Jägermeister_84
Lt. Commander
- Registriert
- Feb. 2005
- Beiträge
- 1.106
Ich hoffe ich bin hier im richtigen Unterforum gelandet, ansonsten bitte verschieben!
Ich wollte mal über die Sicherheit von 3DSecure mit euch reden. Wird auch als Verified by Visa oder Mastercard secure Code bezeichnet. Es soll angeblich die Sicherheit erhöhen, aber ist es nicht ganz einfach so ein Passwort zu klauen? Hier einmal ein mögliches Zenario, wäre sowas möglich?
Bei dem Verfahren bekommt der Benutzer ja ein Pop-Up Fenster von der Bank mit seinem Begrüßungstext und wo er sein Passwort eintragen muss. Angeblich soll dieses Fenster keine Adresszeile haben, stimmt das? Oder ist das nur der Fall wenn das ganze per iFrame gelöst ist? Der Hecker kann sich doch jetzt zwischen diese Verbindung zwischenschalten per Man-In-The-Middle. Die Verbindung mit dem Kunden macht er einfach unverschlüsselt, wenn es keine Adresszeile gibt sollte dem User das zu 90% gar nicht auffallen und selbst wenn es eine Adresszeile gibt werden es viele User nicht merken. Bei einem iFrame ist die Wahrscheinlichkeit noch geringer! Die Daten von der Bank leitet er dann an den User weiter somit ist auch seine persönliche Begrüßung sichtbar. Der User tippt sein Passwort ein welches der Hacker zuerst ließt und anschließend an die Bank weiter leitet. Anschließend führt die bank die Transaktion aus. Der Kunde wird keinen Verdacht schöpfen, weil die Transaktion durchgeführt wurde! Der Hacker hat aber alle nötigen Daten! Würde das so funktionieren?
Mit diesen Daten kann er dann einkaufen gehen und der Kunde bekommt unterumständen Probleme weil ihm unterstellt wird er hat sein Passwort jemandem verraten!
Somit ist das verfahren genau so unsicher wie das alte TAN verfahren (ja ohne i vor dem TAN) was ja nicht ohne Grund abgeschafft wurde.
Hilfe würde nur die Verwendung einer SMS-TAN bieten, anstatt das statische Passwort, oder? Hierbei würde es dem Häcker nichts nützen die SMS-TAN zu lesen! Leider ist die Landesbank Berlin mit ihren Visakarten (Amazon, ADAC etc.) die einzige Bank die ich kenne die dieses Verfahren per SMS-TAN nutzt! Kennt vielleicht jemand eine andere?
Was haltet ihr von meiner Theorie? Wäre sowas möglich? Wieso soll 3D Secure sicherheit bringen? ich kann es nicht verstehen!
Ich wollte mal über die Sicherheit von 3DSecure mit euch reden. Wird auch als Verified by Visa oder Mastercard secure Code bezeichnet. Es soll angeblich die Sicherheit erhöhen, aber ist es nicht ganz einfach so ein Passwort zu klauen? Hier einmal ein mögliches Zenario, wäre sowas möglich?
Bei dem Verfahren bekommt der Benutzer ja ein Pop-Up Fenster von der Bank mit seinem Begrüßungstext und wo er sein Passwort eintragen muss. Angeblich soll dieses Fenster keine Adresszeile haben, stimmt das? Oder ist das nur der Fall wenn das ganze per iFrame gelöst ist? Der Hecker kann sich doch jetzt zwischen diese Verbindung zwischenschalten per Man-In-The-Middle. Die Verbindung mit dem Kunden macht er einfach unverschlüsselt, wenn es keine Adresszeile gibt sollte dem User das zu 90% gar nicht auffallen und selbst wenn es eine Adresszeile gibt werden es viele User nicht merken. Bei einem iFrame ist die Wahrscheinlichkeit noch geringer! Die Daten von der Bank leitet er dann an den User weiter somit ist auch seine persönliche Begrüßung sichtbar. Der User tippt sein Passwort ein welches der Hacker zuerst ließt und anschließend an die Bank weiter leitet. Anschließend führt die bank die Transaktion aus. Der Kunde wird keinen Verdacht schöpfen, weil die Transaktion durchgeführt wurde! Der Hacker hat aber alle nötigen Daten! Würde das so funktionieren?
Mit diesen Daten kann er dann einkaufen gehen und der Kunde bekommt unterumständen Probleme weil ihm unterstellt wird er hat sein Passwort jemandem verraten!
Somit ist das verfahren genau so unsicher wie das alte TAN verfahren (ja ohne i vor dem TAN) was ja nicht ohne Grund abgeschafft wurde.
Hilfe würde nur die Verwendung einer SMS-TAN bieten, anstatt das statische Passwort, oder? Hierbei würde es dem Häcker nichts nützen die SMS-TAN zu lesen! Leider ist die Landesbank Berlin mit ihren Visakarten (Amazon, ADAC etc.) die einzige Bank die ich kenne die dieses Verfahren per SMS-TAN nutzt! Kennt vielleicht jemand eine andere?
Was haltet ihr von meiner Theorie? Wäre sowas möglich? Wieso soll 3D Secure sicherheit bringen? ich kann es nicht verstehen!
Zuletzt bearbeitet:
