LdN302: 2FA / PSD2

Schon witzig.
In einem anderen Thema wird darüber gejammert, dass ja irgendwer die gesicherten Identitäten speichern muss um die eindeutige Identifikation digital zu ermöglichen.

Hier soll man seinen Fingerabdruck freiwillig einem privaten Unternehmen hinterherwerfen.

Ist wie mit dem abhören.

Wehe irgendein Abhörskandal von irgendeinem Geheimdienst taucht auf.

Schreien alle Datenschutz und meine Geheimnisse …

Dieselben gehen dann nach Hause und mach dem Tür öffnen: „Siri mach ma Licht an“

Hallo Olaf,

Kannst du deine These stuetzen, dass es sich um “die selben” Diskussionsteilnehmer_innen handelt?

Nein, denn das es dieselben Diskussionsteilnehmer/-innen seien ist nicht Bestandteil meiner Aussage sondern eine Interpretation deinerseits.

Während bei der Sache mit dem Aufschrei um Abhören hab ich vor längerer Zeit mal einen Schreiberling gelesen der einmal einen Text übers Abhören schrieb und kurz darauf einen Text der die Möglichkeiten der akustischen Steuerung bejubelt.

Diese koinzidenz lässt besagten Rückschluss zu, zumal niemand von denen die über Geheimdienste und deren Möglichkeiten berichtet solche Systeme wie Siri überhaupt nur erwähnt.

Gleiches gilt übrigens für alle die überall mit Sinn und Unsinn „Datenschutz“ rufen. Solche Leute sollten in solchen Diskussionen/Berichten ebenfalls die heimischen Abhörsysteme aus den USA zumindest kritisch erwähnen, allerdings hört und liest man in dem Zusammenhang so überhaupt nichts.

Eben: Wir haben uns nicht zu 2FA geäußert, was ja meistens Sinn macht, sondern speziell zu überzogenen Anforderungen an 2FA in der PSD2-Richtlinie, wo sogar SMS verboten wurden (oder jedenfalls die meisten Banken das so interpretieren).

Bitte korrekt zitieren! Sonst diskutieren wir hier Strohmänner.

1 „Gefällt mir“

Inhalt wurde gelöscht…

Zumal wir mit HBCI schon seit vielen Jahren einen sicheren und interoperablen Standard hatten, der mit PSD2 nun von vielen Danken beerdigt wurde. Ich hatte jahrelang zuhause ein Script laufen, das die Umsätze von unserer gemeinsamen Kreditkarte einmal in der Nacht runtergeladen und in HTML gerendert hat (kaum zu glauben, aber das online Banking kann das bis heute nur bei dem Inhaber der ersten Karte anzeigen). Das ging mit der Umstellung auf PSD2 ersatzlos kaputt weil unsere Hausbank jetzt jedesmal eine TAN haben möchte.

Genau darum geht es doch: Eine Kreditkarte muss gar nicht 100%ig abgesichert sein. Ja, SMS können von (insbesondere staatlichen) Vollprofis mit enormem Aufwand gehackt werden. Aber sie wären sicher genug für ein Zahlungsmittel, denn wenn eine von 100.000 Transaktionen auf einem Hack beruht, dann verteuert das jede einzelne Transaktion um Bruchteile eines Cent. Dieses kollektivierte Risiko hätten man besser hingenommen.

Deswegen sagen wir: Die EU-Kommission übertreibt es komplett mit ihrem Sicherheitsniveau.

1 „Gefällt mir“

Kann man das auch mal für nichtNerds übersetzen?

Ich sehe allerdings nur geringe Verbesserung, wenn nun app für 2FA und app für onlinebanking auf dem gleichen Gerät aktiv sind. Allerdings muss ich zugeben, dass ich nicht wirklich weiß, wie man das sonst lösen wollte, ohne mobiles banking einzuschränken.
Dass aber keine Bank den yubikey unterstützt und stattdessen alle auf proprietäre Lösungen setzen, ist absolut unverständlich.

Inhalt wurde gelöscht…

Inhalt wurde gelöscht…

"My question is: how do Sakari and others like it get access to the number routing system?

I presume the answer is the phone companies give it to them when they ask (pay) for it. It should be legally easy (that is easy to craft a law), to prevent such a transfer without first sending a text to the number and requiring an affirmative reply. A similar provision should be in place for out-going call number spoofing. That is, in both cases, you should require that someone telling you this is their phone number, should independently verify the claim before presenting that number as belonging to those making the claim."

Aus den Antworten auf den Beitrag aus dem Link.

Ich denke mal als nichtNerd hat dieser User einen Punkt.

Die Dienste die solche Forwards anbieten sind das Sicherheitsleck, nicht der SMS Dienst als solches.

Aber trotzdem Danke für die Erklärung was du meinst.

Ohne jetzt Interna auszuplaudern kann ich aber sagen, dass vor einigen Jahren viele Schnittstellen zwischen den Mobilfunkunternehmen und solchen SMS Diensteanbietern auch auf der Seite der Mobilfunker schlecht bis nicht abgesichert waren. Prüfungen ob Absendernummern valide waren und überhaupt von dieser Schnittstelle angenommen werden durfte waren eine Seltenheit. Klar, versaut ja auch das geschäft, jede SMS bringt dem Mobilfunkprovider ja Geld.

2 „Gefällt mir“

Ich bin kein Experte in diesem Thema, aber könnte man es nicht ähnlich handhaben wie mit dem Elektronischen Personalausweis:
Um eine TAN am Handy zu generieren muss man mittels NFC die Bankkarte auslesen? Dann reicht Kontrolle des Handys nicht mehr aus, sondern man muss, wie früher, die Bankkarte besitzen.

