SECURITY 24.11.2005, 16:40 Uhr

Phishing wird mit EMV-CAP zum Relikt

Sichere Verfahren gegen Phishing-Attacken bestehen bisher kaum. In einem Pilotprojekt bei der Postfinance wird nun «starke Authentifizierung» im E-Banking-Portal Yellownet getestet.
Thomas Dinkel, Projektleiter des EMV-CAP-Tests bei Postfinance, sieht in der standardisierten Lösung kaum Risiken.
Nach wie vor werden Passwörter zur Anmeldung bei E-Banking- und E-Commerce-Applikationen gestohlen und missbraucht. Soeben erst haben deutsche Forscher auf die Schwachstellen des angeblich so sicheren ITAN-Verfahrens (indizierte Transaktionsnummer) hingewiesen. Mit einer Erweiterung des weltweit gültigen EMV-Standards (Eurocard Mastercard Visa) soll beim elekt-ronischen Bankverkehr zumindest den aktuellen Bedrohungen aus dem Internet Einhalt geboten werden. CAP (Chip Authentication Program) heisst die EMV-Zusatzspezifikation.
Dahinter steht der erste internationale Standard für «starke Authentifizierung». Um darauf zurückzugreifen, muss der Karteninhaber über einen kleinen Kartenleser mit Tastatur und Anzeige verfügen, der alle EMV-CAP-Funktionen ausliest. Konkret gibt man beim E-Banking zuerst die Vertragsnummer auf der Banking-Plattform ein und erhält einen nummerischen Code. Dann schiebt man die EMV-Karte in den Leser, identifiziert sich mit der üblichen PIN (Persönlichen Identifikationsnummer) und tippt dann den numerischen Code ein. Der Leser generiert jetzt das Passwort zum Einstieg ins E-Banking. Der Kartenleser enthält keinerlei Daten.



Das könnte Sie auch interessieren