nicht angemeldet
(Sicherheit) TAN-Liste im Internet
0 0 0 0 0 0 Danke für Eure Meinungen!
(Sicherheit) TAN-Liste im Internet
Moin.
ich möchte meine TAN-Liste für mich - natürlich, für wen denn sonst ;) im Internet verfügbar machen. Ich dachte mit folgendes: Die Liste scannen, als gif speichern, nach jeder Transaktion die Grafik bearbeiten, sprich die TAN "durchstreichen". Speicherort der Grafik: eine per .htaccess geschützte Subdomain mit kryptischem Namen, welche nur per https erreichbar und nirgends verlinkt ist.
Nun würde ich gern Eure Meinung dazu hören. Mir ist schon klar, das der Speicherort der Grafik in diversen Logfiles auftauchen wird und die Grafik auf diversen Proxies und im Cache des Browsers gespeichert wird. Aber ist das wirklich eine Gefahr? Natürlich kann man, genügend kriminelle Energie vorausgesetzt, die Liste finden, dann fehlt aber noch die passende Kontonummer (läßt sicher vielleicht auch noch 'rauskriegen) und das Passwort fürs Onlinebanking.
Sicher gehts auch anders: die Verwaltung einer Textliste an Stelle der Grafik ist natürlich einfacher, auch die Nutzung einer MySQL-DB ist denkbar.
Bin schon gespannt auf die Diskussion,
Gruß Frank
-
Hello,
Du könntest sie verschlüsseln, und dann mittels JavaScript auf dem Client durch Eingabe des Schlüssels wiederherstellen. Das sollte ungefähr dieselbe Sicherheit gewähren, wie sie in der Hosentasche oder dem Brustbeutel mit sich zu tragen.
Den Schlüssel musst Du Dir natürlich merken oder ganz woanders deponieren. *g*
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau -
Also wenn sich Dein Kontostand eh immer an der Dispogrenze befindet... Mach ruhig.
Wenn Du was zu verlieren hast, dann halte ich das für eine -mit Verlaub gesagt- selten dämliche Idee.Es ist im Prinzip total egal wie kryptisch die Domain ist und welche Sicherheitsvorkehrungen Du triffst, sobald rauskommt, dass Du sowas machst (und das ist hier geschehen) ist es nur eine Frage der Zeit, bis sich da jemand ranhängt.
Und gerade die TAN-Liste ist die einzige wirkliche Sicherheit beim aktuellen Online-Banking, weil die Nummern nicht wiederverwertbar sind. Deine Kontonummer und das Passwort kann jeder Hobby-Cracker mit Leichtigkeit ausspähen, wenn er will. Mit der TAN-Liste hat er dann vollen Zugriff auf Dein Konto.
-
Hallo MankoFranko,
Deine Kontonummer und das Passwort kann jeder Hobby-Cracker mit
Leichtigkeit ausspähen, wenn er will. Mit der TAN-Liste hat er dann
vollen Zugriff auf Dein Konto.Erklaer doch mal, wie soll das gehen, wie willst du eine SSL-Gesicherte
Verbindung abhoeren? Natuerlich vorrausgesetzt, der Server hat sich
korrekt authentifiziert.Grüße,
CK--
Wenn auf Erden alle das Schoene als schoen erkennen, so ist dadurch schon das Haessliche bestimmt.
http://wwwtech.de/-
Naja, die meisten Banken benutzen eine 128Bit-Verschlüsselung. Die ist gerade mal mittelmäßig sicher.
Ok, das schafft vielleicht nicht jeder Hobby-Cracker, das erfordert schon etwas mehr Fähigkeiten. Es ist aber nicht unmöglich.Aber das ist nicht was ich meine.
Es braucht nur jemand den (wahrscheinlich unzureichend gesicherten) Client-Rechner cracken, seinen Request zur Banking-Seite auf eine eigene umzuleiten, und schon überträgt der Geprellte ohne was zu merken seine Kontonummer und das Passwort dem Plünderer. Und das schafft jeder Hobby-Cracker!-
Hi!
