Unterliegt ständiger Änderung
Zwei Faktoren Sicherheit
ist ein Verfahren, das Sicherheit zB bei Bankkonten bietet. Aber nicht nur bei Bankkonten, sondern mittlerweile auch bei jeglichem Zugang zum Internet. Ein durchaus sicheres Verfahren beim Beachten der Vorgaben, allerdings etwas umständlich zu handhaben.
Ich empfehle es trotzdem sehr.
Die Lücken dieses Verfahrens werde ich allerdings auch erwähnen.
Kurzfassung:
Um eine Aktion gesichert durchzuführen, muss diese mit zwei getrennten Aktionen auf zwei unterschiedlichen Geräten vorgenomen werden.
Beispiel anhand einer Banküberweisung:
Zuerst muss die reguläre Anmeldung zum Bankkonto erfolgen. Dazu müssen die Kontonummer und die dazu passende PIN (Persönliche Identifikations Nummer), oder ein Passwort angegeben werden. Das ist der erste Faktor. Damit kann dann eine erwünschte Aktion (zB Überweisung oder Dauerauftrag) vorbereitet werden - kann aber noch nicht endgültig ausgeführt werden.
Dazu braucht es eine weitere vollkommen unabhängige Maßnahme. Das ist der zweite Faktor, die bekannte pushTAN (TransAktionsNummer), eine zweite aktionsgebundene Kennung. Diese Nummer wird bei der ersten Aktion erstellt.
Um diese Nummer nutzen zu können, muss auf einem anderen (einem zweiten) Gerät mit einer separaten App (der TAN App) eine weitere Anmeldung erfolgen. Das ist zwar die selbe Kontonummer, sollte aber eine andere PIN als bei der ursprünglichen Anmeldung sein.
War diese zweite Anmeldung erfolgreich, wird der bei der ersten Aktion erzeugte Vorgang zur manuellen Bestätigung abgerufen. Diese Bestätigung muss dann innerhalb einer relativ kurzen Zeit erfolgen.
Nur ausschließlich diese Aktion wird manuell abgerufen und muss somit bestätigt werden - und wird damit endgültig ausgeführt.
Die Aktion bedingt mindestens ein (zusätzliches) Smartfone mit der aktiven pushTAN App, das diese Bestätigung ausführen kann.
Das Verfahren ist technisch absolut sicher, sofern die Bedingungen beachtet werden.
Die Schwäche dieses Verfahrens ist wie immer der Benutzer.
Der Benutzer darf NIEMALS irgend eine Kennung preisgeben.
Das wissen auch die Bösen Buben, denen allerhand 'Argumente' einfallen, dem Benutzer seine Zugangskennung(en) zu entlocken.
Typisch wäre dabei, den Benutzer aufzufordern, unverzüglich seine Benutzerdaten zu bestätigen, ansonsten sein Konto gesperrt werden müsse.
Das ist natürlich Unfug. Aber diese Zugangsdaten werden dann mitgelesen - und benutzt, um sofort das Konto einschließlich Überziehungskredit von den Bösen Buben abzuräumen.
ist ein Verfahren, das Sicherheit zB bei Bankkonten bietet. Aber nicht nur bei Bankkonten, sondern mittlerweile auch bei jeglichem Zugang zum Internet. Ein durchaus sicheres Verfahren beim Beachten der Vorgaben, allerdings etwas umständlich zu handhaben.
Ich empfehle es trotzdem sehr.
Die Lücken dieses Verfahrens werde ich allerdings auch erwähnen.
Kurzfassung:
Um eine Aktion gesichert durchzuführen, muss diese mit zwei getrennten Aktionen auf zwei unterschiedlichen Geräten vorgenomen werden.
Beispiel anhand einer Banküberweisung:
Zuerst muss die reguläre Anmeldung zum Bankkonto erfolgen. Dazu müssen die Kontonummer und die dazu passende PIN (Persönliche Identifikations Nummer), oder ein Passwort angegeben werden. Das ist der erste Faktor. Damit kann dann eine erwünschte Aktion (zB Überweisung oder Dauerauftrag) vorbereitet werden - kann aber noch nicht endgültig ausgeführt werden.
Dazu braucht es eine weitere vollkommen unabhängige Maßnahme. Das ist der zweite Faktor, die bekannte pushTAN (TransAktionsNummer), eine zweite aktionsgebundene Kennung. Diese Nummer wird bei der ersten Aktion erstellt.
Um diese Nummer nutzen zu können, muss auf einem anderen (einem zweiten) Gerät mit einer separaten App (der TAN App) eine weitere Anmeldung erfolgen. Das ist zwar die selbe Kontonummer, sollte aber eine andere PIN als bei der ursprünglichen Anmeldung sein.
War diese zweite Anmeldung erfolgreich, wird der bei der ersten Aktion erzeugte Vorgang zur manuellen Bestätigung abgerufen. Diese Bestätigung muss dann innerhalb einer relativ kurzen Zeit erfolgen.
Nur ausschließlich diese Aktion wird manuell abgerufen und muss somit bestätigt werden - und wird damit endgültig ausgeführt.
Die Aktion bedingt mindestens ein (zusätzliches) Smartfone mit der aktiven pushTAN App, das diese Bestätigung ausführen kann.
Das Verfahren ist technisch absolut sicher, sofern die Bedingungen beachtet werden.
Die Schwäche dieses Verfahrens ist wie immer der Benutzer.
Der Benutzer darf NIEMALS irgend eine Kennung preisgeben.
Das wissen auch die Bösen Buben, denen allerhand 'Argumente' einfallen, dem Benutzer seine Zugangskennung(en) zu entlocken.
Typisch wäre dabei, den Benutzer aufzufordern, unverzüglich seine Benutzerdaten zu bestätigen, ansonsten sein Konto gesperrt werden müsse.
Das ist natürlich Unfug. Aber diese Zugangsdaten werden dann mitgelesen - und benutzt, um sofort das Konto einschließlich Überziehungskredit von den Bösen Buben abzuräumen.