Skip to content

Zufall == Zeit bei der Citibank

Wenn ich Kunde einer Bank bin und dort Onlinebanking über PIN/TAN mache, erwarte ich, dass dieses Verfahren von seiten der Bank sicher ist. Dazu gehört, dass die PIN nicht auf einer Postkarte verschickt wird und dass die TANs nicht von beliebiger dritten Seite erraten werden können.

FX of Phenoelit erschrak bei einem Blick auf die TANs der Citibank. Denn auf den ersten Blick schien da etwas nicht zu stimmen. Die Verteilung schien regelmäßig und eine genauere Analyse bestätigte das Bild. In seinem Artikel bei Heise Security visualisiert er durch einige gnuplot-Grafiken die fehlende Entropie. Eine zweite TAN-Liste schien zwar etwas mehr Zufall zu beinhalten. Aber immer noch nicht genug.

Der Blogeintrag von FX verrät dann das die Citibank eine zeitbasierte Komponente zur Generierung der TANs benutzt. Was soll ich sagen? Als ich meinen ersten Zufallszahlengenerator schrieb, benutzte der auch eine zeitbasierte Komponente. Damals war stolz, bis ich mal die Verteilung der “Zufallszahlen” gemessen hatte. Da wurde mir schnell klar, dass diese Zahlen eher weniger zufällig waren. Das war so um die Jahrtausendwende und es war mein erster Versuch in die Richtung.

Wahrscheinlich lässt sich diese Schwachstelle noch nicht ausnutzen. Aber man sollte das auch nicht unterschätzen. In solchen Sicherheitsfragen fängt viel zunächst mit der theoretischen Idee an, dann folgt ein Proof-of-concept und schon schlagen die Scriptkiddies dann in Größenordnung zu. Ich sage nur Chip&Pin.

Trackbacks

Qbi's Weblog on : richtiger Zufall bei der Citibank

Show preview
Die Citibank war ja kürzlich noch der Meinung, dass ein zeitgesteuerter Zufallszahlgenerator für die Erzeugung der TAN-Listen reichen würde. Jetzt haben sie die Meinung geändert. Laut der Meldung bei Heise wird ab sofort ein richtiger Zufallszahlengenerat

Comments

Display comments as Linear | Threaded

No comments

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Form options
tweetbackcheck