Es wurde ja immer mal wieder angefragt, wann die Funktion (TouchID und wie sie alle heißen) in die Onlinebanking-Programm eingebunden werden. siehe ua. http://www.onlinebanking-forum.de/forum/topic.php?t=18145

Das war bereits 19.09.2014
Nun geht es weiter mit:

http://www.teltarif.de/samsung…63116.html


In Verbindung mit PushTAN usw. stellt sich dann die Frage, ob der erreichte Komfort (TouchID) nicht zu stark zu Lasten der Sicherheit (und in diesem Fall des Geldbeutels) geht?

Naja, also daß dieser Fingerabdruckscanner keinesfalls einen richtigen Sicherheitswert hat sondern eigentlich eher in die Kategorie Spielzeug einzuordnen ist und man sich gerade beim Banking auf keinen Fall auf dessen Sicherheit verlassen kann - herstellerübergreifend - sollte doch eigentlich schon lange jedem klar sein?

nun, besser als eine schlechte oder gar keine PIN, oder?
Gruß
Raimund

Ähm, nein, eigentlich gleichbedeutend mit garkeine PIN. Wer sein mobiles Gerät, das man jederzeit verlieren kann oder das einem jederzeit gestohlen oder auch geRAUBT werden kann, nicht mit harten Zugangshürden schützt, handelt fahrlässig. Und wer dann noch Bankzugangsdaten drauf hat und dort Bankrechner-PINs abspeichert und die dann nur mit einem Fingerabdruck sichert, handelt grob farlässig. Und wenn man dann letztendlich Freigabeverfahren wie z.B. pushTAN via Fingerabdrucksensor "sichert", dann bleibt mir die Luft weg vor Unverständnis!!!

Und wo ist das realistische Angriffsszenario für diesen Fall? Ja man kann den Fingerabdruck hacken. Dafür muss man erst einmal ein hochauflösendes Bild des Fingerabdrucks machen (und auch den richtigen Finger erwischen der dafür genutzt wurde), aufwendig irgendwelche Folien ausgedruckt und anschließend mit Latexmilch rumgefuchtelt werden. Und man muss vorher natürlich noch genau das Handy stehlen auf dem die pushTAN App installiert wurde. Das ist doch völlig unrealitisch daraus ein Angriffsszenario für die Praxis sich zu stricken.

Warum sollte man dann nicht lieber ein Telefon mit mTAN klauen? Da brauche ich nichtmal das Telefon, da kopiert man einfach die Sim-Karte wie es ja schon funktioniert hat. Eine PIN Absicherung ist doch kein Stück besser.

Fingerabdruck-Sensor ist generell ne feine Sache, Passwörter eintippen nervt einfach nur und da kann mir auch niemand erzählen, dass es damit sicherer wäre. Das lässt sich viel einfacher stehlen. Im Zweifelsfall filmt mich dabei jemand wie ich das gerade eingebe. Unrealistisch? Das jemand sich mein Handy + Fingerabbdruck entwendet aber erst recht. Vor allem merke ich letzteres schnell, wenn das Handy gestohlen wird, sperrt man natürlich gleich entsprechende Freigabe-Apps.

http://t3n.de/news/3d-druck-statt-hacker-polizei-728984/

http://www.sueddeutsche.de/wis…-1.3357627

Beim Internet-Banking ist die TouchID irrelevant.

Beim Rücküberweisungs- und Testüberweisungstrojaner möchte der Anwender die Phishing-Transaktion durchführen und legt selbst seinen Finger auf den Fingerabdruck-Scanner.
Und bei anderen mobileTAN-Angriffen wie z.B. weitere SIM-Karte oder Android-Trojaner ist der Angreifer auch nie im Besitz des Smartphones.

Problematisch ist eigentlich nur, dass der Kunde glaubt es wäre eine Sicherheitsfunktion, wodurch Rücküberweisungs- und Testüberweisungstrojaner sogar glaubhafter werden.

Da die Bank von der Nutzungd er TouchID überhaupt nichts mitbekommt, kann die auch nicht relevant sein - auch nicht um Trojaner glaubhafter zu machen

Naja. Das SSL-Zertifikat macht für den Anwender das Internet-Banking ja auch glaubhafter als eine unverschlüsselte HTTP-Verbindung, obwohl SSL für das Internet-Banking auch nicht relevant ist auch wenn gerne gegenteiliges behauptet wird.

Inwiefern ist SSL nicht relevant? Das mußt Du uns schon etwas genauer erklären!

Das "Naja" mußt Du mal erklären.... Eine TouchID könnte für die Bank nur relevant sein, wenn diese anschliessend die Sensordaten selbständig auswertet, sprich die Bank die Biometrischen Daten vorliegen hat und in der Lage ist dessen Echtheit zu verifizieren. Das ist bei TouchID und den Variationen nicht der Fall.

Zu deiner Aussage bzgl SSL lag mir ja auf der Zunge, dass das schlicht Blödsinn ist, wenn man aber sich deinen Vergleich genauer anschaut, kann man zumindest verstehen worauf dein Vergleich abzielt. Der ist dann zwar immer noch Blödsinn, aber hat zumindest eine Logik.

Eine Transportsicherung der Kommunikation ist etwas völlig Anderes als ein "besserer" lokaler Passwortsafe.

Viele Grüße

Holger