Ausstieg aus 2-Wege-Authentifizierung per SMS dringend empfohlen

Viele Online-Plattformen sind gerade erst richtig dabei, die Nutzer von der Verwendung einer Zwei-Wege-Authentifizierung per SMS überzeugen zu wollen, da wird das Verfahren von offizieller Seite auch schon auf das Abstellgleis geschoben. mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wieso nicht einfach TOTPs?

Keine Internetverbindung nötig.
Sofern der Schlüssel bekannt ist (dem User), kann man praktisch jede Anwendung zur Generierung nutzen.
Und die generierten Codes sind idr nur 30 Sekunden gültig.

Und fürs Online-Banking eben Chip-TAN oder QR-Tan.
 
@Draco2007: Für was denn unbedingt TANs? als es ne standardisierte otp lösung nicht auch tun würde...
 
@0711: Naja, ich mag den Rückkanal. Bei meiner Bank bekomme ich nach dem Scan des QR Codes nochmal alle Überweisungsdaten angezeigt. Und das funktioniert erstmal ohne Netzverbindung. Erst die Bestätigung geht dann wieder übers Netz.

Ich wüsste grade nicht, wie das bei einem TOTP System gehen könnte, ohne dass die Bankdaten (fälschbar) übers Netz gehen.
 
@Draco2007: Die galvanische Trennung ist hier echt der springende Punkt. Die macht das TAN-System hierzulande so geil.
 
@0711: Mit einer standardisierten Lösung generierte OTPs ließen sich zur Authorisierung aller Vorgänge nutzen, da der Code Generator ja nur das Secret kennt aber keinerlei Bedingung gestellt wird, für welche konkrete Transaktion der Code gültig sein soll.
Bedeutet: Wenn ein Trojaner deinen PC fest im Griff hat und die Kontonummer im Überweisungsformular im Hintergrund austauscht ohne dass du es merkst, du dann das OTP eingibst, ist der Weg für den falschen Überweisungsvorgang frei. Bei den TAN-Verfahren wie photoTAN, chipTAN etc. siehst du auf dem Display des Codegenerators nochmal die Überweisungsdaten, für die dann eine spezifische und nur dafür verwendbare TAN generiert wird. Einem Trojaner würde es dann nichts bringen, diese am PC abzugreifen, da eine abweichende überweisung damit nicht freigegeben werden kann.
 
@mh0001: wenn der pc derart infiziert ist kann er mir auf dem monitor anzeigen was er will und ein qr/photo code anbieten der am Handy das anzeigt was er will
 
@0711: Ich bin da immer noch der Papierfreund, allerdings habe ich schon ein Schreiben bekommen, dass man iTAN demnächst einstellt und dann bleibt mir nur noch noch mTAN oder photoTAN :(
 
@0711: Setzt voraus, dass PC UND Smartphone infiziert sind.

Nicht unmöglich, aber deutlich schwerer als nur ein System zu kompromitieren...
 
@Draco2007: nein, es reicht der rechner da der dir ja anzeigt was abgescannt wird und am ende ist das was die transaktionsdetails bei der phototan o.ä. anzeigt nur text der beliebig sein kann
Etwas anderes ist es mit den pushtan oder dem neuen (Name gerade entfallen) "auf annehmen drücken", hier müssten beide Systeme kompromittiert sein
 
@bLu3t0oth: itan hat sich schon mehrfach als unsicher erwiesen ;)
 
@0711: Beim QR-TAN Verfahren sind die Transaktionsdaten im QR-Code kodiert und anhand dieser Daten wird die TAN generiert und wieder an die Bank geschickt. Deshalb kann dir ein Angreifer nicht einen x-beliebigen QR Code anzeigen und die Transaktion an ein anderes Konto gehen lassen, weil sonst die TAN mit den Kontodaten nicht übereinstimmt.

Also müssen auch bei diesem Verfahren beide Systeme kompromitiert werden.
 
@0711: in wie fern?
 
