Zufallsgeneratoren für TANS und deren Vorliebe für XYZCQ

Hallo,

mir ist bei meinen Mobilfunktans schon schnell aufgefallen, dass die im Deutschen selten benutzten Buchstaben sehr häufig auftraten. Habe jetzt mal eine kleine Statistik erstellt:
8 mobile Tans enthielten: 4 X, 3 C und je 2 Y, Q und Z.
Wer eine TAN fälschen will, sollte also mind. einen, eher zwei dieser Buchstaben miteinfügen.

Mit Zufall hat das bei 36 möglichen Zeichen nicht mehr viel zu tun, mit Sicherheit auch nicht so recht - und wie gesagt, genau das ist mir vorher lange schon aufgefallen, eben darum habe ich genau diese Buchstaben mal per Strichliste auf Papier erfasst.
Wer solches per Computer in Massen verarbeiten kann, kommt sicher auf recht gute Einschränkungen der wahrscheinlichen TANS.

Sind Euch auch solche Häufungen aufgefallen? Oder bin ich bei der blödesten Bank (was durchaus möglich ist)?

Gruß, Paran

Interessant … vor allem, weil mir aufgefallen ist, dass in meinen mobile TANS alle Buchstaben und Zahlen vorkommen. Dürfte wohl wirklich von Bank zu Bank unterschiedlich sein und manche sind halt „einfallsloser“ oder haben sich für kostengünstigere Betreuer in Sachen Sicherheit entschlossen :-p

Kenn auch Banken, die immer noch nach dem Prinzip „4 Zahlen sind als TAN genug“ arbeiten …

Danke für den Hinweis, war interessant für mich
Gruß,
Abakus

hallo.

Mit Zufall hat das bei 36 möglichen Zeichen nicht mehr viel zu
tun, mit Sicherheit auch nicht so recht -

warum ist dir das nicht sicher genug?

und wie gesagt,
genau das ist mir vorher lange schon aufgefallen, eben darum
habe ich genau diese Buchstaben mal per Strichliste auf Papier
erfasst.
Wer solches per Computer in Massen verarbeiten kann,

das ist ja keine große kunst.

kommt
sicher auf recht gute Einschränkungen der wahrscheinlichen
TANS.

und was hat er dann davon?

Sind Euch auch solche Häufungen aufgefallen? Oder bin ich bei
der blödesten Bank (was durchaus möglich ist)?

ja. bei der PBNK…F (nicht die beste bank, aber es gibt blödere) kommt tatsächlich häufig Q und X vor.
das ändert aber nichts daran, daß ein eventueller hacker mit einer liste von wahrscheinlichen TANs nicht viel anfangen kann, außer daß es seine chancen geringfügig erhöht, eine überweisung erfolgreich auszuführen, wenn er gleichzeitig deine PIN kennt.
die wahrscheinlichkeit, daß jemand deine EC- (oder kredit-)karte mopst und die dazugehörige vier(!)stellige PIN errät, ist deutlich höher.

gruß

michael

Hallo,

Sind Euch auch solche Häufungen aufgefallen? Oder bin ich bei
der blödesten Bank (was durchaus möglich ist)?

Also bei meiner Bank gibt es nur Zahlen, aber die M-Tan ist nur eine begrenzte Zeit
gültig, nur für die angezeigte Transaktion und nach 3 maliger Falscheingabe wird der Zugang gesperrt. So ist die M-Tan eigentlich relativ sicher.

Man muss also schon das Passwort ausspionieren, die Überweisungsdaten ändern und die M-Tan abgreifen. Mit Zufall wird es nicht gehen.

Gruß vonsales

Hallo,

deine Erhebung hat keine statistische Signifikanz. Von deinen paar TANs auf ein generelles Muster zu schließen funktioniert nicht. Du kannst davon ausgehen, das der Zufallsgenerator, der zur Erzeugung der TANs eingesetzt wird mehr als einmal gründlich getestet wurde.

Gruß,
Steve

Hi,

wenn ich weiss dass im 6 aus 49 die 49, 32 und die 6 bisher (!) am häufigsten gezogen wurden, hilft mir das in keinster Weise für die Ziehung am Samstag. Der Zufall bestimmt ja die Zahlen. Die Tatsache dass sie schon x-mal gezogen wurden ist total irrelevant, da jede Ziehung unabhängig vom Ergebnis der vorherigen ist.

http://www.lotto.de/de/ergebnisse/lotto-6aus49/stati… („Sortieren nach Häufigkeit“)

Gruss
K

Hallo,

Klar braucht man auch KontoNr. und PIN.
Aber was machen all die Viren, Trojaner, Würmer etc., die ein Comuterexperten-Freund alle zwei Jahre mit diversen Spezialprogrammen von meinem Computer löscht?

Ist da garantiert nichts dabei, dass die PIN-Eingabe registriert?
Wenn Hacker es bis ins Pentagon schaffen, dürfte die Tastenkombination, mit der ich Onlinebanking öffne, kein wirkliches Problem sein.

Ab da ist es dann mit den TANS ein Wahrscheinlichkeitsgeschäft - das wird doch mit Kreditkarten auch gemacht. Nach dem Motto: ein Treffer auf 10.000 (oder 1.000 000) reicht, solange die Arbeit schnell und effektiv von Computern erledigt wird.

Außerdem finde ich es schlicht peinlich für eine Bank, mit einem solchen „Zufallsgenerator“ anzutreten.

Aber diese Bank tendiert ohnehin zu Peinlichkeiten, hab da auch nur das Giro, weil die Bank auf dem Weg liegt und ich regelmäßig persönlich hin muss, zum Einzahlen z.B…

Gruß, Paran

Hallo,

klar sind 8 TANS keine Statistik.
Aber ich habe die genannten Buchstaben erst angefangen zu zählen, nachdem sie mir schon seit zwei Jahren dauernd sehr gehäuft erschienen.

Wir können hier aber gern über WWW mal eine Statistikgruppe TANS bilden. Jeder notiert sich über 40 TANS alle vorkommenden Zeichen und beobachtet anschließend konkret die dort erkennbaren Häufungen (sofern vorhanden).

Ich kann allein keine statistische relevanten Zahlen generieren - dazu fehlt mir schlicht die Zeit.

Ich kann sagen: ich habe seit Einführung der MTAN kaum eine empfangen, die nicht ein (oder mehrere) X, Y, Z, Q oder C enthielt. Tans ohne diese drei Buchstaben kommen nur in ca. 1 von 50 oder mehr vor.

Da ich viel Kleinkram bei Ebay kaufe und daher um die 20 Überweisungen pro Monat tätige, bin ich dem statischtischen Bereich nach jetzt 2 oder 3 Jahren nicht allzu fern.
Kann meine Strichliste auch noch 4 Jahre weiterführen, dann habe ich die statistischen Tausend verm. zusammen. Aber muss das bei so offensichtlicher Präferation seltener Buchstaben wirklich sein?

Ich habe noch was anderes zu tun als das Offensichtliche statistisch zu bestätigen, zumal, wenn das nichts bringt.

Gruß, Paran

Hallo,

wenn ich weiss dass im 6 aus 49 die 49, 32 und die 6 bisher
(!) am häufigsten gezogen wurden, hilft mir das in keinster
Weise für die Ziehung am Samstag. Der Zufall bestimmt ja die
Zahlen.

Die Lottozahlen werden wohl wirklich relativ zufällig gezogen (100% Zufälligkeit ist nicht so leicht ereichbar, wie man denkt).
Die TANS aber werden nicht einzeln aus einer Kugeltrommel gezogen sondern von Computerprogrammen generiert. Diese arbeiten mehr oder weniger gut und das Produkt ist mehr oder weniger zufällig.

Kamen etwa in den Lottoziehungen der letzten 2 Jahre nahezu immer mind. eine, meist eher zwei oder drei, der folgenden Zahlen vor: 3, 18, 24, 36 und 45?

Würde mich wundern.

Die TANS meiner Bank enthalten aber seit Jahren nahezu immer mind. einen der Buchstaben: C, Q, X, Y, Z, oft mehrere.

Das ist kein Zufall, das ist schlecht programmiert.

Gruß, Paran

hallo.

Aber was machen all die Viren, Trojaner, Würmer etc., die ein
Comuterexperten-Freund alle zwei Jahre mit diversen
Spezialprogrammen von meinem Computer löscht?

die können in der tat so einiges machen. aber der infizierung des rechners beugt in der regel schon ein freeware-virenscanner und ein bißchen vorsicht beim surfen vor.

Ist da garantiert nichts dabei, dass die PIN-Eingabe
registriert?

garantie gibt’s sicher nicht. aber mit mobileTAN hast du ja eine zusätzliche sicherheitskomponente: die mobile TAN kriegst DU auf’s handy geschickt. und - moment mal - du hast doch gerade gar keine überweisung gemacht!?
wenn eine bank noch die alten ausgedruckten TAN-listen einsetzt, ist das mißbrauchsrisiko ungleich höher.

Außerdem finde ich es schlicht peinlich für eine Bank, mit
einem solchen „Zufallsgenerator“ anzutreten.

ich finde es absolut ausreichend.

gruß

michael

Hi!

Klar braucht man auch KontoNr. und PIN.
Aber was machen all die Viren, Trojaner, Würmer etc., die ein
Comuterexperten-Freund alle zwei Jahre mit diversen
Spezialprogrammen von meinem Computer löscht?

Sorry, aber wenn das wirklich so ist, solltest Du Dein Verhalten mit IT-Geräten generell in Frage stellen, denn dann ist ein „ausspionierter“ TAN Dein geringstes Problem.

Grüße,
Tomh

hi

Aber was machen all die Viren, Trojaner, Würmer etc., die ein
Comuterexperten-Freund alle zwei Jahre mit diversen
Spezialprogrammen von meinem Computer löscht?

Wenn das tatsächlich so schlimm ist, dann ist die Buchstabenwiederholung bei Deinen TANS Dein geringstes Problem

Ist da garantiert nichts dabei, dass die PIN-Eingabe
registriert?

Wenn Dein System so mit Schädlingen übersät ist, dann solltest Du schleunigst den Stecker ziehen und nicht mehr online gehen

Außerdem finde ich es schlicht peinlich für eine Bank, mit
einem solchen „Zufallsgenerator“ anzutreten.

Was ist das Problem? Die TAN hat mindestens 6 Stellen, selbst wenn der Hacker 2 Buchstaben errät, muß er erstens wissen an welcher Stelle die Buchstaben stehen, braucht zweitens noch 4 Stellen und drittens einen unvorsichtigen User, der nicht kontrolliert welche Überweisung zum Bestätigen an sein Handy geschickt wurde

Gruß
Edith

PS.:Merke: Das größte Sicherheitsproblem sitzt immer vor dem Computer!

Hallo,

ich sammle nicht viel Ungeziefer in den zwei Jahren (besuche keine Virenträchtigen Seiten, öffne keine ungewissen Mail etc.), das größte Problem sind eher unnütze Dateien, die alles verlangsamen. Aber ein paar „Viecher“ tauchen dabei auch schon mal auf, solche, die trotz regelmäßiger Virensuche meinerseits mit Standardprogrammen nicht gefunden werden.

Wenn ich mit dem System kein Onlinebanking betreiben sollte, kann Onlinebanking gleich wieder einpacken.
Das ist nicht nur für Comuterspezis gedacht.
Außerdem: Betrug bei Automatenabhebung, Kartenzahlung und Kreditkarten sind bislang wohl die größeren Probleme.

Nur: wenn eine Bank auf Sicherheit setzen will, dazu eine tel. TAN einführt, dann sollte dort m.E. auch ein Zufallsgenerator eingesetzt werden, der die Bezeichnung verdient.

Aktueller Stand meiner kleinen Statistik: auf 16 TANs gabs 5X, 5Y, 3C, 6Z, 2Q.
W habe ich nicht beobachtet, würde siich aber auch lohnen.

Wer die TANs im großen Stil und mit geeigneten Programmen auswertet (und das kann jeder, der dort ein Konto hat), wird verm. noch wesentlich mehr finden, z.B. auch gern vermiedene Buchstaben wie die Vokale und schließlich ein paar Tausend rel. wahrscheinliche TANs generieren können.

Das ist nicht Sinn der Sache.
Eine richtig große Bank sollte sich etwas Besseres leisten können.

Gruß, Paran