[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Online-banking via Inet
- To: Uwe Brockmann <uwe@netcom.com>
- Subject: Re: Online-banking via Inet
- From: PILCH Hartmut <phm@a2e.de>
- Date: Tue, 14 Apr 1998 11:00:42 +0200 (CEST)
- cc: debate@fitug.de
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <199804132006.NAA27820@netcom8.netcom.com>
- Sender: owner-debate@fitug.de
> Ich sehe das potentielle Problem einer Fehlbedienung durch den Bank-
> kunden, die zur unverschluesselten Uebermittlung von PIN und TAN per
> e-mail vom Kunden zur Bank fuehrt. Eine solche e-mail koennte bei der
> Uebertragung ueber das Internet von einem Angreifer abgefangen und
> gelesen werden. Der Angreifer koennte mit der abgefangenen PIN und TAN
> das Konto des Bankkunden pluendern.
Der Mailprozessor wuerde natuerlich nur verschluesselte Texte annehmen,
entschluesseln und ueberpruefen, ob der dadurch ermittelte Urheber auch
tatsaechlich der Kontoinhaber ist.
PINs und vor allem TANs sind unnoetig, sobald mit einem Mailprozessor
gearbeitet wird. Sie sind typische Kennzeichen der virtuellen
Warteschlange a la Btx und SSL. Wenn jemand ein SSL-System uebertoepelt,
ist die Bank nicht schuld, denn sie kann behaupten, dass die TANs
durch Unvorsicht des Kunden geknackt wurden. Ein PGP-Geheimschluessel
ist wesentlich sicherer als eine TAN. Wenn Auftraege und Bestaetigungen
zwischen Kunden und Bank PGP-signiert werden, ist ausserdem die
Verantwortung fuer etwaige Fehler eindeutig aufzuklaeren und Mogeln
einigermassen ausgeschlossen. Wollen die Banken solche Sicherheit, oder
wollen sie Schlupfloecher fuer ihre Flucht aus der Verantwortung?
--
Hartmut Pilch <phm@a2e.de>
a2e Ostasien-Sprachendienste Pilch, Wang & Co
http://www.a2e.de/oas/, Tel +49891278960-8