@0711: Nein, das ist schlicht falsch. Die Infos über Zielkontonummer dienen eben NICHT nur der Anzeige auf dem Handy, sondern sind Bestandteil des Keys, auf dessen Grundlage die TAN generiert wird.
Wenn im QR-Code die Kontonummer 12345678 enthalten ist, generiert die App eine TAN, die der Server der Bank nur für Überweisungen an 12345678 akzeptiert. Der Trojaner müsste schon eine TAN für seine eigene Kontonummer anfordern. Diese würde das Handy dann aber auch anzeigen! Es ist nicht möglich, auf dem Handy eine andere Kontonummer anzeigen zu lassen, als die, für welche die TAN dann AUSSCHLIEßLICH gültig ist. Darum ist es ja gerade so sicher.
 
@mh0001: offenbar hatte ich da was falsch im kopf
 
@bLu3t0oth: es gibt keine Prüfmethode (eine möglich falsche anzeige am Monitor lässt sich nicht ausschließen)
es ist schon vorgekommen dass manch tan liste nicht so zufällig oder unvorhersehbar war wie sie sein sollte (gut war nur ne Verfehlung von einer bank)
 
@0711: Aha ok.. naja ich musste mich ja jetzt eh für phototan freischalten..
 
@Draco2007: Ich sehe auch keinen Nachteil beim Verlust des Geräts, wie es im Artikel beschrieben ist. Wenn das Gerät und die Keys verloren oder geraubt wurden, müssen sie eben geändert werden, aber die betroffenen Accounts sind ja weiterhin noch mit dem zweiten Faktor, also meist dem Passwort gesichert.
 
@Johnny Cache: interessant dabei finde ich auch dass man diese Problematik bei "karten" gar nicht so sieht...
 
@0711: Gut, bei richtigen Token hat man natürlich nicht auch noch die Möglichkeit dort Passworte drauf zu speichern.
Wobei... erst letzte Woche hab ich nen Token von einem User zurück bekommen auf dem ein Kleber mit dem achtstelligen Passwort drauf stand. Das überaus komplexe und leicht zu vergessende Passwort lautete übrigens "12345678".

Und nein, das war jetzt kein Witz.
 
@Johnny Cache: Traurigerweise glaube ich dir das sofort ;-)
 
@Draco2007: Einem TOTP fehlt die Info, was gerade abgesegnet wird. Ich mei, wenn ein Bankingtrojaner deine Überweisung woanders umschreibt, ist das TOTP nach wie vor gültig. Eine SMS würde dir immerhin anzeigen, was die Bank gerade sieht.
 
@Kirill: Deswegen sage ich ja, Chip-TAN oder QR-TAN Verfahren fürs Banking...

TOTP ist für einen Login gut, aber eben aus genannten Gründen nicht fürs Banking.
 
@Draco2007: Sicher. Nur ist Chip-TAN nur gangbar, wenn es einen Chip gibt und TOTP ist für Logins gut, aber sonst wenig. Somit bleibt ein weites Feld für Bestätigungen, die eben per SMS abgewickelt werden, für die TOTP aber nicht geeignet ist.
 
@Kirill: und was ist das "weite Feld für Bestätigungen", wo Du das benötigst und wo Du keinen Chip hast oder TOTP passt?
 
@Zeussi: Es fängt schon damit an, dass ein Login an einem bestimmten Ort (Land, IP & Hostname) sicherheitstechnisch wertvoller ist, als einfach nur ein Login. Wenn z.B. dein Passwort auf welchem Wege auch immer entwendet wurde, kann dir eine anständige 2FA sagen, dass sich jemand gerade versucht bei dir einzuloggen. TOTP ist diesbezüglich stumm und taub.
 
@Kirill: Okay, verstehe, es geht also um Benachrichtigungen aller Art, die keine Passwörter, Tokens oder sonstige kritische Informationen beinhalten. Da hast Du natürlich Recht, diese sind nützlich, danke fürs erklären.
 
bei SMS ist auch das Problem, dass sich viele Benutzer im Sperrbildschirm den Inhalt einer SMS anzeigen lassen. Somit muss man bei einem geklauten Handy nicht einmal Zugriff auf das Handy haben, da man die TAN so bequem ablesen kann. Bei Online-Banking habe ich zumindest bei meinen beiden Banken (VR-Bank, DKB) jeweils eine separate App, die zusätzlich per Passwort gesichert ist. Ich denke, dass das grundsätzlich ein sicheres Verfahren ist, sofern man nicht die Passwörter irgendwo als Kontakt / Notiz speichert.
 
