请问LZ是不是用同一手机上的postbank和收的mtan?
mujiaba 发表于 2014-10-1 21:59
请问LZ是不是用同一手机上的postbank和收的mtan?
我是在电脑上上的网银,不是手机网银
卷饼狂热分子 发表于 2014-10-1 19:18
为什么,除非手机被入侵了吧
想楼主这样自己手贱的,mtan和纸质有区别吗,都是自己输给别人。。。
纯安全性的讨论,人为过失不算在内。
假设入侵者和防御者都有足够的时间且运算能力足够强的前提下
手机密码可以有很多途径丢失,比如像你说的手机被入侵了,除此之外还可以是通讯商被入侵了,通讯商和手机之前的通讯被窃听了,等等等等,这还只是在手机通讯这部分出问题的可能性
反之看纸质密码,除了失窃(包括偷看、偷拍等方式),没有泄密的可能,但是失窃的问题手机密码同样有这个问题,并没有对此有所改进
所以,只要我死死的捏住了纸质密码,不被任何人接触到,密码就是安全的,但是对手机来说,我除了要保管好手机,还要照看好里面的软件,还要寄希望于通讯商不会入侵,手机的通讯不会被窃听,安全防卫难度增加了许多
但是方便程度上,手机只比传统纸质密码带来有限的几点优势:1,便携,一般人会随身携带手机,也就是说任何时间任何地点都可以收到密码,但是一般纸质密码做不到;2,在安全性上稍有一点增加,就是你知道这个密码是做什么的,但是在通讯商被入侵或者通讯被监听的前提下,这个优势丝毫得不到体现。
我到现在还没想到手机密码的更多优势,有什么我想漏的欢迎提醒。
Sicherheit steht bei der chipTAN im Vordergrund. Sie ermitteln Ihre TAN mit dem TAN-Generator und Ihrer persoenlichen SparkassenCard. 目前最保险的转账方式,麻是麻烦了点,但是要比短信或者纸质的TAN都安全
超级玛丽 发表于 2014-10-1 11:01
tan码机更安全可靠,值得拥有
我是这个。不过也挺担心
天生小迷糊 发表于 2014-10-1 13:15
chiptan? 这种没有安全漏洞么?
我觉得知道密码了,就一样可以转账了
大士大匪 发表于 2014-10-1 17:16
这个机器开通时要绑定EC卡,online转帐时要把绑定的卡插进去,然后再扫屏幕上的条形码,或手动输入转帐信 ...
真假?我家我和老公两个卡可以一个机器啊?
贞爱 发表于 2014-10-2 14:39
真假?我家我和老公两个卡可以一个机器啊?
对头,我们家就是一个机器绑定两张卡。去银行买这个机器时跟他们说就行了,他们会搞定的。
大士大匪 发表于 2014-10-2 20:37
对头,我们家就是一个机器绑定两张卡。去银行买这个机器时跟他们说就行了,他们会搞定的。
我家没特意说啊。难道瑞士得不同?
本帖最后由 wagner 于 2014-10-3 06:14 编辑
我觉得原因在于LZ电脑中毒。通过电脑的木马,黑客早已搞到LZ网银的登入密码,他登入后等到LZ online,然后启动他的软件,比如说因为什么安全原因,要你输入一次mTAN。同时,黑客在LZ账号进行转账手续,这样LZ网银就会通过SMS发给LZ手机一个mTAN. 假如LZ这时在电脑输入mTAN,实际被黑客截取来完成当时的转账。
实际上,上述过程也有很多值得怀疑的,一般银行不会说因为什么安全原因,要你输入一次mTAN,二是这么蹊跷又收到一个mTAN,尽管你根本没有在网银操作什么。值得警惕啊!
xbbyysh 发表于 2014-10-2 11:34
我是在电脑上上的网银,不是手机网银
像这样银行会赔的。一般银行要求不能用同一设备操作网银和收mTAN
本帖最后由 rhein1982 于 2014-10-3 00:06 编辑
alphasong 发表于 2014-10-2 13:56
纯安全性的讨论,人为过失不算在内。
假设入侵者和防御者都有足够的时间且运算能力足够强的前提下
纸TAN的问题是 给你的那些TAN是预先生成的,每个Tan不是针对特定的转账业务,银行软件系统在客户具体某次转账时是采用Token Ring 的方式来实现的,学Info的同学应该知道这个原理,而 mTAN是点对点,也就是说mTAN是因为当前转账(目标账户和金额)而由银行系统生成,只对当前业务有效,LZ这个情况只要核对手机mTAN是可以避免的,但是纸TAN做不到这点。
一旦黑客获取一个纸tan,就可以在别的某个时间进行其所希望的交易,没有实时性要求。
假设:电脑已经中毒,进入黑客设计的钓鱼网站(伪造的网银网站),受害者本人尚未知情
过程: 1. 假网银网站要求输入账号密码 --> 受害者本人账号密码被突破
2. 受害者进行计划中的转账 -->假网站索要密码,受害者完全不知情的情况下填写一个纸质Tan
3. 假网站显示转账成功(实际上尚未发生任何转账行为),受害者毫不知情,该干啥干啥去了
4. 黑客拿着已经获得的账号,密码, 还有那个已经获得的Tan, 在网银上不断尝试,直到系统要求给出那个特定序列号码的Tan出现,盗取成功,黑客很高兴{:2_231:}
针对第二点还要指出,这个还是笨黑客,高手黑客的假网站可以实时放映,比如,受害者希望转到A账户100欧,黑客在另一边打入汇款到B账户10000欧(根据受害者余额决定), 如果是纸tan,真的银行系统说这比转账(10000-> B)需要56号Tan,然后黑客的假网站提示受害者输入这个56号tan(受害者还以为是在进行100->A), 然后真假网站双双显示交易成功,受害者和黑客都很开心{:2_231:} {:2_231:} ,LZ遇到的骗术和这个类似,如果是纸tan,恐怕LZ现在还毫不知情!
本帖最后由 rhein1982 于 2014-10-3 00:03 编辑
wagner 发表于 2014-10-2 22:55
我觉得原因在于LZ电脑中毒。通过电脑的木马,黑客早已搞到LZ网银的登入密码,他登入后等到LZ online,然后 ...
截取的 mTAN 是无效的, 只有在用户提交转账申请后,在明确目标账户和金额情况下,才由银行系统生成只对这比转账有效的一个mTAN,黑客就算盗取了这个mTAN也是毫无用处,只是帮助用户完成预期的转账,当免费劳工{:2_232:}
LZ这个情况是,黑客获得账号密码,然后黑客进行转账, 但是黑客无法获得所需要mTAN, 所以通过木马软件问问LZ,而LZ就把黑客急需要的mTAN告诉了黑客(银行给LZ发的mTAN已经清楚的写出了这个mTAN的用途! 而LZ疏忽没有看。。。。。。)
我也觉得纸TAN更不安全,因为,mTAN是通过SMS发的,SMS还包含相应的转账信息,比如转账金额,人们只要看一下,就会觉察到这笔无中生有的款项!
rhein1982 发表于 2014-10-2 22:25
纸TAN的问题是 给你的那些TAN是预先生成的,每个Tan不是针对特定的转账业务,银行软件系统在客户具体某 ...
如何发觉钓鱼网站?
rhein1982 发表于 2014-10-2 23:25
纸TAN的问题是 给你的那些TAN是预先生成的,每个Tan不是针对特定的转账业务,银行软件系统在客户具体某 ...
恩,可以理解为纸质TAN码是有限的,可以穷举出来;而手机TAN码可以认为是无限的,不容易被穷举出来,这可以被认为是一个手机TAN的安全优势
关于用途的那点,之前就说到了,但是生活里看来不是太有效,而且安全层面上我更多考虑了通信上的隐患,对钓鱼行骗考虑的不够多