Apfelinsel
Netzwerk, Internet, Provider => Thema gestartet von: radneuerfinder am Juni 25, 2007, 06:55:34
-
Ist es sicher, wenn ich mein Kennwort über eine mit einem Vorhängeschloß gesicherte https Seite eingebe? Oder wird das Kennwort in öffentlichen, und deshalb meistens unverschlüsselten, Hotspots trotzdem im Klartext übertragen? Falls nötig, läßt sich hier Sicherheit nachrüsten?
-
Diese SSL-Verbindung besteht zwischen Deinem Browser und dem Server der Bank. Darauf hat es keinen Einfluss, ob die Daten in einem WLAN zwischen dem Computer und dem Router noch einmal verschlüsselt werden oder nicht.
-
Danke!
-
Ergänzende Informationen zur Sicherheit beim Onlinebanking:
http://www.heise.de/security/artikel/94451/Vom-ausgezeichneten-Online-Banking-zum-Security-Desaster
http://www.heise.de/security/artikel/94100/Passwortklau-fuer-Dummies
http://www.heise.de/security/suche.shtml?T=XSS+Banken&nm=1
-
Ich packs mal hier dazu.
Von einem Man-in-the-Browser hatte ich noch nie was gehört. Aber der kann "auch verschlüsselt übertragene Online-Banking-Daten mitlesen und sogar manipulieren."
http://www.heise.de/newsticker/meldung/Online-Banking-Trojaner-entwickelt-sich-rasant-weiter-1171797.html
Da bin ich mal froh, dass Trojaner auf Macs bisher nicht vorkommen.
-
Gegen Trojaner ist sowieso kein wirksames Kraut gewachsen. Und da könnte es OS X-Nutzern genauso oder gerade wegen der geringeren Aufmerksamkeit noch heftiger treffen.
-
Ist Internetbanking aktuell noch sicher genug?
http://www.heise.de/security/meldung/Studie-Informationen-trotz-SSL-Verschluesselung-nicht-sicher-1742426.html
Reicht eine mTAN als zusätzlicher Schutz noch aus?
-
Ist Internetbanking aktuell noch sicher genug?
http://www.heise.de/security/meldung/Studie-Informationen-trotz-SSL-Verschluesselung-nicht-sicher-1742426.html
Reicht eine mTAN als zusätzlicher Schutz noch aus?
Das im Artikel verlinkte Youtube-Video läuft zwar (zumindest bei mir) derzeit nicht. Aber das im Heise-Artikel beschriebene Szenario kann IMO nicht vom (aufmerksamen) Benutzer unbemerkt erfolgen. Browser zeigen ja schliesslich an, ob sie verschlüsselt kommunizieren oder nicht. Kommuniziert der Browser nun nicht verschlüsselt mit dem gewünschten Server, sondern unverschlüsselt mit dem MiM, müsste das im Browser durchaus ersichtlich sein.
-
warlord hat es schon erwähnt:
Bei dem beschriebenen Problem geht es nicht um die Sicherheit von SSL selber.
Der Titel "trotz SSL-Verschlüsselung nicht sicher" suggeriert, dass ein Benutzer, der per SSL Kontakt zu seiner Bank hat, nicht sicher ist. Das ist aber völlig falsch. Der Titel bezieht sich eher auf den Server. D.h. der Bankserver kann trotz SSL-Verschlüsselung nicht sicher sein, ob die Daten von Dir kommen oder nicht.
Das ganze ist ein klassischer Man-in-the-middle-Angriff. Ein Angreifer setzt sich zwischen den Benutzer und der Bank. Zwischen dem Angreifer und der Bank läuft alles wie gewohnt per SSL, d.h. der Bankserver schöpft keinen Verdacht. Zwischen dem Benutzer und dem Angreifer aber läuft alles ohne SSL ab. Daher keine Warnung wegen eines ungültigen Zertifikates. Damit der Benutzer nicht bei Klick auf einen Link auf die https-Seite geleitet wird, filtert der Angreifer die Antwort des Bankservers und macht aus allen https ein http.
Das ganze sieht so aus:
Benutzer <- http -> Angreifer <- https -> Bank
Wann kann das nur passieren?
Man ruft die Bankseite nicht manuell oder per Bookmark direkt als https auf. D.h. man tippt nur bank.de oder klickt auf einen Link, bei dem nur http steht.
Kann man es bemerken?
