Mobile Banking - Verfahren,Sicherheit,Usability

Ähnliche Dokumente
Mobile Banking TAN-Verfahren

Registrierung für die Teilnahme am paydirekt-verfahren

Die Sicherheit von Smartphones als Fernsteuerungsgeräte für IoT Devices Dr. Bernd Borchert. (Univ. Tübingen)

Online-Banking Anleitung zum Ersteinstieg

Internet-Banking Anleitung zum Ersteinstieg

Kurzbeschreibung Bild Marktanteil

Phishing. Nicole Kowatsch Johannes Gangl

IHK- Bilanzbuchhalter- und Controllertag Mein digitales Umfeld und dessen Tücken im privaten Bereich, das Problem sitzt meistens vor dem PC

Universität Tübingen SS Kryptologie. B. Borchert, D. Reichl. Klausur , (90 min)

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

IHK BILANZBUCHHALTER- UND CONTROLLERTAG

Seminar: Sicheres Online Banking Teil 1

VR-SECUREGO DAS SOLLTEN SIE WISSEN LADEN SIE DIE VR-SECUREGO APP HERUNTER

Sicheres Banking im Internet. Kundenveranstaltung Mittwoch

Sicherheit beim Online-Banking. Neuester Stand.

Waldecker Bank eg VR-SECUREGO DAS SOLLTEN SIE WISSEN LADEN SIE DIE VR-SECUREGO-APP HERUNTER APP STARTEN UND FELDER AUSFÜLLEN

Einrichtung Ihrer PIN für die Online-Filiale mit optic

BLE als Alternative zu NFC bei Authentisierungsverfahren mit Token oder Karte

KONTO UND ZAHLUNGSVERKEHR 5. ONLINE BANKING

Biometrische Authentifizierungsverfahren

Online-Banking aber sicher.

Weil Ihre Sicherheit für uns an erster Stelle steht. Wir sind für Sie da immer und überall! Online Banking. Aber sicher.

Finanzgruppe Sparkasse Karlsruhe

S Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung für Banking über die mobile Internet-Filiale

Anleitung zur Erstanmeldung im Online-Banking

Umstellung auf pushtan

Mit dem Handy an der Kasse: Mobil und sicher bezahlen

Freischaltung eines neuen VR-NetKeys mit SecureGo

IT-Sicherheit von Online-Banking aus der Sicht der Banken

Ihre Erstanmeldung zur Online-Filiale - Schritt für Schritt -

Weil Ihre Sicherheit für uns an erster Stelle steht.

Anleitung für Ihr Online-Banking

NB Web-Banking: TAN-gesicherte Anmeldung

Anleitung mobiletan / VR SecureGo im Online-Banking

So geht s Schritt-für-Schritt-Anleitung

Anleitungen für das Online-Banking der Mercedes-Benz Bank.

Aktivierung der «LUKB Key» App. Anleitung zur Einrichtung des neuen Loginverfahrens

Freischaltung eines neuen VR-NetKeys mit SecureGo

HBCI-Chipkarte unter VR-NetWorld austauschen

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

Agenda. 1. Installation der App Wo finde ich die App? 2. Anmeldung in der App 3. Konfiguration der App 4. Funktionen der App 5.

Themenpunkte. Überblick Installation der VR-SecureGO App Funktionsweise Sicherheitsmerkmale

Onlinebanking Risiken, Probleme, Lösungen (technischer Teil) Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Freischaltung eines neuen VR-NetKeys mit SecureGo

Erstanmeldung im Online-Banking mit

Anleitungen für das neue Online-Banking der Mercedes-Benz Bank.

