Blah-Archiv » mTAN http://localhost/blah-dev Kurz und knapp und blah... Thu, 01 Aug 2013 18:58:27 +0000 de-DE hourly 1 http://wordpress.org/?v=3.6 Und auch weiterhin viel Spaß bei der »Absicher… http://localhost/blah-dev/2012/12/06/und-auch-weiterhin-viel-spass-bei-der-absicher/ http://localhost/blah-dev/2012/12/06/und-auch-weiterhin-viel-spass-bei-der-absicher/#comments Thu, 06 Dec 2012 19:18:00 +0000 Nachtwächter http://localhost/blah-dev/2012/12/06/und-auch-weiterhin-viel-spass-bei-der-absicher/ Und auch weiterhin viel Spaß bei der »Absicherung« eurer Fernkontoführung mit dem mTAN-Verfahren und mit euren Wischofonen – die zusätzliche »Sicherheit« von mTAN beruhte ja darauf, dass Mobilfunk und Internet zwei verschiedene Medien sind, die mit zwei physikalisch nicht verbundenen Geräten bedient wurden, und nachdem das immer mehr vorbeigeht, hat die organisierte Kriminalität eben leichtes Konto-Leerräumen. Opfer bedanken sich am trefflichsten bei allen Klitschen, die ihre Hard- und Software mit dem Versprechen der »Einfachheit« verkaufen, aber nicht für einen halben Schiss an Sicherheit gedacht haben. (Also Guhgell für Ändräut und Meikrosoft für Windohs.)

]]>
http://localhost/blah-dev/2012/12/06/und-auch-weiterhin-viel-spass-bei-der-absicher/feed/ 0
Darauf warte ich schon etwas länger, dass es ei… http://localhost/blah-dev/2012/11/13/darauf-warte-ich-schon-etwas-laenger-dass-es-ei/ http://localhost/blah-dev/2012/11/13/darauf-warte-ich-schon-etwas-laenger-dass-es-ei/#comments Tue, 13 Nov 2012 18:47:30 +0000 Nachtwächter http://localhost/blah-dev/2012/11/13/darauf-warte-ich-schon-etwas-laenger-dass-es-ei/ Darauf warte ich schon etwas länger, dass es einen so großflächigen Betrug mit dem mTAN-Verfahren und Trojanern auf Wischofonen gibt, dass eine Polizei eine deutliche Warnung veröffentlchen muss. Es war nämlich nur eine Frage der Zeit. [via Fefe]

Nachtrag: Das ist vollkommen sicher, was soll da schon passieren?

]]>
http://localhost/blah-dev/2012/11/13/darauf-warte-ich-schon-etwas-laenger-dass-es-ei/feed/ 0
Ich finde die Idee der Banken, dass man das so g … http://localhost/blah-dev/2011/10/07/ich-finde-die-idee-der-banken-dass-man-das-so-g/ http://localhost/blah-dev/2011/10/07/ich-finde-die-idee-der-banken-dass-man-das-so-g/#comments Fri, 07 Oct 2011 13:03:36 +0000 Nachtwächter http://localhost/blah-dev/2011/10/07/ich-finde-die-idee-der-banken-dass-man-das-so-g/ Ich finde die Idee der Banken, dass man das so genannte »Online-Banking« (kann man nicht einfach »Fernkontoführung« sagen) sicherer macht, indem man es nicht nur in einer komplexen und deshalb für den Normalanwender undurchschaubaren Anwendung wie einem Webbrowser laufen lässt, sondern zudem die zusätzliche Komplexität eines für den Normalanwender ebenfalls undurchschaubaren mTAN-Verfahrens einbaut, bei dem die TAN über das (ebenfalls angreifbare) Händi übermittelt wird, mehr als nur ein bisschen bescheuert. Sicherheit und Komplexität sind ein Gegensatzpaar; ein komplexes Verfahren zur »Sicherheit« ist um so leichter angreifbar, je weniger die Menschen, die dieses Verfahren anwenden sollen, dabei in die Lage versetzt werden, es zu verstehen und damit die für wirkliche Sicherheit erforderliche Selbstverantwortung wahrzunehmen. Von daher bin ich nicht darüber überrascht, dass jetzt die ersten einigermaßen ausgefeilten Angriffe gegen das mTAN-Verfahren laufen. Vermutlich wird es Banken (und damit ihre Kunden) einige Milliarden Euro Lehrgeld kosten, bis endlich die Lektion gelernt wird, dass Sicherheit nur durch eine größtmögliche Reduktion der Komplexität (und damit der angreifbaren Komponenten eines Verfahrens) erreichbar ist. Vermutlich wird man dann erst einsehen, dass gewisse Dinge nicht in einem Browser getan werden sollten…

]]>
http://localhost/blah-dev/2011/10/07/ich-finde-die-idee-der-banken-dass-man-das-so-g/feed/ 0
Schlangenöl des Tages: Was ist so ein Zertifikat wert? http://localhost/blah-dev/2011/04/05/schlangenoel-des-tages-was-ist-so-ein-zertifikat-wert/ http://localhost/blah-dev/2011/04/05/schlangenoel-des-tages-was-ist-so-ein-zertifikat-wert/#comments Tue, 05 Apr 2011 18:39:47 +0000 Nachtwächter http://localhost/blah-dev/2011/04/05/schlangenoel-des-tages-was-ist-so-ein-zertifikat-wert/ Schlagenöl des Tages: Was ist so ein Zertifikat wert, mit dem etwas digital signiert wird? Na, ungefähr so viel wie die Klitsche, die so ein Zertifikat ausstellt. Bei den Trojanern, die gerade Nokia-Händis überschwemmen, ist das Zertifikat gar nichts wert: »Damit sich Software auf einem Symbian-Handy ohne auffällige Warnungen installieren lässt, muss diese digital signiert sein. Der SpyEye-Trojaner ist deshalb mit einem Entwickler-Zertifikat unterschrieben, wie man es kostenlos etwa vom chinesischen Dienstleister OPDA erhalten kann«. Hoffentlich braucht es nicht noch mehr Schäden durch diese simulierte Sicherheit, die ein völlig falsches Sicherheitsgefühl verbreitet.

Hey, und wer mit seinem PC wirklich Geld bewegen will, der sollte schon darauf achten, dass die Kiste dicht ist. Wirklich dicht! Ein sauberes Betriebssystem, dass man von einem Read-Only-Medium bootet, ist nicht etwa paranoid, sondern ein Minimum an Sorgfalt. Egal, was Banken in ihren Hochglanzprojekten von »Einfachheit« faseln und was irgendwelche Hersteller von Anti-Viren-Software an Reklame machen.

]]>
http://localhost/blah-dev/2011/04/05/schlangenoel-des-tages-was-ist-so-ein-zertifikat-wert/feed/ 2