Ja, ganz einfach. Da die Verbindung beim Benutzer nicht verschlüsselt ist, hat man kein Schloss bzw. gefärbte URL im Browser. Außerdem beginnt die URL mit "http:". Der Browser zeigt eben an, ob man verschlüsselt mit der Bank kommuniziert oder nicht.
-
Das im Artikel verlinkte Youtube-Video läuft zwar (zumindest bei mir) derzeit nicht.
Mittlerweile läuft das Video wieder. Und es behauptet ja gar nichts anderes. Das "Problem" lässt sich durch den Benutzer ganz einfach mit etwas Aufmerksamkeit vermeiden. Und ohne die gibt es nie und nirgendwo und mit keiner Ausrüstung je irgend eine Sicherheit.
Wiedermal ein Heise-Artikel der schwachen Sorte. So ein bisschen etwas antönen aber nicht komplett erläutern, so dass die Phantasie der Leser so richtig schön angeheizt wird. Ein Klick-Generator bestehend aus lauwarmer Luft.
-
Mobilnetzbetreiber raten von mTAN per SMS als zu unsicher ab:
http://winfuture.de/news,72931.html
-
Nach GSM (http://www.nerd-supreme.de/2013/10/29/gsm-ist-unsicher-und-wird-auch-nicht-mehr-besser/) ist auch UMTS (http://www.apfelinsel.de/forum/index.php/topic,1728.msg95411.html#msg95411) leicht zu manipulieren, deshalb:
http://www.golem.de/news/online-banking-und-ss7-hack-sms-tans-sind-unsicher-1412-111360.html
-
Ich würd Banking, in welcher Form auch immer, n mobil machen. In der Regel auch nicht über den Browser. Außer wenn ich Aktien kaufe, da habe ich leider noch keine andere Möglichkeit gefunden
-
GSM Security Map
(http://gsmmap.org)
-
Ich würd Banking, in welcher Form auch immer, n mobil machen. In der Regel auch nicht über den Browser. Außer wenn ich Aktien kaufe, da habe ich leider noch keine andere Möglichkeit gefunden
Hat alles sein Für und Wieder. Ich meine, wie viele Leute haben zu Hause einen Trojaner auf dem Rechner, auf dem iPhone eher nicht. Oder ein nicht ausreichend abgesichertes WLAN vs. UMTS… ich meine das generell, nicht Dich persönlich.
Und ob ein Closed-Source-Bankingprogramm besser ist als ein Open-Source-Browser?
Es gibt ja dieses Bankix von Heise. Das Thema erinnert mich, dass ich das seit Jahren mal ausprobieren wollte. Nutzt das Jemand?
http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html
-
Schon alles richtig. Sehe ich auch so. Nur ich habe gedacht, dass mit einem Banking-Programm "man in the middle" Attaken nicht möglich sind. Oder täusche ich mich?
Also mit m iPad ist man glaub relativ sicher. Mit meinem Android Handy würde ich aber kein Banking machen.
-
Ich nutze allerdings auch den Desktop. :) War mehr laut gedacht, daher widerspreche ich mir selbst.
Wie man die neuen Erkenntnisse zu UMTS bewerten muss, da bin ich mir auch noch unschlüssig.
Leider ist die Umsetzung von Verschlüsselung halt oft nicht perfekt und eröffnet so in öffentlichen Netzen schon ein zusätzliches Angriffsfeld.
Was Du meinst, ist wohl eine Sonderform der Man-in-the-middle-Attacke, bei der ein Trojaner nur den Browserverkehr umleitet. Vor dieser Art bist Du mit einem Bankingprogramm wahrscheinlich schon geschützt. Aber meistens wird alles umgeleitet, was da so rausgeht. Es handelt sich in beiden Fällen ja um https., immer interessant.
Ansonsten schützt ein vor einer Infektion abgelegtes Passwort noch vor Keyloggern, die alle Eingaben mitschreiben, eine andere Art der Malware, aber oft kombiniert. Das geht auch im Browser mit Passwortmanagern.
-
Schon alles richtig. Sehe ich auch so. Nur ich habe gedacht, dass mit einem Banking-Programm "man in the middle" Attaken nicht möglich sind. Oder täusche ich mich?
Also mit m iPad ist man glaub relativ sicher. Mit meinem Android Handy würde ich aber kein Banking machen.
Im WLAN eventuell aber mobil macht das keinen Unterschied :/