Sicheres Onlinebanking mit dem Mobiltelefon

Tübinger Wissenschaftler melden Patent auf sicheres Banking per Fotomobiltelefon

Zwei Informatiker der Universität Tübingen haben ein Verfahren entwickelt, das sicheres Onlinebanking unter Einbeziehung eines Mobiltelefons mit Kamera erlaubt. Über den Umweg eines grafischen Codes, der mit dem Handy fotografiert und in eine virtuelle Tastatur umgesetzt wird, wird ein möglicherweise auf dem Computer lauernder Trojaner ausgetrickst.

Artikel veröffentlicht am ,

Zweck ihres Fotohandy-PIN/TAN-Verfahrens sei es, Trojaner daran zu hindern, Zugangsdaten zum Onlinebanking, dem E-Mail-Postfach oder zu Nutzerkonten bei E-Commerce-Anbietern auszulesen, schreiben die Tübinger Informatiker Bernd Borchert und Klaus Reinhardt auf der Website ihre Projektes.

 
Video: So funktioniert das Fotohandy-PIN-Verfahren

Stellenmarkt
  1. Junior Strategieberater (w/m/d)
    Dataport, Altenholz bei Kiel, Bremen, Flensburg, Hamburg, Kiel
  2. Technical Manager*in - Sensor Simulation (w/m/d)
    Hensoldt, Immenstaad
Detailsuche

Für den sicheren Zugang zu einem Onlinekonto braucht der Nutzer ein Mobiltelefon mit einer Kamera. Auf dem Gerät muss das Programm "Fotohandy-PIN" installiert sein, das die Tübinger kostenlos im Internet zur Verfügung stellen. Es basiert auf Googles Barcode-Leseprogramm Zxing und läuft nach Angaben der Entwickler auf verschiedenen Geräten von Sony Ericsson und Nokia. Als drittes Element für das Verfahren braucht es einen kryptographischen Schlüssel. Diesen bekommen Nutzer in Form eines grafischen 2D-Codes von der Bank auf Papier zugeschickt. Den liest der Nutzer in die Software auf dem Telefon ein, indem er ihn fotografiert.

Will sich der Nutzer mit seiner persönlichen Kennnummer (Persönliche Identifikationsnummer, PIN-Code) in sein Bankkonto einloggen, erscheinen auf seinem PC-Bildschirm ein weiterer 2D-Code, ein Eingabefeld für die PIN sowie eine zehnstellige Zifferntastatur, deren Tasten nicht beschriftet sind.

Die Software auf dem Mobiltelefon verrät, welche dieser nicht beschrifteten Tasten der Nutzer drücken muss. Dazu fotografiert dieser zunächst den Code. Anhand des zuvor eingelesenen Schlüssels generiert die Software auf dem Mobiltelefon eine Matrix, auf deren Feldern die zehn verschiedenen Ziffern in einer beliebigen Reihenfolge angeordnet sind. Entsprechend den Vorgaben der Matrix auf dem Handydisplay gibt der Nutzer nun über die leere Tastatur auf dem PC-Bildschirm seine PIN ein und bekommt Zugang zu seinem Bankkonto. Ein auf dem Computer installierter Trojaner kann die Eingabe zwar registrieren, durch das leere Eingabefeld bleibt jedoch unklar, wofür die Eingaben stehen.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Hat der Nutzer seinen Überweisungsauftrag ausgefüllt, gibt er auf die gleiche Weise die Transaktionsnummer (TAN) ein. So kann ein Trojaner den Überweisungsauftrag nicht fälschen und den Betrag auf ein anderes Konto umleiten.

Die Universität von Tübingen hat ein Patent auf das von Borchert und Reinhard entwickelte System angemeldet.

Kürzlich haben Entwickler von IBM einen USB-Stick vorgestellt, der ebenfalls sicheres Onlinebanking von einem unsicheren Computer aus ermöglichen soll. Das Gerät fungiert als Proxy, der eine sichere Verbindung zum Bankingserver herstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Grafiktreiber: Die Zukunft von Nouveau ist weiter ungewiss
    Grafiktreiber
    Die Zukunft von Nouveau ist weiter ungewiss

    Linux-Kernel-Graphics-Maintainer Dave Airlie hat über den aktuellen Stand bei der Entwicklung von Open-Source-Treibern für Nvidias Grafikkarten informiert.

  2. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /