Sicherheitsverfahren der Fintech Banken

[geos]

ANZEIGE

auf die Gefahr hin, abzuschweifen: wie schützt ein Live-System gegen MitM-Angriffe, also Manipulation des Datenverkehrs, Umleitung auf gefälschte Webseiten usw.?
Ja, es ist bei konsequenter Umsetzung nicht möglich, persistent das System zu hacken und zu manipulieren, also z.B. den Browser. Je nachdem sind aber pro Session Angriffe genauso leicht oder schwer möglich, auch z.B. maliziöse Plugins unterzuschieben.
Fraglos können Live-Systeme, wenn sie konsequent umgesetzt werden und vor allem auch aktuell gehalten werden, die Angriffsfläche allgemein deutlich reduzieren, aber MitM im Sinne von Session Hijacking, Umleitung auf Fake-Seiten usw. sind davon unberührt.
Der wichtigste Faktor bleibt derjenige vor dem Bildschirm (auch Handy-Bildschirm). Wenn dieser nicht weiß und versteht, was z.B. Zertifikatswarnungen bedeuten, wie DNS grundsätzlich funktioniert und ob eine Meldung vom lokalen System oder einer entfernten Webseite kommt, haben kreative Angreifer in jedem Fall gute Erfolgsaussichten.

 

[Brainpool]

Dieser Thread bewegt mich zu einer Frage:
Es werden immer wieder verschiedene Kombinationen ausprobiert bis das der Hacker erfolgreich Zugriff erlangt.
Das bezieht sich meines Wissens nach in der Regel nur auf unsere deutsche Tastatur.
Wie weit erhöht sich die Sicherheit wenn man auf andere Tastatur und Zeichen Kombinationen ausweicht? Also ein Passwort statt Mutter 1234 halt 密碼 eingibt

 

[CDCVM]

Um mal wieder zum eigentlichen Thema zurückzukommen. Hier mal die genannten Fintechs aus ITler Sicht bewertet:

Monese: Kann ich nichts zu sagen, da ich da kein Konto habe.
Revolut: Login läuft über Mobilfunknummer, 4-stellige Pin und einen 2ten Faktor (entweder Link der per E-Mail gesendet wird oder SMS) - den Login würde ich hier also als semi-sicher bezeichnen. In der App selbst gibt es keine Verifizierung von Transaktionen mehr, die werden ohne Rückfrage ausgeführt (durch das Device-Binding ist das Risiko hier noch moderat, aber welche Sicherheitsvorkehrungen hier wirklich im Hintergrund getroffen wurden ist etwas undurchsichtig)
Openbank:Unsicher. Login Name ist Personalausweisnummer (lässt sich nicht ändern) und das Passwort ist ein 4-stelliger Pin. Überweisungen können nur über SMS-Tan durchgeführt werden (unsicher, weil Sim-Swapping, SMS sind unverschlüsselt), nicht über sicherere Verfahren wie eine direkte App-Freigabe oder chipTan.
N26: Login via E-Mail und Passwort (keine Längenbeschränkung - 128 Zeichen mit Passwort Manager problemlos möglich) - beim ersten Login muss das Gerät gekoppelt werden durch SMS UND Token-Nummer deiner N26 Mastercard (sicher). Transaktionen werden direkt in der N26 App freigegeben - zum freigeben wird aber zunächst eine 4-stellige Pin von dir benötigt und anschließend wird die Überweisung durch dein vertrauenswürdiges Gerät signiert (in etwa wie Public Key Authentifizierung https://de.wikipedia.org/wiki/Public-Key-Authentifizierung)

Von den FinTechs würde ich N26 hier also definitiv die höchste Sicherheit zuschreiben (aber auch im Vergleich zu traditionellen Banken ist der Sicherheitsstandard da sehr gut - wenn man das z.B. mit Sparkassen vergleicht, bei denen man als Kennwort nur eine 5-stellige Pin nutzen darf )

 

[red_travels]

wenn man das z.B. mit Sparkassen vergleicht, bei denen man als Kennwort nur eine 5-stellige Pin nutzen darf )

wobei du bei allen Transaktionen (außer Lastschrift) eine TAN brauchst, wenn es über die PushTan App läuft kannst du dort auch ein langes Passwort (mind. 8 Zeichen) verwenden und bist nicht an einen 5-stelligen PIN gebunden.

Außer am Automaten und für Geld an +1 schieben nutze ich die Bankkarte nicht, alle anderen Zahlungen laufen über Kreditkarte oder Revolut mit Aufladung/Paypal per Kreditkarte, klar macht das nicht jeder, aber so ist es wohl noch schwieriger die Kontonummer für externe rauszubekommen.

 

[CDCVM]

wobei du bei allen Transaktionen eine TAN brauchst, wenn es über die PushTan App läuft kannst du dort auch ein langes Passwort (mind. 8 Zeichen) verwenden und bist nicht an einen 5-stelligen PIN gebunden.

Naja ich rede jetzt grade rein vom Login. Ist natürlich schön, dass Überweisungen abgesichert sind (halte die pushTan App auch für sicher), aber ich möchte auch nicht, dass ein Angreifer monatelang meine Kontostände mitlesen kann weil es für den Login kein 2FA gibt und nur eine unsichere Pin.

