 |
Eberhard Karls Universität Tübingen Wilhelm-Schickard-Institut für Informatik (WSI) Arbeitsbereich für Theoretische Informatik/Formale Sprachen |
|
Eberhard Karls Universität Tübingen Wilhelm-Schickard-Institut für Informatik (WSI) Arbeitsbereich für Theoretische Informatik/Formale Sprachen |
Ihre Bank hat Ihnen diese Bildpasswort-TAN-Liste zugeschickt. Ausserdem haben Sie von der Bank ein Bildpasswort bekommen, d.h. ein Passwort, das aus Bildern besteht - in dieser Demo wird das Bildpasswort in der Gedankenwolke rechts neben dem Formular angezeigt. Sie wollen eine Überweisung ausführen. Füllen Sie dafür wie beim iTAN Verfahren zuerst das Überweisungsformular aus - die voreingestellten Daten im Formular können Sie ändern. Auf dem Bildschirm wird rechts neben dem Überweisungsformular die Nr. einer Bildpasswort-TAN angegeben, die Sie auf Ihrer Bildpasswort-TAN-Liste finden. Knicken Sie die Liste oberhalb dieser Zeile und halten Sie die Zeile mit dieser TAN so unter die Zeile mit der Zielkontonummer am Bildschirm, dass die vier 5er-Blöcke von Bildern bzw. Ziffern auf der TAN-Liste unter den vier entsprechenden 5er-Blöcken auf dem Bildschirm liegen (falls es nicht passt: mit den zwei grauen Tasten kann man die Blöcke am Bildschirm dehnen). Machen Sie dann für jedes der fünf Bilder Ihres Bildpassworts (in der Reihenfolge von links nach rechts) folgendes: Suchen Sie dieses Bild bei den 10 Bildern in Ihrer Bildpasswort-TAN; wenn über dem Bild in der Kontonummer eine Ziffer steht, suchen Sie diese Ziffer bei den Ziffern in der Zeile der TAN und klicken Sie mit der Maus auf das blaue Feld darüber; wenn über dem Bild keine Ziffer steht, tun Sie für dieses Bild nichts und gehen zum nächsten Bild des Bildpassworts. Machen Sie das für alle fünf Bilder Ihres Bildpassworts. Drücken Sie dann zur Bestätigung der Überweisung die OK-Taste.
Mit dem Bildpasswort-TAN Verfahren wird Online Banking praktisch trojaner-sicher (im Vergleich zum iTAN Verfahren), d.h. ist es für einen Virus auf dem Computer, auf dem Sie arbeiten, fast unmöglich, die Überweisungsdaten heimlich zu manipulieren. Das liegt daran, dass der Bestätigungscode (der in diesem Fall aus Mausklicks besteht) von den Überweisungsdaten abhängt - bei der iTAN ist das z.B. nicht der Fall. Die Sicherheitslücke des Bildpasswort-TAN Verfahrens ist folgende: Angenommen, der Trojaner hat eine Handvoll betrügerischer Kontonummern. Wenn der Bankkunde auf eine Kontonummer überweisen will, die sich nur in einer Stelle von einer dieser betrügerischen Kontonummern unterscheidet, kann der Trojaner sich einschalten: er schickt der Bank insgeheim die Daten für eine Überweisung an die betrügerische Kontonummer und hofft dann mit einer 50% Chance darauf, dass die ausgetauschte Ziffer der Kontonummer nicht abgefragt wird. Bei Bildpasswörtern mit größerer Länge wird die Wahrscheinlichkeit für einen Erfolg des Angriffs kleiner, bei 10-stelligen Bildpasswörtern liegt sie bei ca. 1%. Das Problem für den Trojaner ist allerdings, dass er im Allgemeinen sehr lange warten muss: nur ca. alle 10 000 Überweisungen wird sich ihm diese Chance bieten, denn so unwahrscheinlich ist es, dass Kontonummern sich in nur einer Stelle unterscheiden.
Ein Vorteil des Bildpasswort-TAN Verfahrens ist es, dass die TAN Informationen praktisch nicht durch sogenanntes Phishing abgefragt werden können: das liegt daran, dass ein Trojaner die Bilder auf der Bildpasswort-TAN-Liste nie sieht und sich Bilder nur schlecht via Tastatur kommunizieren lassen. Natürlich wird dabei vorausgesetzt, dass die zehn Bilder der Bildpasswort-TAN-Liste für jeden Bankkunden verschieden sind bzw. aus einem grossen Fundus (z.B. 1000 Bilder) zufällig ausgewählt werden.
Das Verfahren hält sich an das Prinzip What-you-see-is-what-you-confirm. Ausserdem ist es 2-Faktor, d.h. allein das Bildpasswort oder allein die Bildpasswort-TAN-Liste reichen nicht aus, um eine Überweisung ausführen zu können - man braucht beides.
Ebenfalls nur mit vorgeknicktem Papier arbeiten die Permutations-TAN (pTAN) und die indirekte iTAN (iiTAN).
Konzept: B.Borchert; Patentanmeldung DE-10-2008-061233.2. Programmierung: B.Borchert, April 2009.
Auf dem Bild unten wird gezeigt, wie eine geknickte Bildpasswort-TAN-Liste unter die Zielkontonummer am Bildschirm gehalten wird. Die Nummer der vom Bank-Server angeforderten Bildpasswort-TAN steht am Bildschirm - in dem Fall Nr. 9.
Das Bildpasswort wird jetzt folgendermaßen eingegeben: Das erste Bild findet man auf der Bildpasswort-TAN-Liste an der 1. Stelle des 2. Bilder-5er-Blocks. Darüber steht die 6 aus der Kontonummer. Diese 6 findet man an 1. Stelle des 1. Ziffern-5er-Blocks auf der TAN-Liste. Also wird die 1. Taste der 10 blauen Tasten mit der Maus angeklickt. Ein roter Pfeil zeigt das nochmal an. Das zweite Bild des Bildpassworts findet man an der 2. Stelle des 2. Bilder-5er-Blocks. Darueber steht eine 9, die man an der 3. Stelle des 2. Ziffern-5er Blocks findet: die blaue Taste darüber wird angeklickt.
So geht man das Bildpasswort durch. Es kann vorkommen, dass man fuer ein Bild nichts anklickt - z.B. das 4. Bild des Passworts im Beispiel, denn über dem Bild steht keine Ziffer aus der Kontonummer. Andererseits kann es vorkommen, das man die gleiche blaue Taste zweimal klickt (im Beispiel das 2. und 5. Bild des Passworts).
