abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Welche Funktion hat der Logout-Code beim Deaktivieren der Session TAN ?

Link zum Beitrag wurde kopiert.

Enthusiast
Beiträge: 73
Registriert: 15.11.2016

Hallo Zusammen,

 

da ich in den FAQ's und der Hilfe nicht fündig geworden bin, stelle ich die Frage mal hier rein.

 

Wenn man eine Session TAN wieder deaktiviert bekommt man folgende Meldung

 

Sicherheitshinweis

Ihr Logout-Code: XXXXXXXXXX

 

Sie haben eine Session-Tan für Ihre Transaktionen verwendet. Zu Ihrer Sicherheit vergleichen Sie bitte den oben stehenden Logout-Code mit dem, den Sie mit der Session-TAN per SMS bekommen haben.

Sind diese Codes nicht identisch, wenden Sie sich bitte umgehend an Ihr Betreuungsteam: 0911 – 369 30 00

 

Das es irgendwas mit Sicherheit zu tun hat ist mir klar aber welche Funktion hat dieser Logout-Code?

Welche besondere Gefahr lauert beim Session TAN, dass es sowas braucht?

Wieso könnte der Logout-Code überhaupt unterschiedlich sein?

 

Gruß

Helmuth

 

 

0 Likes
6 Antworten 6

Enthusiast
Beiträge: 876
Registriert: 22.11.2016

Die Consorsbank kann nie ausschliessen, dass ein Konto gehakt wurde. Da mit einer Session-TAN jede folgende Order ohne weitere TAN ausgeführt werden kann, dient diese Abfrage der Sicherheit, dass du auch wirklich diese Session beenden willst.

 

Ein Bösewicht könnte dir eine falsche Nachricht schicken. Du glaubst du hast die Session beendet aber in Wirklichkeit nutzt der andere weiterhin deine Session-TAN. Da er diesen Sicherheitscode nur schwer nachstellen kann, wird er sich in der Regel von deinem Sicherheitscode unterscheiden und du wüsstest, dass irgend jemand dein Account gehakt hat.

 

Ich hoffe es ist verständlich genug.


Enthusiast
Beiträge: 73
Registriert: 15.11.2016

@urvater

 

danke für die Antwort aber die verstehe ich jetzt ehrlich gesagt nicht so ganz.

 

Mit einem 'gehackten' Account (mein Login bei der Consorsbank) kann man keine laufende Session übernehmen.

 

Falls Du eine sog. 'Man in the Middle' Attacke meinst - dies wäre vielleicht eine mögliche Erklärung - aber da es mit SSL verschlüsselt ist sollte man dies am falschen Zertifkat des MITM Proxys sehen.

Ausserdem müsste der MITM Angreifer dann genau nur diesen Session logout abfangen - nicht an die Consors weitergeben und mir dann die Antwort vorgaukeln. Sehr aufwändig aber wer weis vielleicht kommt dies doch vor.

 

Ganz leuchtet mir das noch nicht ein - vielleicht Antwortet hier ja noch jemand von Consors dazu. Ansonsten werde ich da mal den Helpdesk kontaktieren weil ich das schon gern wüsste was es damit auf sich hat - vielleicht gibt es ja noch Sicherheitsaspekte die man so vielleicht nicht bedenkt.

 

Gruß

Helmuth

0 Likes

Community Manager
Beiträge: 1768
Registriert: 13.01.2014

Hallo @Helmuth,

 

gerne möchten wir von unserer Seite aus auch noch einmal versuchen, den Sachverhalt zu klären.

 

Erfolgt die Aktivierung der Session-TAN mit einer mobilen TAN, erhalten Sie per SMS gemeinsam mit der TAN einen Logout Code. Dieser dient Ihrer Sicherheit bei Verwendung der Session-TAN und stellt sicher, dass keine dritte Person Zugriff auf Ihre Session hat. Beim Logout bzw. der Deaktivierung der Session-TAN wird Ihnen der Logout Code angezeigt. Sollte der angezeigte Logout Code nicht mit dem aus der SMS übereinstimmen oder nicht angezeigt werden, wenden Sie sich bitte umgehend an Ihr persönliches Betreuungsteam.

Es geht hierbei also grundlegend darum, wie von @urvater richtig geschrieben, das Abfangen von mobilen TANs zu erkennen, als Form eines weiteren Schrittes zu Ihrer persönlichen Sicherheit.

 

Herzliche Grüße aus Nürnberg,

Sonja

Community Moderator

0 Likes

Enthusiast
Beiträge: 73
Registriert: 15.11.2016

@@@CB_Sonja,

 

danke für die Rückmeldung - leider kann ich Ihre Antwort nicht nachvollziehen weil in meinen Augen unlogisch.

 

Das mit dem Abfangen der mobilen TAN kann nicht der Grund sein, denn schliesslich wird die Session TAN und der Logoutcode mit derselben SMS an die gleiche Handynummer gesendet. Sollte also jemand diese SMS abfangen hat er auch den Logoutcode abgefangen.

 

Wie das Handling der Logout TAN funktioniert war mir schon klar.

 

Urvater sprach nicht vom Abfangen einer mobilen TAN - sondern von einem gehackten Account.

 

Ich wollte aber wissen welche besondere Gefahr bei einer Session TAN bestehen könnte, dass man als Anwender zusätzlich bei einem Logout diesen Logout anhand des Codes verifizeren muss.

 

Wie gesagt für mich ist im Moment die einzig logische Erklärung eine 'Man in the Middle' Attacke. Bei dem mein Logout richtung Bank abgefangen und  meinem Browser und mir ein Logout vorgaukelt wird und anschliessend der 'Man in the middle' mit der Session TAN fleissig weiter Transaktionen ausführen kann.

 

Viele Grüße

Helmuth

0 Likes

Community Manager
Beiträge: 1768
Registriert: 13.01.2014

Hallo @Helmuth,

 

bitte entschuldigen Sie meine späte Rückmeldung. Die Kollegen aus dem Fachbereich haben mir folgendes Feedback mitgegeben:

 

der Logout-Code dient dazu, das Sie sich sicher sein können, dass die Session wirklich von uns (der Consorsbank) beendet wurde. Ein Man-in-the-Middle Angreifer welcher die Session übernehmen möchte, würde dadurch effektiv erkannt.

Entweder wird die Session beendet, d.h. die TAN ist richtig (wir beenden erst die Session und versenden dann die TAN) oder die TAN ist falsch, d.h. durch einen Trojaner/Angreifer verändert damit er die gültige Session übernehmen kann. In diesem Fall sollten Sie sich unbedingt bei uns melden und wir können die Session über unsere Systeme beenden. 

 

Beste Grüße,

Sonja

Community Moderator

0 Likes

Enthusiast
Beiträge: 73
Registriert: 15.11.2016

@CB_Sonja

 

vielen Dank für die Klärung -

 

die klingt jetzt plausibel für mich - ausser dass der Begriff TAN durch Logout-Code zu ersetzen ist.

 

Entweder wird die Session beendet, d.h. der Logout-Code ist richtig (wir beenden erst die Session und versenden dann den Logout-Code oder die Logout-Code ist falsch, d.h. durch einen Trojaner/Angreifer verändert damit er die gültige Session übernehmen kann. In diesem Fall sollten Sie sich unbedingt bei uns melden und wir können die Session über unsere Systeme beenden. 

 

Viele Grüße

Helmuth

0 Likes
Antworten