Es braucht nur jemand den (wahrscheinlich unzureichend gesicherten) Client-Rechner cracken, seinen Request zur Banking-Seite auf eine eigene umzuleiten, und schon überträgt der Geprellte ohne was zu merken seine Kontonummer und das Passwort dem Plünderer.
Und würde so auch an gültige TANs kommen, egal ob Online oder in der Brieftasche oder im Tresor.
Grüße
Andreas--
SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/-
Und würde so auch an gültige TANs kommen, egal ob Online oder in der Brieftasche oder im Tresor.
Das stimmt allerdings...
Würde aber mehr Arbeit erfordern, weil dann die komplette Seite nachgebaut werden müsste. Und um die zu kennen, müsste man vorher Zugriff auf einen Account dort haben. Außerdem schauen sich Online-Banking-Kunden erfahrungsgemäß als erstes ihren aktuellen Kontostand an, der aber in diesem Fall nicht reproduzierbar wäre.-
Hi!
Würde aber mehr Arbeit erfordern, weil dann die komplette Seite nachgebaut werden müsste.
na und? Uns selbst das ist nicht immer notwendig, solche Leute sind teilweise erstaunlich kreativ, und deren Opfer erstaunlich leichtgläubig.
Und um die zu kennen, müsste man vorher Zugriff auf einen Account dort haben.
Zum einen gibt es sicher kreative Altenativen, z.B. kann der Online-Banking Bereich nach erfolgreichem Login aufgrund von "planungsmäßigen Wartungsarbeiten" für 30 Minuten offline sein...
Außerdem schauen sich Online-Banking-Kunden erfahrungsgemäß als erstes ihren aktuellen Kontostand an, der aber in diesem Fall nicht reproduzierbar wäre.
s.o.
Es gibt da Ansätze ohne Ende, ich verweise mit Freude auf die Homepage eines der international führenden Internet-Experten: http://www.peterhuth.de/
Dort unter "böse Tricks" -> "phishing". ;-)
Grüße
Andreas--
SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/-
Moin.
Zum einen gibt es sicher kreative Altenativen, z.B. kann der Online-Banking Bereich nach erfolgreichem Login aufgrund von "planungsmäßigen Wartungsarbeiten" für 30 Minuten offline sein...
Würdest Du die Verbindung so lange offen halten? Und bei einer solchen Meldung _nach_ den Login wäre ich schon skeptisch.
Außerdem schauen sich Online-Banking-Kunden erfahrungsgemäß als erstes ihren aktuellen Kontostand an,
nö ;)
Dort unter "böse Tricks" -> "phishing". ;-)
Auch hier ist es wohl nur der Leichtgläubigkeit/Unwissenheit der Nutzer zu verdanken, daß solche Methoden erfolgreich sind.
Gruß Frank
-
Hi!
Würdest Du die Verbindung so lange offen halten? Und bei einer solchen Meldung _nach_ den Login wäre ich schon skeptisch.
Nein, da kann ja stehen "Zur Zeit wird auf die Version 3.2 unserer Online-Banbking Software OBsecure umgestellt, um die Sicherheit ihres Online-Bankinsg weiter zu erhöhen. Ihre Sicherheit liegt uns ganz besonders am Herzen....
bitte versuchen sie es in 30 min noch einmal, wir bitten Sie die Unannehmlichkeiten zu entschuldigen..."... ob ich wohl ein Talent für sowas habe? ;-)
Vielleicht fallen viele nicht darauf herein, aber genügend wohl doch.
Dort unter "böse Tricks" -> "phishing". ;-)
Auch hier ist es wohl nur der Leichtgläubigkeit/Unwissenheit der Nutzer zu verdanken, daß solche Methoden erfolgreich sind.Ja, aber so ist das nunmal. Die meisten Leute haben zu wenig Ahnung von der Sicherheit Ihrer Rechner, und sind zudem leichtgläubig. Keine gute Mischung...
