[go: up one dir, main page]

DE102008056605A1 - Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server - Google Patents

Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server Download PDF

Info

Publication number
DE102008056605A1
DE102008056605A1 DE200810056605 DE102008056605A DE102008056605A1 DE 102008056605 A1 DE102008056605 A1 DE 102008056605A1 DE 200810056605 DE200810056605 DE 200810056605 DE 102008056605 A DE102008056605 A DE 102008056605A DE 102008056605 A1 DE102008056605 A1 DE 102008056605A1
Authority
DE
Germany
Prior art keywords
server
line
client
transaction
code word
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200810056605
Other languages
German (de)
Inventor
Bernd Borchert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE200810056605 priority Critical patent/DE102008056605A1/en
Publication of DE102008056605A1 publication Critical patent/DE102008056605A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3274Short range or proximity payments by means of M-devices using a pictured code, e.g. barcode or QR-code, being displayed on the M-device
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

The method involves representing a to-be-transmitted character string on a display of a client, in a formatted manner. A preset code word is input along with characters that are located at ends of lines of an applied line permutation, by activation of a push-button provided at other ends of the lines. Positions or names of the activated push-button are transmitted to a server. The code word is reconstructed by the server, and a transaction is received and executed by the server using an incorrect code word. The execution of the transaction is declined by the server. The permutation is printed on a foil made of plastic, paper or parchmenty material. An independent claim is also included for a computer program product for performing a method for manipulation-secure transmission of a character string from a client to a server via a computer network.

Description

Die vorliegende Erfindung betrifft ein Verfahren zur manipulationssicheren Verschlüsselung für Online-Accounts, insbesondere für Online-Bankkonten.The The present invention relates to a method for tamper-proof Encryption for online accounts, in particular for online bank accounts.

Die Abhör- und Manipulations-Sicherheit von Online-Accounts – insbesondere die von Online-Bankkonten – wird durch die immer größer werdende Quantität und Schädlichkeit von Malware (d. h. Viren etc.) auf den PC's der Bankkunden gefährdet. Verfahren, die das Abhören der PIN und/oder einen sogenannten Man-in-the-Middle Fälschungs-Angriff sicher verhindern, sind technisch aufwändig und benötigen spezielle Hard- und Software auf dem vom Bankkunden benutzten PC.The Listening and Tampering Security of Online Accounts - Especially that of online bank accounts - is getting bigger by the Expecting quantity and harmfulness of malware (i.e., viruses, etc.) on the PC's of bank customers. Method, the listening to the PIN and / or a so-called man-in-the-middle Safely preventing counterfeiting attacks are technically complex and require special hardware and software on the bank customer's used PC.

Der sogenannte Man-in-the-Middle Fälschungs-Angriff auf eine mit dem TAN oder iTAN Verfahren abgesicherte Überweisung verläuft folgendermaßen: Bankkunde X möchte 50 Euro auf das Konto von Y überweisen. Er füllt das entsprechende Online Formular aus und schickt es ab. Die Malware auf dem Rechner fängt diesen Überweisungsauftrag ab, bevor er an die Bank geschickt wird, wandelt ihn in eine Überweisung von 5000 Euro an Z um, und schickt diesen manipulierten Überweisungsauftrag an die Bank. Die Nachfrage der Bank an X nach einer iTAN für den Überweisungsauftrag von 5000 Euro an Z wird von der Malware in der umgekehrten Richtung ebenfalls abgefangen, und es wird dem Bankkunden X am Bildschirm die Nachfrage der Bank nach einer iTAN für einen Überweisungsauftrag von 50 Euro an Y vorgespiegelt. Ahnungslos bestätigt X mit einer TAN diesen vorgespiegelten Auftrag, und die Malware schickt die von X eingegebene iTAN an die Bank weiter, um den betrügerischen Überweisungsauftrag von 5000 Euro an Z zu bestätigen.Of the so-called man-in-the-middle counterfeit attack on one Transfer secured by the TAN or iTAN method proceeds as follows: Banker X wants Transfer 50 euros to Y's account. Fulfills the corresponding online form and send it off. The malware on the computer starts this transfer order before he is sent to the bank, converts him into a transfer from 5000 euros to Z, and sends this manipulated transfer order the bench. The demand of the bank to X for an iTAN for the transfer order of 5000 Euro to Z will be provided by the Malware in the reverse direction also intercepted, and it Bank client X is prompted by the bank's demand on the screen an iTAN for a transfer order of 50 Euro to Y reflected. Unknowingly X confirms with a TAN this pretended order, and the malware sends out the X entered iTAN to the bank to complete the fraudulent transfer order from 5000 Euro to Z to confirm.

