Rant: Security tokens Allheilmittel?

Seu­ri­ty­fo­cus hat heute einen Ar­ti­kel mit einem Plä­doy­er für "Two-fac­tor ban­king" ver­öf­fent­licht:
If you've ever che­cked your bank ac­count from a pu­blic ter­mi­nal at an In­ter­net cafe like I have, you im­me­dia­te­ly rea­li­ze two things: one, it's an in­credi­b­ly dumb thing to do, and two, ha­ving a token as a pass­word that chan­ges every mi­nu­te would dra­ma­ti­cal­ly lower the over­all risk - re­gard­less of how 0wn3d the ma­chi­ne re­al­ly is.
Un­glück­li­cher­wei­se hel­fen sol­che Se­cu­ri­ty To­kens nach­e­zu über­haupt nicht.

Die Ver­wen­dung zeit­ab­hän­gi­ger TANs zwingt den An­grei­fer le­dig­lich, die ma­ni­pu­lier­te Trans­ak­ti­on zeit­nah durch­zu­füh­ren - näm­lich in­ner­halb der Gül­tig­keits­dau­er der TAN. Im Falle von Phis­hing ist dies au­to­ma­ti­siert pro­blem­los mög­lich. Ein ge­ne­ri­scher Key­log­ger ist zwar damit nutz­los, aber ein tro­ja­ni­sches Pferd, das spe­zi­ell für die­sen Zweck ge­schrie­ben wurde, hat immer noch die Mög­lich­keit, die Daten im Brow­ser zu ma­ni­pu­lie­ren.
Die­sen ge­rin­gen Si­cher­heits­vor­teil kann man ge­nau­so­gut (und deut­lich bil­li­ger) mit "in­de­xed TANs" (iTAN) er­rei­chen, wie es ei­ni­ge Ban­ken in­zwi­schen ver­wen­den. iTANs zwin­gen den An­grei­fer eben­falls dazu, An­grif­fe zeit­nah statt off­line durch­zu­füh­ren.

Se­cu­ri­ty To­kens sind hier nur un­nö­tig teuer, brin­gen keine zu­sätz­li­che Si­cher­heit - und wie­gen den Nut­zer in einem trü­ge­ri­schen Ge­fühl, der sich dank des wich­tig aus­se­hen­den Ge­räts nun in si­cher wähnt.

Die ein­zi­ge Mög­lich­keit, solch ex­ter­ne Hard­ware sinn­voll ein­zu­set­zen, wäre zur Au­then­ti­sie­rung der ein­ge­ge­be­nen Trans­ak­ti­ons­da­ten: Der Nut­zer müßte (zu­sätz­lich zur Ein­ga­be­mas­ke am Brow­ser) Kon­to­num­mer, BLZ, Be­trag und eine "To­ken-PIN" über eine "Ta­schen­rech­ner-Tas­ta­tur" am Se­cu­ri­ty-To­ken ein­ge­ben, das für diese Ein­ga­be eine Si­gna­tur be­rech­net. Diese müßte dann zur Au­then­ti­sie­rung der Trans­ak­ti­on im Brow­ser ein­ge­ge­ben wer­den. Durch die Kop­pe­lung der Über­wei­sungs­da­ten wäre eine nach­träg­li­che Ma­ni­pu­la­ti­on nicht mehr mög­lich. Die ge­hei­me In­for­ma­ti­on (die "To­ken-PIN"), die zum Be­rech­nen der Si­gna­tur nötig ist, wird so zu kei­nem Zeit­punkt in ein un­si­che­res Sys­tem ein­ge­ge­ben.