Sicherheit von Passwörtern: Pins und TANs F. Kaderali Ein Passwort (Schlüssel) ist eine Zeichenfolge, die es ermöglicht ein Konto oder eine Datei (Tresor) zu öffnen. Sie wird also zur Authentifizierung verwendet. Häufig werden nur Zahlenfolgen, immer mehr Zahlenfolgen mit klein und groß Buchstaben und auch Sonderzeichen (ASCII-Zeichen) eingesetzt. Bei Banken werden Passwörter PIN (Personal Identification Number)1 genannt zur Authentifikation von Personen eingesetzt. Sie ermöglichen es der authentifizierten Person Einblick in sein Konto oder Depot zu nehmen. Beispiele von Passwörter: Hotelsafe Länge üblicherweise 4 Ziffern Bankkonto, Depot, Geldautomaten, Kreditkarten üblicherweise 4 Ziffern Konten bei Online Shops, Zugang zu Firmennetzen, Zugang zu Mailkonten etc. 8 bis 12 Zeichen. Bei SW und Geräteschutz 64 bis 128 Zeichen. Heute wird die Richtigkeit einer PIN auf einer Karte maschinell gewöhnlich wie folgt überprüft: Die Maschine liest die verschlüsselte PIN von der Karte heraus, entschlüsselt sie und vergleicht die über die Tastatur eingegebene PIN hiermit. Bei Übereinstimmung wird der Zugang zu Datei, Konto oder Geld gewährt. Bei 4 Ziffern liegt die Wahrscheinlichkeit eine PIN richtig zu raten bei 1: 104 also eins zu zehntausend. Damit man nicht alle zehntausend Ziffern ausprobieren kann, wird die Anzahl der Versuche gewöhnlich auf drei beschränkt. Der Zugang wird bei drei Falscheingaben dann gesperrt und kann entweder über eine übergeordnete PIN (Master PIN) oder durch Eingriff des Kontobetreibers entsperrt. Bei drei Versuchen liegt die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu knacken bei 3/10000 also 1 zu 3333. Empfehlung des BSI zu Passwörtern: https://www.bsi-fuerbuerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html Zitat hieraus: 1 http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identifikationsnummer Ein gutes Passwort o o o o o Es sollte mindestens zwölf Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. Wenn möglich sollte es nicht in Wörterbüchern vorkommen. Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen. Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert. Außerdem soll man das Passwort regelmäßig erneuern. Empfehlung FernUni alle 2 Monate! Passwörter nie aufschreiben! Wie soll dies bei meinen gut 100 Passwörtern gehen? Ein Passwortverwaltungsprogramm oder Tresor verwenden! http://de.wikipedia.org/wiki/KeePass http://www.mobilesitter.de/index_de.php http://www.passwordsafe.de/ Bedenken: Hat man Vertrauen zu dem Hersteller des Verwaltungsprogramms? Will man den notwendigen Mehraufwand betreiben? Kompromissvorschlag: Drei oder vier Kategorien der eigenen Anwendungen bilden nach Sicherheitsbedarf. 1. Kategorie: BSI Empfehlungen für jedes Passwort folgen 2. Kategorie: Gleiches Passwort für je 5 Anwendungen. BSI-Nah! 3. Kategorie: Gleiches Passwort für alle Anwendungen. Gelegentlich erneuern. Um die Sicherheit bei Bankgeschäften zu erhöhen werden neben der Authentifikation durch eine PIN, die den Einblick in ein Konto gewährt, auch eine Authentifikation der einzelnen Transaktionen durch ein einmal verwendbares (meist fünfstelliges) Passwortes TAN (Transaction Authentication Number)2 genannt vorgenommen. Früher erhielt der Bankkunde eine TAN Liste, von der er die TANs nacheinander zur Authentifikation von Transaktionen (also z.B. von Überweisungen) verwenden konnte. Inzwischen werden die TANs durchnummeriert (indizierte TAN-Liste) und der Kunde wird pro Transaktion zur Eingabe einer TAN mit einer bestimmten Nummer aufgefordert. Hierdurch wird die Sicherheit des Verfahrens erheblich verbessert. Verfahren mit TAN-Listen haben den Nachteil, dass man sie zur Durchführung einer Transaktion dabei haben muss. Noch schlimmer, die Listen können Kopiert oder gestohlen werden. Es gibt zahlreiche Phishing-Attacken, die darauf zielen, nicht verbrauchte TANs samt Indexnummern zu ergattern. Die Man-in-the-middle Attacke ist ein ernsthaftes Risiko für das indizierte TAN-Verfahren. Bei diesem Verfahren wird eine Schadsoftware eingesetzt, die sich zwischen dem Kundenrechner und dem Bankserver einschaltet und die Überweisungsdaten in Echtzeit verfälscht. Es werden also die Kontonummer des Empfängers und der Betrag manipuliert. Dem Bankkunden werden dann auch verfälschte Daten angezeigt, die seiner Überweisung entsprechen. Somit wird das Bankkonto geplündert. Beim Mobile TAN Verfahren (auch SMS TAN genannt) wird zu einer Transaktion die beim Bankserver ankommt, dem Teilnehmer per SMS eine TAN und die Details der Transaktion auf sein Handy zugesandt. Der Teilnehmer kann dann durch Eingabe der TAN die Transaktion frei geben. Beim Mobile TAN sollte man darauf achten, dass Online-Banking und das TAN-Verfahren nicht vom selben Gerät ausgeführt wird, damit jemand, der das Handy entwendet nicht ungehindert Überweisungen tätigen kann. Inzwischen gibt es kombinierte Attacken gegen das Mobile TAN Verfahren bei dem sowohl der Rechner des Bankkunden als auch sein Handy mit Schadsoftware befallen wird. Insofern ist das Verfahren nicht mehr als sicher einzustufen. Um die man-in-the-middle Attacke zu unterbinden wurden von verschiedenen Banken elektronische TAN Generatoren entwickelt. Die Einzelheiten der jeweiligen Ausführungen sind unterschiedlich jedoch das Prinzip ist identisch. Von dem Generator wird unter Einbeziehung der Daten der Transaktion (Betrag, Empfängerkonto etc.) eine individuelle TAN erstellt, die der Kunde eingibt, um die Transaktion zu tätigen. Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine kurze Zeit, die gerade ausreicht die Transaktion zu tätigen. Bei dem Bankserver wird mit den gleichen Daten eine TAN erzeugt und die beiden werden in Echtzeit verglichen. Zur Kontrolle werden meist die Transaktionsdaten vom Bankserver dem Kunden erneut zugesandt. Das Verfahren gilt als ausreichend sicher. 2 http://de.wikipedia.org/wiki/Transaktionsnummer Bilder stammen aus http://de.wikipedia.org/wiki/Transaktionsnummer Das BSI empfiehlt für Online Banking unter anderem folgendes:3 • • • • • • • • 3 Für Online Banking stets verschlüsselte Verbindung (https://...) verwenden Ggf. auch WLAN verschlüsseln Prüfen Sie die Echtheit der Bank WEB-Seite (auch Browserangabe hierzu ansehen!) Online Banking nur vom eigenen Gerät. Kein Online Banking über öffentliche Access Points (z.B. Internetcafé) Überweisungslimit mit Bank vereinbaren Regelmäßig Kontobewegungen überprüfen Telefonbanking ist ganz unsicher. Möglichst nicht verwenden! https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheitsmassnahmen/sicherheitsmassnahmen_node .html
© Copyright 2024 ExpyDoc
