Eberhard Karls Universität Tübingen Wilhelm-Schickard-Institut für Informatik (WSI) Arbeitsbereich für Theoretische Informatik/Formale Sprachen

Impressum | Intern|

Home | Studien- und Diplomarbeiten

Das Foto-PIN Verfahren

Das Foto-PIN Verfahren hat den Zweck, Trojaner davon abzuhalten, die PIN bzw. das Passwort zu einem Online Account (Email, Bank, Game-Server, etc.) abzulauschen. Das Foto-TAN Verfahren verhindert darüberhinaus das Fälschen von Transaktionen, z.B. bei einer Banküberweisung.

Sie benötigen ein Android Foto-Handy, auf dem das Open Sesame Programm installiert ist. Das Programm finden Sie im Android Market. Mit einem J2ME Handy gehen Sie bitte auf diese Seite. Wenn Sie kein passendes Handy haben, können Sie zu Demonstrationszwecken ein simuliertes Handy aufrufen:

Fotografieren Sie mit dem Programm den 2D-Code auf dem Bildschirm. Das Handy zeigt Ihnen danach ein Nummernfeld mit vertauschten Ziffern. Geben Sie dann durch Klicken der entsprechenden Felder die PIN ein, und zwar auf dem leeren Nummernfeld auf dem Bildschirm (nicht auf dem Handy). Die PIN steht - für diese Demonstration - in der "Gedankenwolke" rechts neben dem leerem Nummernfeld. Unten auf dieser Seite finden Sie eine Video-Bedienungsanleitung.

Bank XY, Konto 12121212. Bitte geben sie Ihre PIN ein:

Warum verhindert dieses Verfahren das Abhören der PIN durch einen Trojaner auf Ihrem Rechner? Weil ein Trojaner nur die Positionen der Klicks in das leere Eingabefeld "sieht", er aber nicht weiß, was sie bedeuten.

Diese Sicherheit wird durch einen geheimen Schlüssel auf dem Handy garantiert, der für dieses Konto schon vorinstalliert ist. Eine erweiterte Variante dieser Demonstration, bei der der Schlüssel nicht vorinstalliert ist, sondern vom Handy eingelesen wird, gibt es hier.

Das Foto-PIN/TAN Verfahren wurde 2007 von Bernd Borchert und Klaus Reinhardt entwickelt und von der Univ. Tübingen zum Patent angemeldet (DE-10-2007-029759.0, PCT-DE-2008-000885). Ein Prototyp für J2ME wurde Jan. bis Aug. 2008 von Thomas Flamm und Tobias Hirscher im Rahmen ihrer Studienarbeit programmiert. Eine Version fuer Android Handys wurde von April bis August 2009 von Danduan Lei geschrieben. Das Android Programm wird seit Sept. 2009 von Tobias Müller weiterentwickelt.

Video-Anleitung für das Foto-PIN-Verfahren:

Links

• Info-Blatt Foto-PIN: Abhörsichere Online PIN-Eingabe mit dem Fotohandy
  English version: Foto-PIN: Secure Online Passwords via Camera Mobile Phone

• Fälschungssichere Bestätigung von Transaktionen: Foto-TAN Verfahren
  Info-Blatt Foto-TAN: Trojanersicheres Online Banking mit dem Fotohandy
  English version: Foto-TAN: Secure Online Banking via Camera Mobile Phone

• Weitere Informationen zum Thema Trojanersicherheit: http://www-fs.informatik.uni-tuebingen.de/~borchert/Troja/

• Ein ähnliches Verfahren mit Papier statt Fotohandy: http://www-fs.informatik.uni-tuebingen.de/~borchert/pPIN/

• Diese Firmen haben ähnliche Verfahren für Online Banking entwickelt (ohne vertauschte Ziffern):

  • Cronto: photoTAN Verfahren (farbiger 2D Code)
  • ReinerSCT: chipTAN-comfort Verfahren (serieller 2D Code)

  Das chipTAN-comfort Verfahren hat den Vorteil, dass eine Scheckkarte gelesen werden kann. Leider gibt es keine Handys mit Scheckkarten-Lesegerät - schade, denn das würde alle Sicherheitsbedenken beim Foto-PIN Verfahren für Online Banking beseitigen.

  Wenn Handys keine Scheckkarten-Lesegeräte haben, dann haben sie in Zukunft aber vielleicht Near-Field-Communication (NFC). Dann gäbe es diese Möglichkeit zur Sicherheits-Verbesserung: NFC-Fotohandy-TAN.

Medienberichte über das Foto-PIN/TAN Verfahren

• Pressemeldung Uni Tübingen, 4.11.2008

• Schwäbisches Tagblatt, 5.11.2008

• Prometheus-TV, 12.11.2008

• ZDF Webseite, 28.11.2008

• Deutschlandfunk, 29.11.2008

   

 

• Handelsblatt, 2.12.2008

• Technology Review, Januar 2009

IQ Vergleich

Sie finden es schwierig, die Ziffern auf dem Nummernfeld zu finden, wenn sie nicht wie üblich geordnet sind? dann bitte das hier angucken: