nur kurze
Zeit gültig war!

Von den sehr kurzen Zeiten bis zum automatischen Logout halte ich auch nichts.
Die Halbierung von 10 min auf 5 min ist einfach unsinnig.
Andere Dinge sind da wichtiger.
Beispielsweise wirklich _jede_ Aktivität des Users zum Reset verwenden.
Das wird aber nicht getan!
Ich sehe _arbeitend_, wie die Zeit nach unten gezählt wird.
Auch hier wird zu einer unnötigen Hetzerei gezwungen.
Das kann in der Endsumme unsicherer sein!


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Am Sun, 4 Sep 2022 00:00:55 +0200 schrieb Helmut Schellong

Ich habe nun meinen Zugang auf photoTAN umgestellt.

Es ist umständlicher als mit iTAN - wie ich es mir dachte.

Und die Aktivierung hatte zu Beginn auch nicht funktioniert, so daß ich von Montag
(zwei erfolglose Versuche) bis heute am Freitag mit der Aktivierung wartete.
Beim allerletzten Schritt, OK-Button nach Eingabe des zweiten Aktivierungscodes (9-stellig),
kam nicht die Seite mit der Aktivierungsbestätigung, sondern eine Entschuldigung, daß der
Service zur Zeit nicht zur Verfügung steht und ich es doch später noch einmal versuchen solle.
Heute kam auf Anhieb die Seite mit der Bestätigung der erfolgreichen Aktivierung.

Das, was stört, ist das Dunkelschalten des Displays nach 15 Sekunden und das Ausschalten
des photoTAN-Gerätes nach 60 Sekunden, so daß alles von vorne begonnen werden muß.
Ich mußte zwar nichts von vorne beginnen, weil ich ein Profi bin, jedoch muß die
Konzentration dauernd zwischen Gerät und Online-Banking hin- und hergehen.
Man muß bis zu 15-stellige Nummern (über 2 Zeilen) mit der einen Hand eingeben
und mit der anderen Hand das Display zwischendurch mehrmals wieder hell schalten.
Das ist zum Glück nur bei der seltenen Aktivierung notwendig.

Ich würde mir wünschen, statt 15s auf 60s und statt 60s auf 240s zu gehen.
Die aktuellen kurzen Zeiten zeugen von mangelnder Praxis.
Da sind 3 x AAA drin. Das hält lange genug, denn so oft braucht man den Generator
nicht. Kann sein, daß ich ihn mitunter ein halbes Jahr lang nicht brauche.

Dennoch stört das Gerät auch beim Login, weil auch hier eine Hin-und-her-Konzentration
notwendig ist: Es muß nach Scan-Vorgang die PIN im Gerät eingetippt werden, dann die
TAN generiert werden und abschließend die TAN im Online-Banking eingegeben werden.

Positiv ist die schnelle Erfassung und Auswertung des zu scannenden Bildes.
Es kann einfach mit =5cm pro Sekunde auf das Bild zugeflogen werden - und
mittendrin ist das Resultat plötzlich da.
Eine gewisse Geschicklichkeit vorausgesetzt.

Ich kann mir vorstellen, daß nicht wenige Leute mit so\'nem Gerät nicht oder
nur schwer und fluchend klarkommen.
Den DiBa-Key einzugeben war sehr bedeutend \'ruhiger\' - geradezu lässig!

Bei der Aktivierung war auch eine iTAN notwendig, und es wurde ein
Einmal-Paßwort per SMS auf\'s Mobil-Telefon zugesandt, daß nur kurze
Zeit gültig war!

Von den sehr kurzen Zeiten bis zum automatischen Logout halte ich auch nichts.
Die Halbierung von 10 min auf 5 min ist einfach unsinnig.
Andere Dinge sind da wichtiger.
Beispielsweise wirklich _jede_ Aktivität des Users zum Reset verwenden.
Das wird aber nicht getan!
Ich sehe _arbeitend_, wie die Zeit nach unten gezählt wird.
Auch hier wird zu einer unnötigen Hetzerei gezwungen.
Das kann in der Endsumme unsicherer sein!