Die Verfahren PIN/TAN, PIN/iTAN, HBCI-1, HBCI-2, und Security Token schützen nicht sicher vor dem Man-in-the-Middle Angriff. Auch die Verschlüsselung der Verbindung (z. B. SSL) schützt nicht sicher, denn die Malware kann sich schon vor Beginn der Verbindungs-Verschlüsselung einschalten und die Manipulationen noch vor der Verbindungs-Verschlüsselung (bzw. in der anderen Richtung: nach der Verbindungs-Entschlüsselung) durchführen.The PIN / TAN, PIN / iTAN, HBCI-1, HBCI-2, and Security Token procedures not safe from man-in-the-middle attack. The encryption of the connection (eg SSL) also protects not sure, because the malware can be down even before the connection encryption turn on and the manipulations even before the connection encryption (or in the other direction: after the connection decryption) carry out.

Beispiele von Verfahren, die sicher vor dem Man-in-the-Middle-Angriff schützen, sind die, die eine Anzeige außerhalb des Klienten Rechners anbringen, wie z. B. HBCI-3. Allerdings besteht wegen der physikalisch bestehenden Kabelverbindung zwischen dieser Extra-Hardware und dem Rechner des Klienten immer noch ein Restrisiko, dass Malware auf dem Rechner des Klienten die Aktionen auf der Extra-Hardware ausspioniert.Examples Procedures that Safely Protect Against Man-in-the-Middle Attack are those who have an ad outside of the client computer attach, such. B. HBCI-3. However, because of the physical existing cable connection between this extra hardware and the Calculator of the client still has a residual risk that malware on the computer of the client spied on the actions on the extra hardware.

Eine weitere Möglichkeit ist es, sich die Überweisungsdaten per SMS von der Bank bestätigen zu lassen („mTANs”). Nachteilig an dieser Lösung ist, dass ein Handy vorhanden sein muss und dass der Empfang der SMS eventuell eine Weile dauert. In Funklöchern und im Ausland funktioniert das System nicht. Außerdem ist es nur eine Frage der Zeit, bis auch Handys von Malware befallen werden und damit diese Möglichkeit auch unsicher wird.A Another option is to look at the transfer details to be confirmed by the bank by SMS ("mTANs"). The disadvantage of this solution is that a cell phone is present must be and that the receipt of the SMS may take a while. In dead spots and abroad, the system does not work. Besides, it's only a matter of time until even cell phones be attacked by malware and thus this possibility also becomes uncertain.

Die Patente EP1472584B1 , US2005/0219149A1 und DE-10-2007-018802.3 , 2007 schlagen vor, die Sicherheit von Online Accounts mittels Visueller Kryptographie zu gewährleisten.The patents EP1472584B1 . US2005 / 0219149A1 and DE-10-2007-018802.3 , 2007 propose to ensure the security of online accounts through visual cryptography.

Das Patent WO-2006-020096 und die Patentanmeldung DE-10-2007-029759.0 schlagen vor, die Sicherheit von Online Accounts mittels Cardano Kryptographie zu gewährleisten.The patent WO-2006-020096 and the patent application DE-10-2007-029759.0 Propose to ensure the security of online accounts using Cardano cryptography.

Die Patentanmeldung DE-10-2007-029759.0 schlägt vor, die Sicherheit von Online Accounts mittels eines elektronischen Geräts mit Fotosensoren und Display zu gewährleisten.The patent application DE-10-2007-029759.0 Proposes to ensure the security of online accounts by means of an electronic device with photo sensors and display.

Die Aufgabe der vorliegenden Erfindung ist es, ein sicheres Verschlüsselungsverfahren für Online-Accounts bereit zu stellen, das das Übermitteln einer nicht manipulierbaren Nachricht, z. B. die Zielkontonummer einer Überweisung, vom Klienten an den Server erlaubt.The The object of the present invention is to provide a secure encryption method to provide for online accounts that submit an unmanipulable message, e.g. B. the destination account number a transfer, allowed by the client to the server.

Das Patent WO02/17556A1 schlägt vor, mithilfe von ausgedruckten Linien-Permutationen die Authentifizierung zu Online Accounts sicherer zu machen, in dem Sinne, dass man, um Zugang zum Account zu erhalten, die ausgedruckte Linien-Permutation haben muss und das Passwort kennen muss, wobei das Passwort nicht abhoerbar ist. Es wird mit dem in dem Patent beschriebenen Verfahren nur die Authentifizierung abgesichert, aber es wird kein Schutz vor Fälschung von Transaktionen -wie zum Beispiel Überweisungen – geboten.The patent WO02 / 17556A1 suggests making authentication to online accounts more secure using printed line permutations, in the sense that in order to gain access to the account, you must have the printed line permutation and know the password, but the password is not audible is. Only authentication is secured by the method described in the patent, but no protection against counterfeiting of transactions, such as transfers, is provided.