@tkainz: Dann fehlt aber noch der Zugriff auf das Onlinekonto. Das Handy alleine darf nicht reichen.
 
@FatEric: ist ja auch nicht so, da das Onlinekonto ja zusätzlich mit einer separaten PIN gesichert ist. Man benötigt 3 Passwörter um eine Abbuchung durchführen zu können.
- PIN für Onlinekonto um Zugang zum Konto zu erhalten
- PIN für Handy um Zugang auf die App zu erhalten
- PIN für App um Zugang zur TAN zu erhalten
 
@tkainz: Das kommt offenbar drauf an, wie weit die IT-Leute der jeweiligen Bank mitdenken. Die Frau kann zumindest beim iPhone ihre TANs auf dem Sperrbildschirm ablesen, bei meinen von der Sparkasse geht das nicht, da die Nachricht lang genug ist und nicht vollständig angezeigt wird.
 
@ckahle: das kannst du aber auch in den Push-Einstellungen des iPhones konfigurieren, dass Mitteilungen deiner Bank-App nicht im Sperrbildschirm erscheinen, ist auch eigentlich nicht notwendig, wenn du eine Überweisung tätigst erhälst du diese eh umgehend. Bei SMS kann man das dahingehend umstellen, dass man nur im Sperrbildschirm sieht "du hast eine Nachricht erhalten"
 
@tkainz:
Beispiel: Mir klaut jemand in einem Cafe das Handy. Und ihr wollt mir ernsthaft klar machen, dass er damit an mein Geld kommt? Wie?

Der weiß gar nicht, ob ich Online-Banking betreibe.
Der weiß gar nicht, bei welchem Kreditinstitut.
Der weiß gar nicht, welche Kontonr. er braucht.
Der weiß gar nicht, mit welchen Daten er sich anmelden müsste, um auf meine Kontodaten zugreifen zu können.

Und falls er das doch alles weiß, dann braucht er auch mein Telly nicht klauen, dann kann er auch anders an mein Geld.
Das ist mir alles zu theoretisch und zu weit hergeholt.
 
@MaikEF_: Und nun überlege das nochmal für die (mittlerweile wohl Mehrheit der) Leute, welche die Banking-App ihrer Bank installiert haben. Das Kreditinstitut ist durch den Namen der App ersichtlich, Onlinebanking auch, da die Apps das voraussetzen. So gut wie alle Apps merken sich für den Login den Benutzernamen, der häufig identisch mit der Kontonummer ist, wodurch diese dann auch bekannt ist.
Das ganze steht und fällt natürlich mit der Sicherheit der Sperr-PIN auf dem jeweiligen Gerät. Diese darf sich nicht einfach umgehen lassen. Nach Möglichkeit sollte die Verschlüsselung aktiviert sein, damit man mit Tools von außen, den internen Speicher nicht im Klartext auslesen kann.
 
@mh0001: Also wer schon auf ein und dem gleichen Gerät Online-Banking betreibt UND die zugehörigen Tans empfängt, gehört mit´m Knüppel bestraft.
Ich hatte auch schon Finanzapps auf meinem iPhone, um mich mal bezüglich Kontostand auf dem laufenden zu halten, in meinem Online-Banking-Konto habe ich aber Transaktionen jeder Art über Finanzsoftware mit einem Limit von 0,00 EUR unterbunden. Außerdem bekomme ich für alle Kontobewegungen (jeder Ein- oder Abgang) eine Info-SMS und Email (Signal genannt bei meiner Hausbank), coole Sache.
In den Apps habe ich nie Passworte gespeichert, aber soweit unterstützt immer TouchID aktiviert, um überhaupt erstmal Zugriff auf die App selbst zu bekommen, für die App meiner Hausbank hatte ich ein anderes Passwort als ich es beim Online-Banking verwende.
Und die Tans lasse ich an mein altes iPhone schicken, welches eh meist zu Hause liegt oder das ich zum biken und joggen mitnehme.
Bequem sein ist das eine, aber gerade bei so sensiblen Angelegenheiten wie Geld sollte man seinen Gehirnskasten mal mit einschalten, da kann es ruhig auch etwas unbequemer aber dafür sicher sein.