Informationen zum Online-Banking

SIGS Security Interest Group Switzerland Trends in Mobile Authentication

Anleitung zur Freigabe von DSRZ-Dateien per Online-Banking

Freischaltung eines neuen VR-NetKeys mit SecureGo

Freischaltung Mobil - TANVerfahren

1 Erstanmeldung im Online-Banking mit plus Erstanmeldung im Online-Banking mit mobiletan... 5

Anmeldung eines neuen VR-NetKey mit SecureGo

Online-Banking Einstiegshinweise

E-Banking-Authentisierung. cnlab security ag, obere bahnhofstr. 32b, CH-8640 rapperswil-jona

Freischaltung eines neuen VR-NetKeys mit SecureGo

Kombinierte Attacke auf Mobile Geräte

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan

ANLEITUNG. Muster. MyBankingApp und MySecureSign. Inhalt. MyBankingApp und MySecureSign downloaden. Erstanmeldung in der MyBankingApp vornehmen

Freischaltung Smart TAN Plus Optik Verfahren

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking

Häufige Fragen zu ZOIN

Bei Online-Geschäften auf der sicheren Seite

FAQ für Privatkunden zum mobilen Bezahlen. Version 2; Stand

business4school cash&carry Gliederung 1. Instrumente des bargeldlosen Zahlungsverkehrs 2. Risiken und Schutzmaßnahmen 3. Die Volksbank BraWo

S Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in Outbank für ios. Vorbereitung pushtan aktivieren Banking-App

Infos zum SecureGo-Verfahren

E-Banking-Authentisierung. cnlab security ag, obere bahnhofstr. 32b, CH-8640 rapperswil-jona

Mobiles Bezahlen. Maren Fröhlig & Kira Kolkmann & Benedikt Jütte Hausmesse Digitale Werkstatt 17 &

Patienten-Portal der KAGes

Online-Banking mit chiptan. Funktionsweise Vorteile Seite 1

Internet Sicherheit Seniorenrat Brugg

Near Field Communication Security

Benutzeranleitung zum MFA-Portal der Hochschule Luzern. hslu.ch/helpdesk Andere

Smartphone mit Nahfunk (NFC)

Sicherheit beim Online-Banking. Neuester Stand.

Der Man-in-the-Middle Fälschungs-Angriff auf das itan Verfahren. Bernd Borchert, November 2008

Ablauf einer ebanking-erstanmeldung mit Anmeldung mit VR-NetKey und PIN. Erst-PIN-Änderung

Themen. Internetsicherheit. Sicherheit? Themen Aktuelle Situation

OnlineBanking: Einfach und flexibel

Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in VR-NetWorld für Windows

Erstanmeldung Online-Banking

Sparkasse Holstein Anleitung zur Freigabe von DSRZ-Dateien per Onlinebanking

Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in VR-NetWorld für Windows

Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in SFirm 2.5 für Windows

PIN-Vergabe / Ersteinstieg

1. Installieren Sie VR-SecureGo auf dem Gerät, auf dem Sie die App nutzen möchten.

Die sicherste Online-Bank Juni 2018

Masterarbeit OCRA Challenge/Response - Framework. Sideris Minovgioudis

Erstzugang Online-Banking mit VR-SecureGo

ICH WILL WANN UND WO ICH WILL. Erledigen Sie Ihre. online - sicher, VERTRAUEN & volksbank-niederrhein.de. Erledigen Sie Ihre

Sicherheit im Online-Banking. Verfahren und Möglichkeiten

S Sparkasse. pushtan-einrichtung. Nutzungsanleitung pushtan. Leitfaden zur Einrichtung in Pecunia für Mac

Häufig gestellte Fragen

Transkript:

Mobile Banking - Verfahren,Sicherheit,Usability Masterarbeit Betreuer: Dr. Bernd Borchert Prof. Klaus Reinhardt 1

Gliederung Motivation Übersicht Mobile-Banking-Verfahren Überweisungsverfahren Überblick Ablauf Sicherheitsanalyse Biometrie Zusammenfassung 2

Motivation Was ist 3

Motivation Mobile Banking ist Online Banking auf einem Smartphone oder einem Tablet-PC. 4

Motivation + Schnelle Verbreitung + Mehr Mobilität - Sorge um Sicherheit 5

Übersicht: Mobile-Banking-Verfahren Nur-Pin mtan SIM-TAN itan Display-TAN PushTAN NFC-TAN PhotoTAN chiptan 6

zwei-authentifizierungs-faktoren im Mobile Banking Wissen Haben Sein Passwort z.b. Smartphone(darauf gespeichert Schlüssel), SIM- Karte, Bankkarte usw. z.b. Fingerprint, Selfie per Smartphone-Kamera, Stimmerkennung 7

Mobile Banking: Vorgehensweise 1. Login in Banking- App/ mobile Browser (über die Website der Bank) mit Benutzername und Passwort 2. Bestätigung der Überweisung mit einem TAN-Verfahren. => Überweisung einreichen 8

Nur-Pin: Übersicht&Sicherheitsanalyse Eine festgelegte Zahlungs- PIN Sehr unsicher vor Phishing, Maleware usw. 9

mtan: Übersicht Lediglich ein Internetzugang und ein Mobiltelefon erforderlich Mobile Banking über ein Smartphone:unsicher 10

mtan: Ablauf 1: E(T) 2: T 4: Ü(T), L(TAN) 3: T, TAN 5: E(TAN), B 6: T, TAN 1. Transaktionsdaten eingeben 2. Überweisungsauftrag an den Bankserver 3. SMS (eine zufällige TAN & Auftragsdaten) an Smartphone 4. Auftragsdaten prüfen & TAN lesen 5. TAN eingeben & Bestätigung 6. Transaktionsdaten und TAN an den Bankserver senden 7. Bankserver überprüft TAN und sendet Rückmeldung 11

mtan: Sicherheitsanalyse Smartphone- Trojaner 1. Passwort abhören 1 2 3 4 5 2. Der Trojaner führt heimlich ein Betrugsüberweisung aus a. Der Trojaner loggt sich virtuell beim Bankserver ein b. Betrugsüberweisung virtuell ausfüllen und absenden c. Die Bank schickt die mtan ans Kundensmartphone d. TAN abfängen und virtuell eingeben & an den Bankserver senden e. Bankserver überprüft TAN und sendet Rückmeldung 12

mtan: Sicherheitsanalyse 1. Zugangsdaten abhören 1 4 3 5 2 2. Der Angreifer initiiert eine Überweisung mit den gestohlenen Daten 3. Die Bank schickt die mtan ans Kundensmartphone 4. Der Trojaner leitet die SMS heimlich an den Brtrüger weiter 5. Der Verbrecher bestätigt damit seinen Auftrag 6. Bankserver überprüft TAN und sendet Rückmeldung 13

PushTAN: Übersicht&Ablauf Banking-App PushTAN-App PushTAN-App 14

PushTAN: Sicherheitsanalyse Hohes Risiko Nach zwei-authentifizierung-faktoren sollen die zwei Faktoren unabhängig sein Passwort (Wissen) Smartphone: der darauf gespeichert Geheimschlüssel (Haben) Beiden Faktoren auf ein und dasselbe Smartphone 15

SIM-TAN: Übersicht Ähnlich wie PushTAN Zweite Faktor auf der SIM- Karte und kein weiteres Passwort erforderlich Risiko 16

SIM-TAN: Ablauf & Sicherheitsanalyse 1: E(T) 2: T 4: B 6: B 3: N,T 7: T, TAN(N,T) 5: TAN(N, T) 1. Transaktionsdaten eingeben 2. Überweisungsauftrag an den Bankserver schicken 3. Transaktionsdaten und Nonce werden an den Smartphone gesendet 4. Überweisungsdaten prüfen & Bestätigung 5. Die SIM- Karte erzeugt eine TAN mit Hash- Funktion 6. Bestätigung 7. TAN und Transaktionsdaten weiterreichen 8. Bankserver überprüft TAN und im positive Fall Überweisung ausführen 17

itan: Übersicht&Ablauf 1: E(T) 4: Ü(T), L(N) 7: E( TAN(N)) 2: T 3: T,N 8: T, TAN(N) Papier TAN- List Geringes Risiko 6: L(TAN(N)) 5: L(N) 18