Die vorliegende Erfindung erweitert und verbessert die Erfindung WO02/17556A1 in der Hinsicht, dass mit ihr Transaktionen auch gegen Fälschungen geschützt werden können.The present invention extends and improves the invention WO02 / 17556A1 in the sense that with it transactions can be protected against counterfeiting.

Zu diesem Zweck werden die Linien-Permutationen vom Account-Server nach dem Zufallsprinzip erzeugt. Dann werde sie nummeriert, gespeichert, gedruckt und dem Account-Benutzer auf einem möglichst sicherem Weg zugesandt.To For this purpose, the line permutations are made by the account server generated at random. Then she's numbered, saved, printed and the account user on a safe as possible Way sent.

Für eine Transaktion tippt der Account-Benutzer die Transaktionsdaten am Bildschirm ein. Zur Bestätigung der Transaktion fragt der Account-Server am Bildschirm nach einer bestimmten Linien-Permutation, z. B. unter Angabe der Nummer der Linien-Permutation. Der Benutzer befestigt oder hält die Linien-Permutation an einen angezeigten Bereich des Bildschirms.For a transaction, the account user types in the transaction data on the screen. To confirm the transaction, the account server asks for a specific line per mutation, e.g. By specifying the number of the line permutation. The user attaches or holds the line permutation to a displayed area of the screen.

Dadurch werden einige Buchstaben der eingegebenen Transaktionsdaten an ein Ende von Linien der Linien-Permutation gesetzt, sieh 2. An dem anderen Ende der Linien-Permutation befindet sich eine unbeschriftete Schaltfläche, auf die man mit der Maus klicken kann. Bemerkung zur Notation: Unter Buchstabe wird hier und im Folgenden – wie in der Informatik üblich – jede Art von unterscheidbarem Zeichen verstanden. Insbesondere sind die Ziffern 0, ..., 9 in diesem Sinne Buchstaben.This will put some letters of the entered transaction data at one end of line permutation lines, see 2 , At the other end of the line permutation is an unlabeled button that you can click with the mouse. Remark on the notation: Under letter is understood here and in the following - as usual in the computer science - every kind of distinguishable sign. In particular, the numbers 0, ..., 9 are letters in this sense.

Jetzt kann ein Code-Wort eingegeben werden: wenn alle Buchstaben des Codeworts an einem Ende mindestens einer Linie stehen, kann das Codewort durch sukzessives Anklicken der Schaltflächen, die am Ende einer Linie stehen, an deren anderen Ende der entsprechende Buchstabe steht.Now a code word can be entered: if all letters of the code word At one end of at least one line, the codeword can by successively clicking the buttons at the end of a Line, at the other end of the corresponding letter stands.

Wenn nicht alle Buchstaben, die potentiell in einem Codewort vorkommen können, in der Transaktion vorkommen oder nicht an einem Ende einer Linie stehen, kann vom Server ein Reservoir mit den restlichen Buchstaben auf den Bildschirm geschrieben werden, so dass diese restlichen Buchstaben am Ende einer Linie der Linien-Permutation stehen. So kann jedes Codewort eingegeben werden.If not all letters that potentially occur in a codeword can occur in the transaction or not at one End of a line, the server can be a reservoir with the rest Letters be written on the screen so that these remaining letters at the end of a line of line permutation stand. So every codeword can be entered.

Anstatt auf Papier können die Linien auch auf mehr oder weniger durchsichtigen Folien oder auf Pergament ausgedruckt werden. In dem Fall gäbe es mehr Freiheit, die relevanten Buchstaben auf dem Bildschirm anzuordnen: die müssten nicht mehr in Reihe stehe wie bei dem geknickten Papier. Alleridngs sind Folien teurer und umweltschädlicher.Instead of on paper, the lines can also be more or less transparent films or printed on parchment. In In the case there would be more freedom, the relevant letters to arrange on the screen: they would not have to be in series anymore stand as with the kinked paper. However, slides are more expensive and more environmentally harmful.

Die Linien einer Linien-Permutation sollten farbig ausgedruckt werden, um sie besser unterscheiden zu können. Weitere graphische Tricks sind möglich, um die Linien für das menschliche Auge besser unterscheidbar zu machen.The Lines of a line permutation should be printed in color, to differentiate them better. Further graphic Tricks are possible to make the lines for the human Make the eye more distinguishable.

Das Verfahren verhindert das Fälschen der Transaktion durch einen Trojaner, denn wenn der Trojaner andere, d. h. gefälschte, Transaktionsdaten zum Account-Server schickt, dann gibt der Account-Benutzer zur Bestätigung ein Codewort ein, das mit höchster Wahrscheinlichkeit ein anderes ist als der Account-Server erwartet: deshalb wird dann die gefälschte Transaktion als nicht bestätigt angesehen und nicht ausgeführt.The Procedure prevents the counterfeiting of the transaction by a Trojan, because if the Trojan other, d. H. fake, Transactional data to the account server sends, then gives the account user For confirmation, a codeword with the highest Probability is different than the account server expects: Therefore, then the fake transaction is not confirmed viewed and not executed.