Der Blogbeitrag, den Du hier verlinkt hast, beschreibt gerade keinen Weg, wie man SMS zu bereits vergebenen Nummern kapern kann, sondern nur, dass man sich billig eine Mobilfunknummer einrichten lassen kann - ein banaler Vorgang also. Das ist Desinformation und keineswegs ein berechtigter Einwand zu dem Beitrag von @vieuxrenard

2 „Gefällt mir“

Hmm, es wird doch beschrieben, dass man bei einem SMS-Weiterleitungsservice für recht wenig Geld und ohne Nachweis jede beliebige Nummer eingeben kann und dann Kurznachrichten, die an diese Nummer gehen sollten, weitergeleitet bekommt. Ist das keine Möglichkeit, eine fremde Nummer zu kapern? :thinking:

4 „Gefällt mir“

Die Argumentation von @anon65531953 zum Beitrag von @vieuxrenard hier im Forum liegt neben der Sache, weil es nicht darum geht, ob man SMS zB als CIA kapern kann (klar), sondern ob diese Szenarien SMS für alltägliche Anwendungen disqualifizieren (nein).

Aber sind das nicht zwei verschiedene Aspekte in der Debatte?

Die erste Frage ist, wie leicht sich SMS hacken/abfangen lassen. Hier war das Argument von @vieuxrenard:

Daraufhin hat @Tainnor mit Verweis auf eine Quelle erwidert, dass SMS eben nicht nur von (staatlichen) Vollprofis abgefangen werden können, sondern stattdessen schon etwas kriminelle Energie und kommerzielle SMS-Dienste genügen. Profi muss man also offensichtlich nicht sein, und staatlicher schon gar nicht. Dieser Artikel wurde von dir als „Desinformation“ abgetan, dabei lautet der Titel des VICE-Berichts, auf dem der Blog-Artikel von Bruce Schneider sogar „A Hacker Got All My Texts for $16“ („Ein Hacker hat alle meine Texte für $16 bekommen“).

Es ist also festzuhalten, dass das Argument „SMS können nur von (staatlichen) Vollprofis gehackt werden“ nicht stimmt. Soweit als zu den Fakten.

Eine andere Frage ist aber nun, ob diese Verwundbarkeit von SMS gegen die Nutzung von für alltägliche Anwendungen spricht. Das scheint mir weniger eine Frage von reinen Fakten zu sein, sondern hier geht es wohl eher um die Risikotoleranz—es ist letztendlich eine politische Frage.

Befürworter von hohen Sicherheitsstandards leiten von der SMS-Verwundbarkeit die Schlussfolgerung ab, dass SMS eben auch nicht für alltägliche Anwendungen genutzt werden sollten. Ich persönlich wurde bereits Opfer von Kreditkartenbetrug und nehme deshalb gerne die zusätzliche Verifizierung über eine App in Kauf. Das ist nämlich immer noch weniger Arbeit als die Karte sperren und den Betrag zurück buchen zu lassen. Was immer so einfach klingt, braucht dann am Ende nämlich doch ein wenig Zeit, schließlich müssen einige Formulare ausgefüllt und ggf. Anzeige bei der Polizei gestellt werden. In dieser Zeit hätte ich jedenfalls so einige Buchungen mit der App bestätigen können. :smiley:

Für ebenso legitim halte ich aber die Ansicht von @vieuxrenard, dass Kreditkartenbetrug in Bezug auf die Zahl aller Transaktionen doch vergleichsweise selten vorkommt und man im Betrugsfall doch relativ leicht sein Geld zurückbekommen kann. Der zusätzliche Sicherheitsgewinn bei der Bezahlung mit Kreditkarte rechtfertigt nach dieser Ansicht also nicht den zusätzlichen Aufwand.

Das ist am Ende aber eine Abwägungssache und keine reine Faktenfrage, würde ich denken. Der Beitrag von @Tainnor scheint mir nicht neben der Sache zu liegen, weil er zeigt, dass SMS eben nicht nur von der CIA, sondern auch von Kriminellen mit wenig technischen Kenntnissen gekapert werden können. Es handelt sich also um einen relevanten Beitrag zur Diskussion. Daraus folgt in meinen Augen aber auch nicht zwingend, dass SMS-Verifizierungen nicht für alltägliche Anwendungen zum Einsatz kommen sollten.

Aber natürlich könnt ihr als Betreiber:innen dieses Forums selbst entscheiden, welche Beiträge neben der Sache liegen und welche nicht. Aber wenn Beiträge von Nutzer:innen durch die Moderation fälschlicherweise als „Desinformation“ bezeichnet werden, dann drängt sich für mich als Mitglied doch der Eindruck auf, dass es nicht um die Diskussion von möglichen Trade-Offs gehen soll, sondern lediglich der legitime, aber durchaus streitbare Standpunkt eines Lage-Hosts untermauert werden soll.

5 „Gefällt mir“

Ja, so wäre das diskutabel gewesen (s. @vieuxrenard weiter oben). Leider ging es @anon65531953 alias @anon65531953 aber darum, seinen Aspekt als „Wahrheit“ zu verkaufen…

…und da beginnt die Desinformation.

Ich schließe diesen Thread jetzt. Nachdem @ tainnor alias @ RbBbEy alias @ anon65531953 seine Beiträge gelöscht hat ist diese Debatte für Mitlesende nicht mehr nachvollziehbar.