Eberhard Karls Universität Tübingen
Wilhelm-Schickard-Institut für Informatik (WSI)
Arbeitsbereich für Theoretische Informatik/Formale Sprachen
Impressum | Intern
Home | Mitarbeiter | Bernd Borchert

Bernd Borchert

What-you-see-is-what-you-confirm fuer die Fotohandy-TAN

Ziffern-Erkennung mit dem Fotohandy

Online Banking mit dem ueblichen PIN/iTAN-Verfahren ist nicht trojanersicher: ein auf den Rechner des Benutzers eingeschleppter Trojaner-Virus kann nicht nur die PIN ablauschen, sondern auch Ueberweisungen faelschen. Das Fotohandy-PIN/TAN Verfahren verhindert beide Angriffe - unter der Annahme, dass das Handy virusfrei ist. Bei der Implementierung der Fotohandy-PIN/TAN wurde ein 2D-Code benutzt, um die Ueberweisungsdaten per Abfotografieren auf das Fotohandy zu uebertragen. Der Prototyp soll verbessert werden, indem die Daten direkt - d.h. ohne 2D-Code - durch das Fotohandy vom Bildschirm abgelesen werden:


Sichere Fenster

Es wird durch die direkte Erkennung der Ueberweisungsdaten nicht nur die Benutzerfreundlichkeit des Fotohandy-TAN Verfahrens verbessert, denn der Ueberpruefungsschritt auf dem Handy faellt weg, sondern vor allem auch die Sicherheit: ein Trojaner-Virus auf dem Rechner kann nicht mehr die moegliche Unaufmerksamkeit des Bankkunden ausnutzen, indem er ihm eine manipulierte Ueberweisung zur Bestaetigung unterschiebt und darauf spekuliert, dass der Bankkunde die Daten beim zweiten Mal nicht genau prueft. Wenn die Buchstabenerkennung eingesetzt wird, kann das nicht passieren, denn den Ueberpruefungsschritt gibt es gar nicht, d.h. es gilt: what-you-see-is-what-you-confirm.

Hinweise zur Implementierung im Rahmen einer studentischen Arbeit (Stud., Bachelor, Dipl., Master): Fuer das Fotohandy soll also ein Buchstabenerkennungs-Programm geschrieben werden. Die Aufgabe wird dadurch vereinfacht, dass es nur Ziffern sind, die vom Handy-Programm zu erkennen sein sollen, und dass diese Ziffern relativ zu den Ankerpunkten in fester Position stehen. Das Erkennen der 3 oder 4 Ankerpunkte in dem Bild, das die Handy-Kamera aufgenommen hat, ist die schwierigste Aufgabe. Die grafische Gestaltung der Ankerpunkte und der entsprechende Erkennungs-Algorithmus werden in dem Projekt gemeinsam diskutiert und festgelegt (das im Bild oben skizzierte Format ist wahrscheinlich nicht ideal). Wenn die Ankerpunkte vom Algorithmus erkannt worden sind, koennen die Ziffern relativ einfach gelesen werden, weil die Lage und das Format der Ziffern festgelegt werden kann - in einem ersten Ansatz koennte man z.B. die Ziffern durch den 7-Segment Code darstellen.

Das what-you-see-is-what-you-confirm Prinzip soll in dem Projekt als Demonstrations-Prototyp - also so wie die Fotohandy-PIN/TAN Demonstration, siehe oben - implementiert werden: auf dem Handy in J2ME und beim Server in PHP und JavaScript.

Links

What-you-see-is-what-you-sign ist mehr als what-you-see-is-what-you-confirm: Der Server kann bei what-you-see-is-what-you-sign dem Klienten nachweisen, dass er den Auftrag abgegeben hat, bei what-you-see-is-what-you-confirm nicht. Fuer Online Banking reicht aber letzteres, weil Bank und Kunde sich vertrauen. Deshalb wird hier kein Bluetooth zwischen Fotohandy und Rechner benoetigt - was die Aufgabe sehr vereinfacht.
Letzte Änderung: 27. Oct. ‘09 | Bei Fragen und Anregungen E-Mail an: Bernd Borchert
Home WSI Fachschaft Uni-Tübingen Tübingen Externe Links