[sage] Two-Factor Authentication mit SMS?

[Bernhard Schneck]

Hi Christoph und Dirk und Rest-der-Sages,

> > Ob ich allerdings Passcode-per-SMS-auf-Handy für
> > signifikant besser halte, muss ich mir erst noch
> > überlegen ... laut den entsprechenden Stellen ist
> > die mTan für Online-Banking seit ein paar Monaten
> > auch geknackt.
>
> Sicher, dass Du nicht die iTAN meinst?

Ja ... iTan hat (laut Aussage von einschlägigen Stellen)
ca. 2 Monate gehalten, nachdem es mal breiter eingeführt
wurde.

> Oder anders gefragt: Was heißt denn geknackt: Angriff per
> IMSI-Catcher, per Handy-Trojaner oder Verfahren zur
> Generierung der mTAN gebrochen? Letzteres fände ich ja
> äußerst spannend...

Den genauen Weg kenn ich nicht (und wenn, dann sollte
ich wahrscheinlich kein Instant-Fischingsuppen-Rezept
öffentlich zur Verfügung stellen :-)

Wenn ich das recht verstanden hab, läuft der Angriff
über eine MITM-Attacke zwischen Browser und Bank-Server,
mit der mTAN werden noch vernünftige Werte angezeigt
aber die Überweisung ist trotzdem falsch.

Aber wie gesagt, den genauen Angriff kennen (fast) nur
die bösen Jungs (und Mädels, keine Diskriminierng, wir
beachten ja alle das AGG).  Das wurde auf einer Tagung
von jemand erzählt, der zu den guten Jungs gehört
(zumindest in diesem Kontext gut, in mancher anderen
Richtung kann man sich vortrefflich drüber streiten,
ob sie wirklich gut sind).  Deutschland ist wohl sowas
wie das Experimentierlabor der Phisher-Szene, neue
Techniken werden bei uns ausprobiert, um dann weltweit
im grossen Stil abzocken zu können.

\B.