Grüße
Andreas--
SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
-
-
hi,
Würde aber mehr Arbeit erfordern, weil dann die komplette Seite nachgebaut werden müsste.
na und?einmal die seite mit dem browser komplett zum "offline lesen" abspeichern, und das ganze dann auf $boeser_webserver hochladen.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."
-
-
-
-
Hallo MankoFranko,
Naja, die meisten Banken benutzen eine 128Bit-Verschlüsselung. Die
ist gerade mal mittelmäßig sicher.Sie ist voellig ausreichend. Du vergisst, dass eine Sitzung maximal
eine halbe Stunde dauert, idR weniger. Und in der Zeit ist es nahezu
unmoeglich, die Verschluesselung zu cracken. Und da bei SSL der
Session-Key bei jeder neuen Verbindung neu erstellt wird, ist es
aufgrund der kurzen Zeit (maximal ein paar Sekunden) nahezu
unmoeglich die Verschluesselung zu cracken. Und gegen die beruehmten
MID-Angriffe sind heutzutage auch ziemlich schwer geworden, mal
abgesehen davon, dass es bei SSL Mechanismen gegen genau sowas gibt.
Nene, so einfach ist das nicht.Aber das ist nicht was ich meine.
Es braucht nur jemand den (wahrscheinlich unzureichend gesicherten)
Client-Rechner cracken, seinen Request zur Banking-Seite auf eine
eigene umzuleiten, und schon überträgt der Geprellte ohne was zu
merken seine Kontonummer und das Passwort dem Plünderer. Und das
schafft jeder Hobby-Cracker!Jemand, dem es moeglich ist, eine Logik zu schreiben, die eine
TAN-Liste verwaltet, sollte es auch moeglich sein, seinen Rechner
abzusichern.Grüße,
CK -
Moin.
Es braucht nur jemand den (wahrscheinlich unzureichend gesicherten) Client-Rechner cracken,
Ich würde ganz sicher nicht von jedem beliebigen Internet-Cafe Onlinebanking machen, genauso wenig wie ich die TAN-Liste von dort aus bearbeiten würde. Ich hab nur eben an verschiedene Orten einen PC mit einem alternativen OS nebst einigermaßen sicherem Browser, einem aktuellen Virenscanner und einer gut gepflegten (externen) Firewall.
seinen Request zur Banking-Seite auf eine eigene umzuleiten, und schon überträgt der Geprellte ohne was zu merken seine Kontonummer und das Passwort dem Plünderer. Und das schafft jeder Hobby-Cracker!
Das will ich nicht ausschließen, jedenfalls gilt das sicher für den Otto-Normal-User. Aber ich denke schon, daß ich weiß, was auf _meinem_ PC geschieht.
Gruß Frank
-
-
Hello,
Erklaer doch mal, wie soll das gehen, wie willst du eine SSL-Gesicherte
Verbindung abhoeren? Natuerlich vorrausgesetzt, der Server hat sich
korrekt authentifiziert.Naja, die, die das können, haben es sicher nicht nötig, ein paar TANs zu klauen. Die entscheiden im Jahr über Milliarden.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
hier sind ein paar tans von mir:
012987 187654 234876 345765 283755 104765 386492
sind doch immer 6 stellen? oder habe ich mich verzählt?
also: volle attacke auf mein konto
-
Hi!
hier sind ein paar tans von mir:
012987 187654 234876 345765 283755 104765 386492das glaub ich Dir nicht ;-)
Denn dann müsstest Du damit rechnen dass es einen bösartigen Dev gibt, oder einen bisher unentdecktern Einbrecher auf dem Server, oder jemanden der eine Schwachstelle im Forums-Source kennt, der sich Deine IP besorgt, Deinen Rechner scannt, natürlich Windows samt Sicherheitslücken findet, sich dann schön auf Deinem Rechner umsieht, evtl. Zugangsdaten im Cache findet, oder wartet bis Du Dich erneut einloggst... und schupp sind 7 x 5000 EUR auf den niederländischen Antillen ;-)
Grüße
Andreas--
SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/-
Hi!
