Re: Anti-Phishing-Methode

---

• From: Florian Weimer <fw@xxxxxxxxxxxxx>
• Date: Mon, 29 Aug 2005 15:20:36 +0200

---

* Juergen P. Meier:

>> Im Moment hast Du mit solchen Tokens (oder auch dem iTAN-Verfahren)
>> einen ausreichenden Vorsprung vor dem Rest, so daß man fürs erste von
>> weiteren Angriffen verschont bleibt. Aber das ändert sich, sobald sie
>> flächendeckend eingesetzt werden. Von den gegenwärtig angebotenen
>> Mechanismen gebe ich allein dem zweiten mTAN-Verfahren (das erste ist
>> ungefähr das, was Dan Geers Firma zu verkaufen versucht, und daher nur
>> kurzfristig brauchbar) ein paar Jahre, bis es in der Praxis gebrochen
>> ist.
>
> Nachwievor ist die SMS-Infrastruktur fuer mTAN zu ungeschuetzt.

Ich sehe eher Probleme bei den Kosten und der Zuverlässigkeit des
SMS-Versands, die eine generelle Einführung unwahrscheinlich machen.

> Klartext, manipulierbar und einfach abzufangen (ohne direkten
> Netzzugriff), das ist SMS. Das fuer TAN-Versand zu vewenden ist
> vergleichbar mit dem Versand von einmal-TANs auf Postkarten.

Die mTANs sind beim zweiten Verfahren an eine konkrete Kontonummer und
einen bestimmten Betrag gebunden; diese Daten sind in der SMS
enthalten. Der Kunde kann also prüfen, ob sein eigener Rechner einen
MITM-Angriff gegen ihn durchführt. Es gibt derzeit kein anderes
Verfahren, daß dies leisten kann.

Die Übertragung von Kontonummer und Betrag im Klartext mag unter
Datenschutzaspekten nicht der Königsweg sein. Für einen Angreifer sind
die Daten aber wertlos, weil zur Ausführung der Überweisung noch die
Browser-Session benötigt wird. Erst wenn beide Kanäle vom Angreifer
manipuliert werden können (z.B. im Zuge der Integration von
Mobiltelefonen und Computern), ist das Verfahren gebrochen.

>> Allerdings befürchte ich auch, daß sich mittelfristig Banken,
>> Jugendschützer und die Musikindustrie verbünden werden und die
>> gemeinsamen Probleme durch Filter auf ISP-Ebene angehen.
>
> Filter auf ISP-Ebene bringen gegen diese Probleme allerdings nicht
> viel.

Sie können den Gegner aber zu erheblichen Investitionen in Forschung
und Entwicklung zwingen, was den Kreis der Beteiligten verkleinern
dürfte.
.

---

• Follow-Ups:
  • Re: Anti-Phishing-Methode
    • From: Juergen P. Meier

• References:
  • Anti-Phishing-Methode
    • From: Jan Schejbal
  • Re: Anti-Phishing-Methode
    • From: Florian Weimer
  • Re: Anti-Phishing-Methode
    • From: Juergen P. Meier

• Prev by Date: Re: Welchen Zustand hat der PC während Benutzerwechsel?
• Next by Date: Re: GSM-Netz Sicherheitslücken
• Previous by thread: Re: Anti-Phishing-Methode
• Next by thread: Re: Anti-Phishing-Methode
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: [kttsd] Deutscher Sprecher ... Ein solcher Filter ist mit einfachen Shell-Mitteln recht schnell ... | # Parameters for preproc. ... Prev by Date: ... Next by Date: ... (de.comp.os.unix.apps.kde) =?iso-8859-1?q?Re:_Desktop-Hintergrund_nicht_mehr_=E4nderbar?= ... Computer, deren Nutzer/innen sich sonstwelche Workarounds zurechtgelegt ... Filter zu haben, oder aber meine Adresse ist nicht so umtriebig. ... Prev by Date: ... Next by Date: ... (microsoft.public.de.german.windowsxp.sonstiges) Re: "Geiz ist geil". Aber nicht bei S**urn ... das Web und auch das Usenet als Teil davon nach Infos ... Die Filter helfen nur bedingt. ... Prev by Date: ... Next by Date: ... (de.talk.tagesgeschehen) Re: Gartenteichtiefe ... Drittel hat die Tiefe von 1 m. ... biologischen Filter mit Kremikröhrchen, Zeolith und irgendwelchen ... Prev by Date: ... Next by Date: ... (de.rec.garten) Re: Anti-Phishing-Methode ... > blenden lassen, ist aber erschreckend lang: Howard Schmidt, Dan Geer, ... Filter auf ISP-Ebene bringen gegen diese Probleme allerdings nicht ... Prev by Date: ... Next by Date: ... (de.comp.security.misc)

---

We are proud to have Web Hosting and Rack Housing from 9 Net Avenue Deutschland.
(11)