UND: um auf die installierte Banking-App meiner Hausbank zugreifen zu können, sollte der Dieb das Gerät auch entsperren können. Hier geht der Trouble für ihn dann schon los.
 
@MaikEF_: Und wer hat heute denn noch zwei mobile Geräte?
 
@MaikEF_: warum? Online-Banking und TAN sind 2 unterschiedliche Apps, die mit 2 unterschiedlichen Passwörtern bzw. Touch-ID gesichert sind. Soweit ich mich erinneren kann sind die Apps auch an die Handynummer gekoppelt und starten vermutlich auch ohne diese nicht, daher die Verwendung von 2 Handys bei meiner Bank eh flach fallen
 
@tkainz: Bei meiner Hausbank werden die Tans per SMS an eine zuvor festgelegte und legitimierte Telefonnummer gesandt. Von daher kann ich da unzählige Geräte verwenden für den Tan-Empfang - solange ich die SIM mit der Nummer mitnehme.
Mit den beiden Anwendungen auf dem gleichen Gerät meinte ich, dass jemand, der sowas macht, es einem potentiellen Dieb denkbar einfach macht, denn er gibt ihm damit gleich beide Mittel in die Hand, die der braucht, um Geld abzuschöpfen: App mit allen notwendigen Infos und die Tan!

@dodnet: Deine Frage ist nicht eindeutig genug! Du suggerierst damit, das die Zahl derer, die Smartphone UND Tablet haben, eher gering sein muss.
Was soll ich denn mit meinem "alten" iPhone machen? Wegschmeißen? Verschenken? Für fast nix verkaufen? Dann nehm ich lieber zu solchen Ausflügen wie biken und joggen mein altes Phone mit, als dass ich mein neues durch einen blöden Unfall oder so kaputt mache.
Und ich sagte ja, mein altes Phone ist eh meist zu Haus - da, wo ich auch meine Bankgeschäfte erledige.
 
@MaikEF_: Wenn aber jemand Zugriff auf z.B. eine Datenbank mit Deinen Kontodaten bekommt, könnte sein dass als besitzer auch Deine handynummer angegeben ist. Jetzt kann er sich mit einer manipulierten SIM - oder ganz doof, per VoIP - als "Du" ausgeben und in's Netz einloggen. Fortan bekommt er die Klartext-SMS mit der TAN geschickt.
Wenn das Ganze über eine App läuft, hat die meist eine einzigartige Kennung im System mit der sie online eingeloggt ist. Dann kommuniziert sie noch verschlüsselt mit dem Server und Du musst dann per Fingerabdruck/PW/whatever diese erst freischalten.

Generell wäre ein zeitgemäßer Nachfolger der SMS mal schön. SMS ist ja noch schlimmer als eMail was die Sicherheit anbelangt.
 
Die meisten Probleme entstehen also dadurch, dass der Benutzer schlicht zu bequem ist. Wenn man verstanden hat, worauf es ankommt, weiß man auch, dass man mit dem Telefon, auf das die SMS geschickt wird keinerlei verbindung zu dem System hat, wo die TAN etc. eingegeben werden muss. beachtet man das, erschlägt man 99% der Sicherheitsprobleme und der Weg über die SMS ist auf einmal wieder ziemlich sicher. Und 100% Sicherheit gibts nirgends!
 
@FatEric: meines wissens wird das auch von den meisten banken so kommuniziert

allerdings wird auch von den gleichen banken gesagt, pushtan auf dem gleichen gerät ist kein Problem..
 