hier sind ein paar tans von mir:
012987 187654 234876 345765 283755 104765 386492
das glaub ich Dir nicht ;-)doch das stimmt.
da tans ja 6 stellig sind, und es wesentlich mehr konten gibt, sind die tans ja zig mal gleich für unterschiedliche konten. die wahrscheinlichkeit, das die tan 123456 gleich für mehrere konten gültig ist, ist sehr groß.Denn dann müsstest Du damit rechnen dass es einen bösartigen Dev gibt, oder einen bisher unentdecktern Einbrecher auf dem Server, oder jemanden der eine Schwachstelle im Forums-Source kennt, der sich Deine IP besorgt, Deinen Rechner scannt, natürlich Windows samt Sicherheitslücken findet, sich dann schön auf Deinem Rechner umsieht, evtl. Zugangsdaten im Cache findet, oder wartet bis Du Dich erneut einloggst... und schupp sind 7 x 5000 EUR auf den niederländischen Antillen ;-)
ja - soll er. nichts einfacher als das. und los gehts.
er soll die ip herausfinden.
den rechner scannen (ohne meine hilfe)
sich auf dem rechner umsehen.
und zugangsdaten finden.
und (sich schwarz) warten bis ich mich einlogge.-
hi,
da tans ja 6 stellig sind, und es wesentlich mehr konten gibt, sind die tans ja zig mal gleich für unterschiedliche konten. die wahrscheinlichkeit, das die tan 123456 gleich für mehrere konten gültig ist, ist sehr groß.
deine milchmädchenrechnung geht so nicht auf.
für dein konto gültig sind jeweils nur die TANs auf deinem aktuellen TAN-block.
gehen wir mal der einfachheit halber davon aus, dass von 000000 bis 999999 alle ziffernkombinationen gültig wären, dann hätten wir also eine million TANs.
bei, sagen wir mal, 50 TANs pro block, könnten wir damit also zum startzeitpunkt schon 20.000 konten mit jeweils individuellen TANs versorgen.
nach "verbrauchen" der TANs wird dann rotiert, so dass es gewisse überschneidungen geben mag, bei denen mal eine TAN für zwei konten gleichzeitig gültig sein kann.aber so "groß", wie du es dir vorstellst, dürfte die wahrscheinlichkeit, dass eine TAN zum jetzigen zeitpunkt für x konten gleichzeitig gültig wäre, wohl nicht sein.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
Hello,
gehen wir mal der einfachheit halber davon aus, dass von 000000 bis 999999 alle ziffernkombinationen gültig wären, dann hätten wir also eine million TANs.
bei, sagen wir mal, 50 TANs pro block,Ist also eine Trefferwahrscheinlichkeit von 50/1.000.000
Man darf zweimal daneben tippen mit der Tan, beim dritten Mal muss es passen, sonst wird das Konto gesperrt. Also eine Trefferwahrscheinlichkeit von 150/1.000.000Außerdem sind selten noch alle TANs gültig, was die Trefferwahrscheinlichkeit wieder verringert.
Fie eignetlich Sicherheit entsteht ja nur duech die Triggerfunktion "Abschalten nach drei Fehlversuchen" innerhalb 24 Stunden oder so...
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau -
hi,
da tans ja 6 stellig sind, und es wesentlich mehr konten gibt, sind die tans ja zig mal gleich für unterschiedliche konten. die wahrscheinlichkeit, das die tan 123456 gleich für mehrere konten gültig ist, ist sehr groß.
deine milchmädchenrechnung geht so nicht auf.
ein mathematiker fragte einst:
wie hoch ist die wahrscheinlichkeit, daß 2 menschen die gleiche anzahl haare haben? (glatzen mal ausgenommen)
wenn du die lösung gefunden hast, wirst du auch wissen, wie viele konten die gleichen tans haben.
