SECURITY
24.11.2005, 16:40 Uhr
Phishing wird mit EMV-CAP zum Relikt
Sichere Verfahren gegen Phishing-Attacken bestehen bisher kaum. In einem Pilotprojekt bei der Postfinance wird nun «starke Authentifizierung» im E-Banking-Portal Yellownet getestet.
Thomas Dinkel, Projektleiter des EMV-CAP-Tests bei Postfinance, sieht in der standardisierten Lösung kaum Risiken.
Nach wie vor werden Passwörter zur Anmeldung bei E-Banking- und E-Commerce-Applikationen gestohlen und missbraucht. Soeben erst haben deutsche Forscher auf die Schwachstellen des angeblich so sicheren ITAN-Verfahrens (indizierte Transaktionsnummer) hingewiesen. Mit einer Erweiterung des weltweit gültigen EMV-Standards (Eurocard Mastercard Visa) soll beim elekt-ronischen Bankverkehr zumindest den aktuellen Bedrohungen aus dem Internet Einhalt geboten werden. CAP (Chip Authentication Program) heisst die EMV-Zusatzspezifikation.
Dahinter steht der erste internationale Standard für «starke Authentifizierung». Um darauf zurückzugreifen, muss der Karteninhaber über einen kleinen Kartenleser mit Tastatur und Anzeige verfügen, der alle EMV-CAP-Funktionen ausliest. Konkret gibt man beim E-Banking zuerst die Vertragsnummer auf der Banking-Plattform ein und erhält einen nummerischen Code. Dann schiebt man die EMV-Karte in den Leser, identifiziert sich mit der üblichen PIN (Persönlichen Identifikationsnummer) und tippt dann den numerischen Code ein. Der Leser generiert jetzt das Passwort zum Einstieg ins E-Banking. Der Kartenleser enthält keinerlei Daten.
Dahinter steht der erste internationale Standard für «starke Authentifizierung». Um darauf zurückzugreifen, muss der Karteninhaber über einen kleinen Kartenleser mit Tastatur und Anzeige verfügen, der alle EMV-CAP-Funktionen ausliest. Konkret gibt man beim E-Banking zuerst die Vertragsnummer auf der Banking-Plattform ein und erhält einen nummerischen Code. Dann schiebt man die EMV-Karte in den Leser, identifiziert sich mit der üblichen PIN (Persönlichen Identifikationsnummer) und tippt dann den numerischen Code ein. Der Leser generiert jetzt das Passwort zum Einstieg ins E-Banking. Der Kartenleser enthält keinerlei Daten.