@0711: Vermutlich ist es meistens auch kein Problem. Bankingtrojaner aufm Smartphone sind jetzt überschaubar. Die gibts, aber eben nicht so zahlreich und nicht so erfolgreich. Die Bankingapp aufm Smartphone ist ja meist auch abgesichert. (aber auch hier wieder keine 100% Sicherheit wie Forscher ja schon rausgefunden haben). Wer sein Smartphone aber rootet, fragwürde apks aus unbekannten quellen installiert etc und dann noch Onlinebanking komplett aufm Smartphone betreibt, der ist selber schuld.
 
@FatEric: bei meiner hart verdienten kohle auf dem bankkonto besteh ich aber auf 100%ige sicherheit...desw kommt onlinebanking auch noch nicht infrage...eine bank, wie zb die sparkassen, die behauptet pushtan auf dem gleichen gerät wäre sicher, ist einfach nicht seriös...
 
@Rulf: Und was machst Du dann? Überweisungen in den Briefkasten der Bank schmeißen, der 100%ig sicher ist (nicht)? Oder Überweisungen am Bankautomat-Terminal, das irgend eine Windows-Maschine ist und natürlich auch 100%ig sicher ist (nicht)? Oder zur Mitarbeiterin gehen, die das über ihren Windows-PC für Dich eintippt, und 100%ig sicher ist (nicht)? Du kannst sicher bei der einen oder anderen Möglichkeit die Sicherheit erhöhen, aber 100%ige Sicherheit ist ein Trugschluss.
 
@FatEric: Es ist wohl mitunter relativ einfach an eine Kopie der SIM-Karte zu kommen, wenn man sich als Besitzer ausgibt und angibt diese verloren zu haben. Dann bekommt ein anderer deine SMS auch und du bekommst es nicht mit.
 
@LordNihil: Das geht inzwischen eben nicht mehr so einfach. Und selbst wenn, das erforder viel viel Aufwand. Man braucht immer noch das passende Onlinebanking passwort. Ich wiederhole mich ja nur ungern. 100% schutz gibts nicht. Aber solange man wirklich sehr viel Aufwand für wenig Ertrag betreiben muss, ist das ganze überschaubar.
 
@FatEric: Ja klar - aber es ist im Vergleich trotzdem unsicherer. Natürlich hängt es immer sehr stark vom Benutzer selbst ab, da hast du vollkommen recht.
 
@LordNihil: zumindest bei den Anbietern mit denen ich bisher direkt zu tun hatte wird die alte Karte deaktiviert sobald die neue aktiviert wird.
 
Es ist eine sichere Methode, aber sicher nicht die Sicherste, war schon immer so. Eine der sichersten Methoden wäre eine 3/4 Fach-Authentifizierung wie bei den Banken. Mit Weblogin, Kartenleser, Karte, Kartenleser-PW, zeitlich begrenztes generiertes PW etc.

... aber sicher ist es eigentlich nur wenn der Bedienkomfort nicht darunter leidet und es sehr einfach zu bedienen ist. Die Bankenvariante ist zu kompliziert und braucht zu viel Aufwand (Webseitenbetreiber wie auch Userseite), da könnte der ganze Dienst darunter leiden.

Meine Idee:
Open-ID verknüpft mit einem Hardware-Device wie ein USB-Venenscanner für den User Zuhause.
 
es geht bei dieser methode nicht um die sicherheit der user, sondern um die telephonnummern und allen damit dann möglichen dingen...ich werde mich jedenfalls schwer hüten meine nummer ins netz zu stellen...egal wie oft der betreiber behauptet diese nicht weiterzugeben...
 
@Rulf: Und welche dann möglichen Dinge wären das? Mir fallen außer von Werbeagenturen angerufen werden zu können keine Konsequenzen ein. Wobei das natürlich nervig genug ist.
 
Also wenn ich die Sache richtig verstehe, beseht das Sicherheitsproblem nur dann, wenn alle Authentifizierungswege auf einem Gerät zusammenlaufen.
Wenn man, so wie ich, kein Onlinebanking auf dem Smartphone oder anderen Mobile-Devices macht, sondern nur auf meinem Rechner zuhause, spielt es keine Rolle, ob ich meine TAN über SMS, Rauchzeichen oder Trommeln bekomme. Kritisch wirds nur dann, wenn nicht nur mein Smartphone kompromittiert wurde, sondern auch mein PC. Aber dann habe ich ganz andere Probleme.
 
