Durandil
Dúnadan
- Registriert
- 16.01.2002
- Beiträge
- 5.644
@Seebär: Ja, die PIN für die Banksoftware und/oder Webseite ist eine andere als die für die Karte, das macht keinen Unterschied. Sobald einer der Abermillionen stumpfen Trojaner auf dem Rechner ist, ist die dennoch streng genommen verbrannt. Und das passiert nicht im "Dachziegelfall", sondern hunderttausendfach jede Woche.
So, der Banktrojaner hat jetzt also Deine PIN, weil Du sie am Rechner eingegeben hast (entweder in die Webseite oder in eine der Dutzend vom Trojaner erkannten Softwarelösungen), und Deine Identität sicher auch. Was ist im Umkreis von 50 Kilometern um sein Operationsgebiet? Na dann mal los Karte klauen. Bzw. schön gesammelt auf dem Schwarzmarkt an lokale ypen verkauft.
Der entscheidende Punkt: Der Angriffsvektor startet also nicht beim Handtaschendieb, der Nach Klau der Karte auf die Suche geht, sondern umgekehrt bei dem, der die PIN geklaut hat und samt Identität verkauft oder selber nutzt.
Und nein, das ist kein Dachziegelfall, sondern gang und gäbe.
@Erian: was in obigem Szenario eine Stärke ist, ist in Deinem rein softwarebasierten eine Schwäche. Nur - damit der Generator sicherer wäre als der TAN-Bogen, müsste die überweisende Person konkret die Anzeige auf dem TAN-Generator mit dem Bildschirm vergleichen. Ist zwar nicht so aufwändig wie das Zertifikat zu überprüfen, aber dennoch im Alltag sehr wahrscheinlich eher seltener der Fall. Und eben deswegen ist das Terminal sicherer als diese beiden Methoden.
So, der Banktrojaner hat jetzt also Deine PIN, weil Du sie am Rechner eingegeben hast (entweder in die Webseite oder in eine der Dutzend vom Trojaner erkannten Softwarelösungen), und Deine Identität sicher auch. Was ist im Umkreis von 50 Kilometern um sein Operationsgebiet? Na dann mal los Karte klauen. Bzw. schön gesammelt auf dem Schwarzmarkt an lokale ypen verkauft.
Der entscheidende Punkt: Der Angriffsvektor startet also nicht beim Handtaschendieb, der Nach Klau der Karte auf die Suche geht, sondern umgekehrt bei dem, der die PIN geklaut hat und samt Identität verkauft oder selber nutzt.
Und nein, das ist kein Dachziegelfall, sondern gang und gäbe.
@Erian: was in obigem Szenario eine Stärke ist, ist in Deinem rein softwarebasierten eine Schwäche. Nur - damit der Generator sicherer wäre als der TAN-Bogen, müsste die überweisende Person konkret die Anzeige auf dem TAN-Generator mit dem Bildschirm vergleichen. Ist zwar nicht so aufwändig wie das Zertifikat zu überprüfen, aber dennoch im Alltag sehr wahrscheinlich eher seltener der Fall. Und eben deswegen ist das Terminal sicherer als diese beiden Methoden.