[sage] Two-Factor Authentication mit SMS?

Dirk Wetter dirk.wetter at guug.de
Wed Jun 10 20:02:05 CEST 2009


Am 10.06.2009 18:20, Bernhard Schneck schrieb:
> On Wednesday June 10 2009 17:13:13 Gert Doering wrote:
>> Hi,
>>
>> On Wed, Jun 10, 2009 at 04:46:01PM +0200, Andreas Jellinghaus 
> wrote:
>>> Mein Fazit: nicht sehr sicher. Auf dem Linuxtag wurde das
>>> mal schön demonstriert, die "geheime" OTP war in einem
>>> Vortrag vorhergesagt während der Token durch die Reihen
>>> ging, und natürlich kam zur vorhergesagten Zeit auch die
>>> vorhergesagte Nummer.
>> *ouch*
> 
> Ja ... den Vortrag hab ich auch gehört, war noch in
> Karlsruhe (und ist damit mindestens 4 Jahre her)
> 
> Das Thema gibts öfters und trotzdem lernt keiner, was
> für ein *ZENSURSULIERT* das Zeug ist.
> 
> Ob ich allerdings Passcode-per-SMS-auf-Handy für
> signifikant besser halte, muss ich mir erst noch
> überlegen ... laut den entsprechenden Stellen ist
> die mTan für Online-Banking seit ein paar Monaten
> auch geknackt.

hmm, geknackt im Sinne für wen?

Wenn ich die TAN in den Browser eingebe, egal ob es eine
itan/tan, wenn der Browser der dunkeln Seite der Macht gehört,
kann der mir anzeigen, was ich sehen will, aber mit der Tan die überweisung 
dorthin machen, wo er halt will. Für solche Man-in-The-Browser (MITB)-Techniken
gibt's fertige Kits für eine Reihe Banken.

Die mtan sendet ja noch Transaktionsdetails als Feedback über
den zweiten Kanal "Möchten sie 6.666 Euro an Bank of Romania
überweisen?". Also von daher schon besser.

Natürlich gibt es die Möglichkeit, den zweiten Kanal (Handy) zu
kompromittieren. Da kann man sich drüber streiten, wie
wahrscheinlich oder wie häufig das GLEICHZEITIG passiert.

Die Kompromittierung  der mTan beruhte meines Wissens auf der
Tatsache, dass die dunkle Seite irgendwie an die Handynummer
gerät (wie denn?) und denn mit einem bestimmtes Nokia-Model (1100),
dass dies erlaubt unter fremder Mobilnummer anmeldet (wie
geht das, ich dachte das gibt die IMEI und der Provider vor?) und
die SMS abfängt. Ich denke nicht, weiß es aber nicht,
dass Mobilfunkprovider es merken, wenn man mit 2x dergleichen
Mobilnummer/IMEI? über einen langeren Zeitraum eingebucht ist.
Naja, oder eine GSM-Base-Station aufbauen (siehe OPenBTS) ;-)
schon besser, aber wahrscheinlich auffällig im Backend.

Alles theoretisch nach meinem Geschmack und derzeit
nicht wirklich breit anwendbar. Die mTans gelten ja
auch nicht ewig.


VG, Dirk



More information about the SAGE mailing list