 

[red_travels]

Naja ich rede jetzt grade rein vom Login. Ist natürlich schön, dass Überweisungen abgesichert sind (halte die pushTan App auch für sicher), aber ich möchte auch nicht, dass ein Angreifer monatelang meine Kontostände mitlesen kann weil es für den Login kein 2FA gibt und nur eine unsichere Pin.

da hilft nur alle X Wochen die PIN zu ändern.

 

[CDCVM]

da hilft nur alle X Wochen die PIN zu ändern.

Was aber nur ein Workaround ist und keine ernsthafte Lösung... Lieber dauerhaftes 2FA beim Login wie dies bei N26 oder DKB implementiert ist.

 

[Songbird]

..., aber MitM im Sinne von Session Hijacking, Umleitung auf Fake-Seiten usw. sind davon unberührt.

Da sollte man sich nicht auf einen Angriffsweg fokusieren, sondern das Ganze sehen: Bei einem gehärteten Live-System, wo eventuell sogar die DNS-Einstellungen im Browser hinterlegt sind, wird z.B. das Umleiten auf Fake-Seiten erheblich erschwert.

Des Weiteren darf man nicht vergessen, dass der Angreifer ja erst einmal Zugriff auf das System benötigt - bei einem Live-System wo keine andere Fremdsoftware installiert ist, ist die Wahrscheinlichkeit mehr als gering.

Ja, theoretisch sind viele Angriffsvektoren möglich, aber praktisch sind die meisten davon schwer bis gar nicht ausführbar oder nur unter erheblichem Aufwand - da gibt es einfachere und stumpfere Methoden um an Geld heranzukommen.

Also ein Passwort statt Mutter 1234 halt 密碼 eingibt

Das wird vermutlich schon daran scheitern, dass viele Systeme keine Passwörter in diesem Format akzeptieren. Die Sprache des Internets und der Computer ist nun mal größtenteils Unicode UTF-8 und nicht UTF-16.

Selbst wenn du eine Software hast, die so eine Eingabe als Passwort akzeptiert, wirst du ein großes Problem haben wenn du dieses Passwort mal an einem fremden System eingeben musst - dann doch lieber 2FA.

Um den Bogen wieder zum Thema zu schlagen: Ja ich finde auch, dass N26 ein gutes Sicherheitskonzept hat.

 

[geos]

Wie weit erhöht sich die Sicherheit wenn man auf andere Tastatur und Zeichen Kombinationen ausweicht? Also ein Passwort statt Mutter 1234 halt 密碼 eingibt

nicht wesentlich. Hacks finden nur sehr selten durch Ausprobieren statt.
Vermutlich werden die meisten Passwörter, zumindest hierzulande, nur 8-Bit-Zeichen akzeptieren.
Dort wo das nicht der Fall ist, sind zwei Hanzi, die auch noch eine Bedeutung haben (und also in jedem Lexikon stehen), genauso schlecht wie "Passwort".

 

[penamba]

Das wird vermutlich schon daran scheitern, dass viele Systeme keine Passwörter in diesem Format akzeptieren. Die Sprache des Internets und der Computer ist nun mal größtenteils Unicode UTF-8 und nicht UTF-16.

UTF-8 kann den kompletten Unicode-Raum abbilden, und damit genau dieselben Zeichen wie UTF-16

Unabhängig davon sind Passwörter tatsächlich oft relativ restriktiv ausgelegt; vermutlich aber eher, um Kunden Probleme zu ersparen, wenn sie ihr Passwort einmal auf einem anderen System eintippen müssen als dem gewohnten, und dann z.B. ein Zeichen nicht auffindbar ist

 

[Songbird]

Geht bei UTF ja auch ein wenig um die Bytelänge und nicht nur um die Zeichen, nein?

 

[netzfaul]

Die ganze Diskussion ist eh hinfällig. Der Großteil der Kunden benutzt seine Passwörter bei mehr als einer Seite. Kommt das abhanden, wird dieses einfach überall durchprobiert...

#1 Grund, warum Accounts abhanden kommen: Password Re-use.

 

[penamba]

Geht bei UTF ja auch ein wenig um die Bytelänge und nicht nur um die Zeichen, nein?

Nein, denn UTF-8 ist eine Kodierung mit variabler Länge. Je nach Unicode-Codepoint ist ein Zeichen in UTF-8 ein bis vier Bytes lang, siehe z.B. hier für eine gute Erklärung.

 

[selaf]

Das wird vermutlich schon daran scheitern, dass viele Systeme keine Passwörter in diesem Format akzeptieren. Die Sprache des Internets und der Computer ist nun mal größtenteils Unicode UTF-8 und nicht UTF-16.

Jede der UTF-Codierungen (UTF-8, UTF-16, UTF-32) kann jeden existierenden Codepoint codieren. Wer mit Unicode arbeitet und ein "ä" akzeptieren kann, kann auch ein "密" akzeptieren, egal wie codiert wird. Eine variable Länge haben sowohl UTF-8 (1-4 Bytes) als auch UTF-16 (2 oder 4 Bytes).

 

[Songbird]

ANZEIGE

Ich dachte, dass die Nichtakzeptanz von Sonderzeichen mit der Bitlänge und damit auch der Kompatibilität zusammenhängt.