Ankündigung

Einklappen
Keine Ankündigung bisher.

Authentifizierung ElsterOnline

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Authentifizierung ElsterOnline

    Hallo,

    wenn ich bei der Anmeldung bei ElsterOnline das Zertifikat UND die dazugehörige PIN zusammen übertrage, kann ich den Zertifikatsquatsch auch ganz weglassen und einfach nur eine Benutzername + Passwort Authenthifizierung benutzen. Ein Angreifer hätte mit nur einem Anmeldeversuch das Zertifikat UND die dazugehörige PIN. Eine 2 Faktor Authentfizierung wäre wesentlich besser.

    Ein Angreifer müsste 2 von einander unabhängige Kommunikationswege überwachen. Da heutzutage jeder ein Smartphone hat, wäre hier womöglich OTP angebracht. Für SMS gibt es in D. noch zuviele weiße Flecke.


    Zudem halte ich eine generelle Übertragung des Zertifikats für extrem unsicher. Es wäre ausreichend, wenn der Browser nur eine signierte Nachricht/Bestätigung überträgt.

    #2
    AW: Authentifizierung ElsterOnline

    Hallo Bernd42,

    schauen Sie doch mal auf der Seite
    https://www.elsteronline.de/hilfe/eo...hsecurity.html
    vorbei, um Ihr Basiswissen in der IT-Sicherheit auf einem moderneren Stand zu bringen.

    Die Steuerdaten werden zum Schutz des Steuergeheimnisses verschlüsselt vom Anwender in die Rechenzentren der Bundesländer übermittelt. Dazu wurde eine hybride Verschlüsselung gewählt, die dem aktuellen Stand der Sicherheitstechnik entspricht. Die Unversehrtheit (Integrität) der Daten wird über einen Hash-Code gewährleistet.
    Das Zertifikat oder Teile davon wird niemals übermittelt. Es dient der Kryptifierzierung und wird mittels PIN aktiviert.
    Wenn Sie den Datenstrom anschauen, werden Sie nur verschlüsselte und komprierte Daten und am Ende der Übermittlung einen Hash-Code sehen. Das Zertifikat verläßt den einmal gewählten Speicherplatz in Ihrem Zugriffsbereich nicht.

    Auch wenn jedes zweite in Deutschland verkaufte Mobiltelefon ein Smartphone ist, kenne ich allein genügend Abteilungen, in denen aus Gründen der Industriespionage selbst die Nutzung von Kamera-Handys untersagt ist.
    Sie scheinen im Moment auch noch keine große Erfahrung im Umgang etwa mit dem ElsterOnline-Portal oder entsprechender Software zu haben, welche die Elster-Komponente enthält:
    - wenn ich für jede Übermittlung eine neues OTP ablesen und eingeben müßte würde ich IRRE !
    Mit freundlichen Grüßen
    gez. D. Cremer

    Kommentar


      #3
      AW: Authentifizierung ElsterOnline

      Warum sind eigentlich heutzutage so viele so vermessen zu glauben, dass jeder ein Smartphone hat bzw. haben müsste?

      Ich habe nicht mal ein Handy und lebe sehr gut damit bzw. ohne :-)
      Mit freundlichen Grüßen

      Beamtenschweiß
      ----------------------------------------------------------------------------------------------------------

      Kommentar


        #4
        AW: Authentifizierung ElsterOnline

        Das liegt glaube ich in der Entwicklung unserer Gesellschaft - meine Oma mit +80 hat sogar ein Smartphone und kommt damit ziemlich gut zurecht..

        Kommentar

        Lädt...
        X