@kuketzblog FunFact: Alle Links zu den Banken mit den trojaner-sicheren TAN Verfahren landen im Nirvana (404).

@kuketzblog

Auch hier gefällt mir die schwarz-weiß-Sortierung nicht.
Es gibt dort nur sicher und unsicher - während die Welt in der Realität anders aussieht.

Wenn ich eine 2fa habe und beide Kanäle sauber von einander getrennt sind, ist natürlich die Trojaner-Gefahr da. Aber ich muss eben beide Faktoren unter Kontrolle bekommen.

Zumal ja auch mehr als nur Trojaner relevant sind.
Beispiel: Kann ich die Token-Generatoren/Karten möglicherweise clonen?

@kuketzblog
Ich verstehe nicht wie die Papier tan Liste nicht trojaner sicher sein kann. Ist gemeint das ich auf eine fake Seite geleitet werde wo ich die tan dann eingebe?

@Kentaro @kuketzblog Sämtliche Codes der Liste sind solange gültig, bis sie einmal verwendet wurden. Gephiste oder kopierte Codes können so lange unbemerkt bleiben. TOTP-Codes laufen üblicherweise nach 60 Sekunden ab.

@kuketzblog gut das ich jetzt auf ein sicheres Verfahren umgestiegen bin 🤘🏻

@kuketzblog
Dass das SMS-TAN-Verfahren "zu den unsicheren Verfahren gezählt werden muss", wird mit dem Beispiel begründet, dass jemand auf dem Smartphone seine Online-Banking-Zugangsdaten eingibt und auch dort die SMS empfängt. Das ist aber nur eine von mehreren möglichen Konstellationen und zwar ausgerechnet die allerschlechteste.

@kuketzblog
Ich mache mein Online Banking am Linux-PC und empfange die SMS mit der TAN an einem alten nicht-smarten Handy, das extra für diesen Vorgang eingeschaltet werden muss, so dass ich mit der PIN-Eingabe noch einen dritten Faktor habe. Wissen, Besitz, Wissen. 3FA. Für die Chip-TAN wurde ich noch nie nach einer PIN gefragt

@sibylla @kuketzblog Das genutzte Endgerät (altes Handy, kein Smartphone) wird hier wenig ausschlaggebend sein, weil man davon ausgehen muss, dass die einschlägige Hacker-Szene ohnehin Zugriff auf die Mobilfunknetze hat und entsprechende Kommunikationen ohne Wissen des/der Betroffenen abfangen kann.

@danilo
das mag sein, danilo. Mein Beitrag nimmt allerdings nur Bezug auf die Argumentation in der Studie, also den Smartphone-Trojaner.
@kuketzblog

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!