Ich kann immer noch keinen großen Vorteil gegenüber der App erkennen. Da
starte ich die App mittels Fingerabdrucksensor und kann damit auf Konto
und Depot zugreifen oder scanne am PC zwei QR-Codes vom Bildschirm ab
und bin drinnen.

Wobei ich da im Moment dann nicht weiter komme weil sie noch eine
Mobilfunknummer wollen - in der App kann ich das noch überspringen.

Ob photoTAN mit dem jetzigen Generator in 10 Jahren noch funktioniert
ist völlig offen. Demgegenüber waren Updates von Banking-Apps für
Android bisher immer kostenlos.

cu.
Juergen

--
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
\\ Freie Bits für freie Buerger \\
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
 
On 09/08/2022 13:05, Juergen wrote:
Am Sun, 4 Sep 2022 00:00:55 +0200 schrieb Helmut Schellong

Ich habe nun meinen Zugang auf photoTAN umgestellt.

Es ist umständlicher als mit iTAN - wie ich es mir dachte.

Und die Aktivierung hatte zu Beginn auch nicht funktioniert, so daß ich von Montag
(zwei erfolglose Versuche) bis heute am Freitag mit der Aktivierung wartete.
Beim allerletzten Schritt, OK-Button nach Eingabe des zweiten Aktivierungscodes (9-stellig),
kam nicht die Seite mit der Aktivierungsbestätigung, sondern eine Entschuldigung, daß der
Service zur Zeit nicht zur Verfügung steht und ich es doch später noch einmal versuchen solle.
Heute kam auf Anhieb die Seite mit der Bestätigung der erfolgreichen Aktivierung.

Das, was stört, ist das Dunkelschalten des Displays nach 15 Sekunden und das Ausschalten
des photoTAN-Gerätes nach 60 Sekunden, so daß alles von vorne begonnen werden muß.
Ich mußte zwar nichts von vorne beginnen, weil ich ein Profi bin, jedoch muß die
Konzentration dauernd zwischen Gerät und Online-Banking hin- und hergehen.
Man muß bis zu 15-stellige Nummern (über 2 Zeilen) mit der einen Hand eingeben
und mit der anderen Hand das Display zwischendurch mehrmals wieder hell schalten.
Das ist zum Glück nur bei der seltenen Aktivierung notwendig.

Ich würde mir wünschen, statt 15s auf 60s und statt 60s auf 240s zu gehen.
Die aktuellen kurzen Zeiten zeugen von mangelnder Praxis.
Da sind 3 x AAA drin. Das hält lange genug, denn so oft braucht man den Generator
nicht. Kann sein, daß ich ihn mitunter ein halbes Jahr lang nicht brauche.

Dennoch stört das Gerät auch beim Login, weil auch hier eine Hin-und-her-Konzentration
notwendig ist: Es muß nach Scan-Vorgang die PIN im Gerät eingetippt werden, dann die
TAN generiert werden und abschließend die TAN im Online-Banking eingegeben werden.

Positiv ist die schnelle Erfassung und Auswertung des zu scannenden Bildes.
Es kann einfach mit =5cm pro Sekunde auf das Bild zugeflogen werden - und
mittendrin ist das Resultat plötzlich da.
Eine gewisse Geschicklichkeit vorausgesetzt.

Ich kann mir vorstellen, daß nicht wenige Leute mit so\'nem Gerät nicht oder
nur schwer und fluchend klarkommen.
Den DiBa-Key einzugeben war sehr bedeutend \'ruhiger\' - geradezu lässig!

Bei der Aktivierung war auch eine iTAN notwendig, und es wurde ein
Einmal-Paßwort per SMS auf\'s Mobil-Telefon zugesandt, daß nur kurze
Zeit gültig war!

Von den sehr kurzen Zeiten bis zum automatischen Logout halte ich auch nichts.
Die Halbierung von 10 min auf 5 min ist einfach unsinnig.
Andere Dinge sind da wichtiger.
Beispielsweise wirklich _jede_ Aktivität des Users zum Reset verwenden.
Das wird aber nicht getan!
Ich sehe _arbeitend_, wie die Zeit nach unten gezählt wird.
Auch hier wird zu einer unnötigen Hetzerei gezwungen.
Das kann in der Endsumme unsicherer sein!