@che_guevara: An sich ja, allerdings besteht eben auch die Möglichkeit daß die SMS auch auf anderen Geräten auflaufen und damit die 2FA ausgehebelt wird.
Generell sollte aber für sowas überhaupt keine Datenübertragung verwendet, sondern lieber auf eine offline TOTP-Lösung gesetzt werden. Wo nichts übertragen wird kann auch nichts abgefangen werden und zudem hat man bei TOTP die Möglichkeit auch mehrere Geräte zur Generierung der Codes zu verwenden.
 
@Johnny Cache:
Ja aber was wäre denn so schlimm, wenn du meine per SMS verschickte TAN bekommen würdest ? Ich könnte bei jeder Transaktion meine TANs die ich per SMS bekomme auf Facebook veröffentlichen und niemand außer mir könnte damit was anfangen.

Es fehlt immer noch der zweite Faktor, also dem Login auf meinem Rechner Zuhause.
Um all das abzudecken müsste sowohl mein Handy als auch mein Rechner kompromittiert sein und sie müssen erstmal wissen welche Handynummer ich habe. Jemand der einen solch hohen kriminellen Aufwand betreibt, wäre es eine Leichtigkeit dein RSA Token heimlich auszutauschen.

Edit:
Nicht das wir uns falsch verstehen, ich hab nichts gegen eine TOTP Lösung nur man muss die Kirche im Dorf lassen. Wenn man sich an ein paar Grundregeln hält wird es für einen Kriminellen sehr schwer, trotz SMS TAN, an dein Geld zu kommen.

Der große Nachteil an SMS TAN ist, dass es nicht Idiotensicher ist ;)
 
@che_guevara: Es ging darum daß manche Leute die SMS auch auf den eventuell schon kompromittierten PC weiterleiten und somit 2FA hinfällig wird. Aber natürlich kann man es mit Sicherheit übertreiben. ;)
 
@che_guevara: Bei einer 2FA geht es ja darum, dass ein Angreifer der das Passwort weiß, ihm das nichts bringt, weil ihm was fehlt. Es gibt drei Authentifizierungsfaktoren, das Wissen, der Besitz und das was man ist (also z. B. Biometrie). Bei der 2FA sollten es immer aus zwei unterschiedlichen Bereichen sein, also etwas was man weiß, das Passwort und was man besitzt, das Handy, die Chipkarte, eine Schlüseldatei, usw. Wenn jemand also das Passwort weiß (aus anderen Login-Daten gestohlen, Social Engineering, Bruteforce, wie auch immer), dann ist die SMS in Verbindung mit dem Handy der zusätzliche Schutz, weil der Angreifer es besitzen muss. Wenn Du jetzt behauptest wie hier, Du kannst den Token auf Facebook posten, dann stimmt das nur, weil Du davon ausgehst, dass Dein Passwort sicher ist. Dann brauchst Du aber generell keine 2FA wenn Du so denkst. Bei 2FA wäre es erstmal "egal", wenn er Dein Passwort weiß, weil ihm ja das Handy, der Fingerabdruck oder die Chipkarte fehlt ;-) Wenn der Angreifer das Passwort weiß, Dein Handy kontrolliert, sich einloggt, eine Überweisung tätigt, die SMS bekommt und den TAN eingibt, dann ist das Geld weg. Insofern sollte er am Besten keine SMS-TAN von Dir bekommen.
 