-
hi,
ein mathematiker fragte einst:
wie hoch ist die wahrscheinlichkeit, daß 2 menschen die gleiche anzahl haare haben? (glatzen mal ausgenommen)
wenn du die lösung gefunden hast, wirst du auch wissen, wie viele konten die gleichen tans haben.
dann sag's doch einfach, falls du meinst, es würde was zum thema beitragen.
auf ratespielchen habe ich keine lust.wenn du wiederum keine lust hast, dich an einer diskussion zum thema und hier insbesondere zum wahrheitsgehalt deiner aussagen bzw. stichhaltigkeit deiner logik zu beteiligen - dann sag's doch einfach, und komm nicht mit vollkommen themenfremden rätsel-spielchen.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
dann sag's doch einfach, falls du meinst, es würde was zum thema beitragen.
auf ratespielchen habe ich keine lust.dann google doch mal. betrifft zahlenbereiche und hat auch was mit kollision zu tun.
das ist so ähnlich wie im bus: 50 passen rein, 1000 stehen davor.
ein mensch hat ca. 40000-50000 haare. es gibt aber eine ganze menge menschen (so ca. 5-6 milliarden)
wenn jeder mensch nun eine einzigartige anzahl haare hätte, dürfte es nur ca. 10000 menschen geben. darüber hinaus gibts kollisionen. das ist dann die zahl der menschen mit gleicher anzahl haaren.
und so ähnlich ist das auch mit den tans und den konten. es gibt deutlich meht konten als tans. und somit auch keine kollisionsfreiheit.
-
-
-
Hi,
da tans ja 6 stellig sind, und es wesentlich mehr konten gibt, sind die tans ja zig mal gleich für unterschiedliche konten. die wahrscheinlichkeit, das die tan 123456 gleich für mehrere konten gültig ist, ist sehr groß.
deine milchmädchenrechnung geht so nicht auf.Rechne mal anders:
Es gibt 1 Million verschiedene TANs.
Bei 80 Millionen Deutschen gibt es 40 Millionen Konten (geschätzt - Kinder haben kein eigenes Konto, Ehepaare manchmal nur ein gemeinsames usw.).
Selbst wenn für jedes Konto nur eine einzige TAN gültig wäre, müßte jede der 1 Million möglichen TANs im Durchschnitt für 40 Konten gültig sein.
Bei mir hat eine TAN-Liste 128 Einträge - im Durchschnitt sollte die Hälfte der TANs noch gültig sein, macht also 64 gültige TANs pro Liste.
für 40 Millionen Konten gibt es also etwa 40 Millionen * 64 = 2560 Millionen gültige TANs. Bei immer noch 1 Million möglicher verschiedener TANs bedeutet das, daß jede TAN im Durchschnitt für 2560 Konten gültig ist (pro Liste dürfen TANs nicht doppelt vorkommen, dieser Fall muß also nicht berücksichtigt werden).
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
-
-
-
-
-
-
Hallo Frank,
ich bin ja auch ziemlich technophil eingestellt, aber mal ganz ehrlich: Wäre es nicht wirklich einfacher, du faltest die TAN-Liste fein säuberlich zusammen und steckst sie dann zu den Ausweispapieren in die Brieftasche?
Wenn du sie dann aus Unachtsamkeit verlieren solltest, hast du das gleiche Risiko, als wenn jemand deine Online-Liste knackt. Aber der Aufwand für dich ist ERHEBLICH geringer.
Oweioweiowei...So long,
Martin
-
Hi.
ich bin ja auch ziemlich technophil eingestellt, aber mal ganz ehrlich: Wäre es nicht wirklich einfacher, du faltest die TAN-Liste fein säuberlich zusammen und steckst sie dann zu den Ausweispapieren in die Brieftasche?
