On 28.03.06 18:05:45, Claus Malter wrote:
> Andreas Pakulat wrote:
> >On 28.03.06 16:41:39, Richard Mittendorfer wrote:
> >>Also sprach Andreas Pakulat <[EMAIL PROTECTED]> (Tue, 28 Mar 2006 15:08:57
> >>+0200):
> >>>On 28.03.06 14:50:48, Richard Mittendorfer wrote:
> >>>>Also sprach Andreas Pakulat <[EMAIL PROTECTED]> (Mon, 27 Mar 2006 21:25:25
> >>>>+0200):
> [...]
> >>>Du gibst im Normalfall dein Passwort ein! Wenn das jemand mitliest kommt
> >>>er zumindestens schon an allerlei Informationen. 
> >>Klar, aber er kann IMHO keine Ueberweisungen damit machen. Die TAN
> >>(oder wie immer das heisst) ist IMHO nur fuer eine Transaktion oder
> >>Sitzung gueltig?
> >Die TAN entspricht deiner Unterschrift auf einem "analogen"
> >Ueberweisungstraeger. Und ja, die TAN ist nach einmaligem Gebrauch
> >ungueltig.
> 
> In der Zeitung (SZ war es glaub ich) stand vor einiger Zeit, dass ein Hacker 
> sich in eine solche Sitzung mit der Bank eingeschleust hat. Quasi 
> "Man-in-the-middle".

Nun, dann wurde die Datenuebertragung nicht ausreichend abgesichert.
Wenn die Bank nur einen 56Bit Schluessel fürs SSL verwendet ist das
natuerlich kein Wunder...

> Also in einem solchen Extremfall wäre dann sogar das TAN-System hinfällig.

IMHO nicht, das TAN-System hat ja wohl funktioniert. Wenn jemand die
Uebermittlung der Ueberweisung abfaengt und seine eigenen Daten
eintraegt dann ist das noch kein Beweis dafuer das das TAN-System nicht
funktioniert.

Erst wenn du zeigen kannst wie du mit einer Menge von abgehoerten TANs
die naechstfolgenden berechnen kannst hat das System ein Problem. Oder
wenn man eine TAN ein zweites Mal benutzen kann.

Andreas

-- 
You will be awarded some great honor.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an