Ich kann immer noch keinen großen Vorteil gegenüber der App erkennen. Da

Darum geht es ja auch gar nicht.
Das Thema lautet: \"iTAN vs Elektronik\".

starte ich die App mittels Fingerabdrucksensor und kann damit auf Konto
und Depot zugreifen oder scanne am PC zwei QR-Codes vom Bildschirm ab
und bin drinnen.

Und es geht zweitens um \'Sicherheit vs Komfort\'.
. https://de.wikipedia.org/wiki/Transaktionsnummer
Alles auf Smartphone ist wohl komfortabel - jedoch reichlich unsicher
im Vergleich mit gänzlich unabhängigen Generator-Geräten.

Wobei ich da im Moment dann nicht weiter komme weil sie noch eine
Mobilfunknummer wollen - in der App kann ich das noch überspringen.

Ob photoTAN mit dem jetzigen Generator in 10 Jahren noch funktioniert
ist völlig offen. Demgegenüber waren Updates von Banking-Apps für
Android bisher immer kostenlos.

Das opticalTAN habe ich bald 10 Jahre.
Eine Verknüpfung mit der Geldkarte findet statt, die eingeschoben werden muß.

photoTAN ist noch unabhängiger als dieses Verfahren.
Es gibt gar keinen Schlitz für Geldkarten.
Seriennummer, 15-stelliger und 9-stelliger Aktivierungs-Code werden aufgrund
von Scan-Bildern generiert und müssen online eingegeben werden, zuvor Generator-PIN.
Der Generator wird durch die Scan-Bilder regelrecht programmiert!
Generiert werden 7-stellige TANs, nicht mehr 6-stellige.

Ich glaube nicht, daß photoTAN als weit überlegenes Konzept schnell wieder
abgeschafft werden wird.



--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
Am Thu, 8 Sep 2022 14:56:18 +0200 schrieb Helmut Schellong
<rip@schellong.biz> zum Thema \"Re: iTAN vs Elektronik\":


Ich glaube nicht, daß photoTAN als weit überlegenes Konzept schnell wieder
abgeschafft werden wird.

Es reicht ja im Zweifelsfall, wenn es weiterentwickelt wird, um den
PhotoTAN-Generator zu einem nutzlich Stück E-Schrott zu verwandeln.
Hab ich mit dem speziellen TAN-Generator für die Consors-Bank erlebt und
mich dann für die App entschieden. Installiert auf einem älteren
Smartphone das dafür in der Schublade liegt und keine Mobilfunk-SIM mehr
hat. Das minimiert das Risiko, es zu verlieren.

cu.
Juergen

--
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
\\ Freie Bits für freie Buerger \\
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
 
Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
Hanno Foest <hurga-news2@tigress.com> wrote:
Am 01.09.22 um 10:59 schrieb Marc Haber:
Handhabe ich genauso: Nix mit Geld auf Smartphone. Etwas vorsichtiger zu
sein als andere (die dann als Opfer neuer Sicherheitsprobleme in der
ersten Reihe stehen) hab noch niemandem geschadet.

Wie machst Du denn Dein Onlinebanking?

Linuxrechner, recht restriktiv konfigurierter Firefox, chipTAN.

ChipTAN wird es nicht mehr so lange geben, fürchte ich. Das ist
natürlich ähnlich sicher wie ein dediziertes Smartphone mit
anständigem Sicherheitskonzept.

Und wird ersetzt durch ... lass mich raten: $BankName-App?
Damit der Ausfall/Verlust/Diebstahl des Telefons auch so _richtig_
weh tut - die wenigsten werden ein dediziertes \"nur für $BankName-
App\" Telefon ins Regal legen ...

Man liest sich,
Alex.
--
\"Opportunity is missed by most people because it is dressed in overalls and
looks like work.\" -- Thomas A. Edison
 

Welcome to EDABoard.com

Sponsor

Back
Top