Hm. Einfache Lösung, daß ich da nicht drauf gekommen bin *grins*
Obwohl - die EC-Karte steckt direkt daneben, dann ist schon mal die Kontonummer bekannt. Aber noch nicht Passwort bzw. PIN.Gruß Frank
-
hi,
ich bin ja auch ziemlich technophil eingestellt, aber mal ganz ehrlich: Wäre es nicht wirklich einfacher, du faltest die TAN-Liste fein säuberlich zusammen und steckst sie dann zu den Ausweispapieren in die Brieftasche?
hat den vorteil, dass du dann relativ zeitnah _merkst_ (bzw. merken kannst), wenn sie dir abhanden gekommen ist.
wenn aber jemand deine online abgelegte liste "findet", merkst du das u.U. nicht sofort, vielleicht auch nie.Obwohl - die EC-Karte steckt direkt daneben, dann ist schon mal die Kontonummer bekannt.
wenn deine bank als usernamen für's online-banking die kontonummer hernimmt - dann würde ich die bank wechseln.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
hi
wenn deine bank als usernamen für's online-banking die kontonummer hernimmt - dann würde ich die bank wechseln.
Kontonummer ist ein Zugangskriterium, Passwort UND Pin ein weiteres. War in meinem Posting nicht ganz eindeutig.
Gruß Frank
-
wenn deine bank als usernamen für's online-banking die kontonummer hernimmt - dann würde ich die bank wechseln.
Warum?
Ob Du nun ständig Deinen Nutzernamen mit Dir rumtragen mußt, oder Deine Kontonummer, das Risiko bleibt gleich.
Also warum nicht?
TomIRL-
hi,
Warum?
Ob Du nun ständig Deinen Nutzernamen mit Dir rumtragen mußt, oder Deine Kontonummer, das Risiko bleibt gleich.
Also warum nicht?meinen nutzernamen kann ich im kopf behalten, und auf wunsch auch _nur dort_.
meine kontonummer hingegen steht auf meiner EC-karte, kundenkarte der bank, rechnungen, ist geschäftspartnern bekannt, etc.gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
hi,
Warum?
Ob Du nun ständig Deinen Nutzernamen mit Dir rumtragen mußt, oder Deine Kontonummer, das Risiko bleibt gleich.
Also warum nicht?meinen nutzernamen kann ich im kopf behalten, und auf wunsch auch _nur dort_.
meine kontonummer hingegen steht auf meiner EC-karte, kundenkarte der bank, rechnungen, ist geschäftspartnern bekannt, etc.0152728
Ist meine Kontonummer ich bin bei der Deutschen Bank.
Nu probiere doch mal drauf zu kommen.
Ohne Passwort/ PIN ist da nichts zu wollen.
Ich hab einige Banken die haben separate Usernamen, (meist eine Zahlenkombination die man sich auf den Tod nicht merken kann) und einige die haben die Kontonummer als Login. Ich habe noch keine Bank gesehen wo man sich seine Usernamen selbst aussuchen kann.
Wenn ich also, wie bisher auch, meine Usernamen im Portomonais mit mir rumtragen muß, dann brauche ich solch Quatsch wie zusätzliche Usernamen nicht, da mußt Du mir wohl recht geben, das minimale plus an Sicherheit ist dann sogleich wieder kaputt.TomIRL
-
hi,
0152728
Ist meine Kontonummer ich bin bei der Deutschen Bank.
Nu probiere doch mal drauf zu kommen.
Ohne Passwort/ PIN ist da nichts zu wollen.das ist schon klar.
aber wenn du jetzt mal irgendwo deine geldbörse mit dem zettel mit deiner tan und ec-karte rumliegen lässt, hab ich schon alles was ich brauche, um erst mal "drin" zu sein.Ich hab einige Banken die haben separate Usernamen, (meist eine Zahlenkombination die man sich auf den Tod nicht merken kann)
na ja ... ist doch wie bei einer telefonnummer, ein halbes dutzend mal benutzt, dann hab ich mir die gemerkt.
Ich habe noch keine Bank gesehen wo man sich seine Usernamen selbst aussuchen kann.
na ja, wie "einfallsreich" manche user dabei wären, ist den banken ja auch bekannt.
Wenn ich also, wie bisher auch, meine Usernamen im Portomonais mit mir rumtragen muß, dann brauche ich solch Quatsch wie zusätzliche Usernamen nicht, da mußt Du mir wohl recht geben, das minimale plus an Sicherheit ist dann sogleich wieder kaputt.
ja, _wenn_ du dir deinen usernamen nicht merken kannst :-)
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
n' Abend
aber wenn du jetzt mal irgendwo deine geldbörse mit dem zettel mit deiner tan und ec-karte rumliegen lässt, hab ich schon alles was ich brauche, um erst mal "drin" zu sein.
nö. Ohne Usernamen und/oder Passwort bzw. PIN kommst Du ja garnicht an die Stelle, an der Du die TAN nutzen kannst. Oder verbrauchst Du bei Deiner Bank bei jedem Login eine TAN? Selbst wenn nur Kto-Nr. und PIN zum Login benötigt werden, nutzt Dir die TAN-Liste erstmal garnichts. Es sein denn, ich schreibe meine PIN (Onlinebanking-PIN und EC-PIN sind natürlich unterschiedlich) auf die EC-Card ;)
Gruß Frank
-
-
-
-
-
Hello,
wenn deine bank als usernamen für's online-banking die kontonummer hernimmt - dann würde ich die bank wechseln.
Das machen aber leider viele, oder aber den Klartextnamen des Kontoinhabers. Und der geht sogar noch, wenn man sich einen Alias eingerichtet hat. "Ist eben nur ein Alias und kein Ersatz" habe ich da mal als Antwort bekommen. Am sichersten ist immer noch der Tauschhandel. Da bracuht man nur Freunde und kein Konto *gg*
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-
ich möchte meine TAN-Liste für mich - natürlich, für wen denn sonst ;) im Internet verfügbar machen. Ich dachte mit folgendes: Die Liste scannen, als gif speichern, nach jeder Transaktion die Grafik bearbeiten, sprich die TAN "durchstreichen". Speicherort der Grafik: eine per .htaccess geschützte Subdomain mit kryptischem Namen, welche nur per https erreichbar und nirgends verlinkt ist.
Nun würde ich gern Eure Meinung dazu hören. Mir ist schon klar, das der Speicherort der Grafik in diversen Logfiles auftauchen wird und die Grafik auf diversen Proxies und im Cache des Browsers gespeichert wird. Aber ist das wirklich eine Gefahr? Natürlich kann man, genügend kriminelle Energie vorausgesetzt, die Liste finden, dann fehlt aber noch die passende Kontonummer (läßt sicher vielleicht auch noch 'rauskriegen) und das Passwort fürs Onlinebanking.
warum so kompliziert ?
Sicher gehts auch anders: die Verwaltung einer Textliste an Stelle der Grafik ist natürlich einfacher, auch die Nutzung einer MySQL-DB ist denkbar.
ja, ist docj ok.
mit den tans kann eh niemand etwas anfangen, wenn er das dazugehörige konto nicht kennt. zudem muß ich bei meinen konten auch immer eine pin mitgeben.
-
Hallo,
Bin schon gespannt auf die Diskussion,
Was gibt es da zu diskutieren. Tue es.
Grüße
ThomasPS: für Folgeschäden, welcher Art auch immer, übernehme ich garantiert keine Haftung.
-
Hi Thomas
PS: für Folgeschäden, welcher Art auch immer, übernehme ich garantiert keine Haftung.
Schade ;)
Gruß Frank
-
-
Moin.
Wollte mich nur nochmal für Eure Meinungsäußerungen hier bedanken, werde wohl die internetfreie Zettel-Brieftaschen-Methode nutzen. Manchmal ist die einfachste Variante auch die beste. Obwohl, wie ja dieser Thread gezeigt hat, auch die Speicherung der TANs auf einem Websever nicht so problematisch ist. Schließlich werden noch einige andere Infos benötigt, um das Konto zu erleichtern.
Vielen Dank an alle,
Gruß Frank