itan: Sicherheitsanalyse 100 an X 100 an X)? itan Nr 3! 4. 5. 10000 an Y 100 an X? itan Nr 3 10000 an Y) itan 10000 an Y)? itan Nr 3! 1. T Bestätigen 3. N,T 6. TAN, T 2. 10000 an Y 10000 an Y? itan Nr 3! MITM 1. Zielkonto & Betrag fälschen und senden 2. itan-anfrage für den Auftrag vorbereiten 3. Anfrage mit Transaktionsdaten schicken 4. Überweisungsdaten im Hintergrund ändern 5. Transaktionsdaten prüfen, itan eingeben 6. TAN & betrügerischen Überweisungsdaten weiterreichen 7. Überprüfen und im positive Fall Überweisung ausführen 19

NFC-TAN: Übersicht NFC- Smartphone & NFCfähige Bankkarte Ähnlich wie ChipTAN, QR- Code statt Flackercode & NFC- Smartphone statt ChipTAN Gerät Geringes Risiko 20

NFC-TAN: Sicherheitsanalyse MITM 100 an X 1000 an Y 1. T 1000 an Y 1000 an Y 7. TAN(N,T) 6. T 1000 an Y QR(100 an X)? TAN! 4. 5. 1000 an Y TAN 100 an X? TAN QR(1000 an Y)? TAN! Bestätigen 3.QR(N,T) 8. TAN(N,T), T 2. QR(1000 an Y)? TAN! 21

ChipTAN: Übersicht&Ablauf 6: Ü, B 1:E( T) 2: T 8: E(TAN) 3: T, N 9: T,TAN(N,T) 4: A, P 5: F(N,T) Passwort(Wissen)& in TAN-Generator steckende Bankkarte (Haben) unabhängig sind Sicher 7: L(TAN) 22

ChipTAN: Sicherheitsanalyse Jede TAN ist nur für einen bestimmten Auftrag gültig und gilt nur für kurze Zeit Wichtigste Auftragsdaten auf separaten TAN- Generator kontrollieren TAN aus Überweisungdaten und Geheimschlüssel auf der Chipkarte durch Hash- Funktion ausrechnen 23

Display-TAN: Übersicht & Ablauf 4: A, P 6: B 1: E(T) 7: TAN(N,T) 5: N, T 2: T 3: T, N 8: T, TAN(N,T) Sicher und gleichzeitig komfortabel Smartphone & Display- TAN-Bankkarte Ein- und Ausgabe über Bluetooth 24

Display-TAN: Sicherheitsanalyse Wesentliche Sicherheitsfaktor auf der Bankkarte Zweite Faktor nicht abhörbar Durch sichere Visualisierung ist das Verfahren sicher vor MITM- Angriff Sicher vor Bluetooth- Angriff (Bankserver & Display- Karte besitzen AES Schlüssel) 25

PhotoTAN: Übersicht Zwei Möglichkeiten: Banking- App & die PhotoTAN- App beide auf einem Smartphone wie PushTAN Hohes Risiko Banking- App & ein separates PhotoTAN- Lesegerät sicher 26

PhotoTAN: Ablauf & Sicherheitsanalyse 1: E(T) 8: TAN(N,T), B 4: A, P 6: B 7: L(TAN(N,T)) 2: T 3: N, T 9: T, TAN(N,T) 5: N, T Jede TAN ist nur für einen bestimmten Auftrag und begrenzte Zeit gültig Der PhotoTAN wird individuell auf dem Lesegerät ausgerechnet. Es decodiert die Bilddaten mit einem darauf gespeicherten Schlüssel und zeigt danach die Überweisungsdaten zur Kontrolle 27

Biometrie Bankserver prüft Biometrische Merkmale Die Daten der Merkmale könnten von Trojaner abgehört werden 28

Zusammenfassung Sicherheitsniveau sicher ChipTAN PhotoTAN auto. Geraet Display-TAN geringes Risiko itan NFC-TAN Risiko SIM -TAN hohes Risiko PushTAN (PhotoTAN/App) unsicher mtan sehr unsicher nur PIN Usability 29

30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback