Sicherheit von TANs/iTANs
2006-10-04 12:44
Marrow
Im STiNE-Thread ist ja eine recht lange Diskussion um TANs entstanden, ich versuche mal, alle Beiträge hier zu zitieren, damit hier weitergemacht werden kann:
Newton:
Popcorn:
Newton:
Meine Tans habe ich auch noch nicht. Was mich wundert:
STiNE benutzt iTANs, allerdings will STiNE bei jedem Neu-Laden der Seite eine andere TAN haben. Die Idee hinter indizierten TANs ist doch gerade, dass wenn jemand per Phishing eine TAN herauskriegt, die Wahrscheinlichkeit sehr gering ist, dass er damit was anfangen kann.
So wie es in STiNE umgesetzt ist, braucht der Angreifer doch nur solange F5 zu drücken bis das System die TAN haben will die er auch hat.
Popcorn:
Meine Tans habe ich auch noch nicht. Was mich wundert:Wenn jemand per Phishing eine TAN rauskriegt, hat er aber noch nicht die Nummer dazu. Und dann bleibt die Frage was passiert, wenn jemand eine gültige TAN an falscher Stelle eingibt. Vielleicht wird die dann ja aus der internen Datenbank gestrichen. Wer stellt seine Daten zum Test zur Verfügung? [img]http://www.fb18.de/gfx/24.gif[/img]
STiNE benutzt iTANs, allerdings will STiNE bei jedem Neu-Laden der Seite eine andere TAN haben. Die Idee hinter indizierten TANs ist doch gerade, dass wenn jemand per Phishing eine TAN herauskriegt, die Wahrscheinlichkeit sehr gering ist, dass er damit was anfangen kann.
So wie es in STiNE umgesetzt ist, braucht der Angreifer doch nur solange F5 zu drücken bis das System die TAN haben will die er auch hat.