@Zeussi:
Da hast du mich etwas falsch verstanden. Ich kann nur deswegen meine Token auf Facebook posten, da der Token auf Grund einer Transaktion generiert worden ist und auch nur für diese eine Transaktion funktioniert dieser Token. Es ist nicht so, dass ich der Meinung bin, dass mein Passwort sicher ist. Also das Passwort ist schon sicher, nur ist es nicht Sicher, dass es keiner herausfindet :D
 
galvanische Trennung, TOPS, OTPs, ....ich bin mal ehrlich ich versteh nur Bahnhof von dieser Materie :-)
 
@Schnulli24:
TOTPs = Timebased Onetime Passwords (Zeitlich begrenzte Einmalpasswörter)
OTP = Onetime Password (Einmalpasswort)
 
Ein Smartphone würde ich so oder so nie für etwas sicheres verwenden dazu sind diese zu unsicher und geben auch zu viele Daten Preis. Auch die heutigen Betriebssysteme sind nicht mal sicher. Ich z.B. nutze einen seperaten PC ohne irgendwelcher Datenverbindung (Offline) schwerwiegende Daten werden einfach verschlüsselt.
 
@Menschenhasser: und was macht man in der heutigen Zeit mit einem Offline PC? Brief im Word schreiben ausdrucken und per Post verschicken? mein Smartphone muss ich nicht separat verschlüsseln, das ist im Auslieferungszustand schon durchgängig verschlüsselt ;).
 
@tkainz: Auch wenn du es verschlüsseln würdest auf dem Smartphone was bringt dir das? Ein Smartphone sammelt so viel Daten das man gar nicht weis was mit aufgezeichnet wird. Desweiteren bei sicherheitslücken können die Daten on the fly mitgelesen werden (Personenbezogene Daten, Passwörter usw) ein Smartphone ist ein Trojaner in der Hosentasche. Sowas geschieht nicht bei meinem Offline PC. Dein genanntes Beispiel mit Word ist ein grosser schwachsinn. Wenn ich mal Daten verschicken muss dann hole ich nur die Daten vom Offline PC die ich brauche und verwende dazu ein anderen zum versenden PC.
 
@Menschenhasser: Und wie machst Du das dann? Tippst Du einen PGP-Schlüssel vom Gegenüber händisch ab, verschlüsselst dann die Nachricht am Offline-PC, überträgst dann die verschlüsselte Datei (USB-Stick? Achtung, Sicherheitsgefahr :-)) und verschickst sie dann? Oder traust Du dem Online-PC soweit, dass Du die Klartextdateien die Du brauchst doch Plain übergibst? (ernst gemeinte Frage, interessehalber)
 
@Zeussi: Ich hole mir die Daten vom Offline PC (Meistens ein USB Stick ist zwar vielleicht nicht die sicherste möglichkeit aber akzeptabel da ich keine Fremden USB Sticks nutze). Die Datei auf dem Offline PC wird entschlüsselt und auf dem USB Stick kopiert. Dann gehe ich zum PC mit Netzwerkverbindung starte mein Linux in der VM darüber wird dann die Datei abgeliefert (Manchmal verschlüsselt wenn der gegenüber es wünscht. Sind immer nur Freunde die auch in der nähe wohnen von daher konnten wir das mit dem Schlüssel ganz bequem lösen). Dannach setze ich die VM zurück. Wie gesagt eigentlich sind es meine Persöhnlichen Daten und Dokumente und ein kleiner Teil andere die für meine Freunde wichtig sind. Ausserdem will ich es auch nicht übertreiben. Es genügt meinen ansprüchen und meinem Sicherheitsgefühl.
 
@Menschenhasser: Jop, ich hab für meine TOTPs auch extra offline Smartphones rumgammeln.
 
Solange man die Tan mit dem Handy empfängt und das Onlinebanking mit dem PC macht sehe ich da keine größeren Probleme. Problematisch kann es werden wenn man beides an einem Gerät(Handy) macht. Dann kann der Virus die Tan abgreifen und gleichzeitig in den Browser eingreifen und das Zielkonto und Betrag ändern.
 
Mich regen solche Seiten ehrlich gesagt auf. Reicht ja schon, wenn sie zur Bestätigung der Anmeldung unbedingt die Email Adresse brauchen. Aber eine Handynummer ist ein NoGo.

Zum anderen regt auch auf, dass man bei immer mehr Seiten Bildschirmspielchen machen muss, nur damit man als Mensch erkannt wird.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles