Skip to content

Zufall == Zeit bei der Citibank

Wenn ich Kunde einer Bank bin und dort Onlinebanking über PIN/TAN mache, erwarte ich, dass dieses Verfahren von seiten der Bank sicher ist. Dazu gehört, dass die PIN nicht auf einer Postkarte verschickt wird und dass die TANs nicht von beliebiger dritten Seite erraten werden können.

FX of Phenoelit erschrak bei einem Blick auf die TANs der Citibank. Denn auf den ersten Blick schien da etwas nicht zu stimmen. Die Verteilung schien regelmäßig und eine genauere Analyse bestätigte das Bild. In seinem Artikel bei Heise Security visualisiert er durch einige gnuplot-Grafiken die fehlende Entropie. Eine zweite TAN-Liste schien zwar etwas mehr Zufall zu beinhalten. Aber immer noch nicht genug.

Der Blogeintrag von FX verrät dann das die Citibank eine zeitbasierte Komponente zur Generierung der TANs benutzt. Was soll ich sagen? Als ich meinen ersten Zufallszahlengenerator schrieb, benutzte der auch eine zeitbasierte Komponente. Damals war stolz, bis ich mal die Verteilung der “Zufallszahlen” gemessen hatte. Da wurde mir schnell klar, dass diese Zahlen eher weniger zufällig waren. Das war so um die Jahrtausendwende und es war mein erster Versuch in die Richtung.

Wahrscheinlich lässt sich diese Schwachstelle noch nicht ausnutzen. Aber man sollte das auch nicht unterschätzen. In solchen Sicherheitsfragen fängt viel zunächst mit der theoretischen Idee an, dann folgt ein Proof-of-concept und schon schlagen die Scriptkiddies dann in Größenordnung zu. Ich sage nur Chip&Pin.

Trackbacks

Qbi's Weblog am : richtiger Zufall bei der Citibank

Vorschau anzeigen
Die Citibank war ja kürzlich noch der Meinung, dass ein zeitgesteuerter Zufallszahlgenerator für die Erzeugung der TAN-Listen reichen würde. Jetzt haben sie die Meinung geändert. Laut der Meldung bei Heise wird ab sofort ein richtiger Zufallszahlengenerat

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden
Formular-Optionen
cronjob