Weil die Malware (auf dem Rechner des Bankkunden oder im Rechnernetz) die zufällig erzeugten Linienverbindungen nicht kennt und definitiv auch nicht ausspionieren kann, und gleichzeitig die Buchstaben, die die Transaktion beschreiben, auch zur Bestätigung herangezogen werden, stellt das Verfahren einen effektiven Schutz gegen Fälschung dar.Because the malware (on the client's computer or in the computer network) the randomly generated line connections does not know and definitely can not spy, and at the same time the letters, which describe the transaction, also used for confirmation the procedure provides effective protection against counterfeiting.

In den Zeichnungen zeigen:In show the drawings:

1: Computerbildschirm mit Transaktionsdaten und eine Karte mit einer Linien-Permutation und Codewort. 1 : Computer screen with transaction data and a card with a line permutation and codeword.

2: Computerbildschirm mit Transaktionsdaten, auf die die Karte mit der Linien-Permutation gelegt ist. 2 : Computer screen with transaction data on which the card with the line permutation is placed.

3: Computerbildschirm mit Transaktionsdaten und eine Karte mit einer Linien-Permutation. Das Codewort ist die PIN des Account-Benutzers. 3 : Computer screen with transaction data and a map with a line permutation. The codeword is the PIN of the account user.

4: Computerbildschirm mit Transaktionsdaten, auf die die Karte mit der Linien-Permutation gelegt ist. Die PIN kann jetzt durch Mausklicks auf die entsprechenden unbeschrifteten Schaltflächen eingegeben werden. 4 : Computer screen with transaction data on which the card with the line permutation is placed. The PIN can now be entered by mouse clicks on the corresponding unlabeled buttons.

5: Computerbildschirm mit Transaktionsdaten und eine Karte mit einer Linien-Permutation. Die Schaltflächen sind nicht mehr eindeutig nur einer Linie zugeordnet. Der Sicherheit des Verfahrens schadet das kaum. (allerdings ist der Name „Permutation” für die Linien-Ansammlung jetzt nicht mehr gerechtfertigt. Es bleibt trotzdem bei dem Namen „Linien-Permutation”) 5 : Computer screen with transaction data and a map with a line permutation. The buttons are no longer uniquely assigned to only one line. The security of the process hardly harms. (However, the name "permutation" for the line aggregation is no longer justified, it still remains with the name "line permutation")

6: Computerbildschirm mit Transaktionsdaten, auf die eine Karte mit einer Linien-Permutation gelegt ist, bei der Schaltflächen und Buchstaben nicht mehr 1-1 zugeordnet sind, gelegt ist. Jetzt kann die PIN durch Mausklicks eingegeben werden. 6 : Computer screen with transaction data placed on a card with a line permutation with buttons and letters no longer assigned 1-1. Now the PIN can be entered by mouse clicks.

Ausführungsbeispielembodiment

Das oben angegebene Verfahren zur Sicherung einer Nachricht gegen Fälschung wird angewandt auf den speziellen Fall des Online-Bankings. Das Verfahren verhindert den Man-in-the-Middle Fälschungs-Angriff auf die Daten einer Geld-Überweisung.The above procedure for securing a message against counterfeiting is applied to the special case of online banking. The Procedure prevents man-in-the-middle counterfeiting attack on the data of a money transfer.

Der Bank-Server erzeugt für den Bankkunden X eine Menge von Linien-Permutationen, nummeriert sie, speichert sie ab, druckt sie aus und schickt sie dem Bankkunden per Post zu (also so ähnlich wie TAN-Listen verschickt werden).Of the Bank server generates for the bank customer X a lot of Line permutations, number them, save them, print them and send them to the bank customer by mail (so similar how TAN lists are sent).

Wenn der Kunde X die Linienpermutationen empfangen hat, kann er mit dem Online Banking beginnen. Der Kunde loggt sich ein (wie üblich mit einer PIN) und geht auf ein Überweisungsformular. Er trägt in das Formular die Überweisungsdaten ein und schickt das Formular zum Bank-Server. Der Bank-Server schickt zur Bestätigung die Überweisungsdaten auf den Bildschirm des Kunden. Dabei hat die Kontonummer eine besondere Bedeutung. Alle Ziffern, die nicht in ihr vorkommen, werden extra an einer anderen Stelle auf dem Bildschirm angezeigt. Außerdem werden unbeschriftete Schaltflächen für die Mausklicks angezeigt. Die Situation ist in 1 dargestellt.If the customer X has received the line permutations, he can start with online banking. The customer logs in (as usual with a PIN) and goes to a transfer form. He enters the transfer data in the form and sends the form to the bank server. The bank server sends the transfer data to the screen of the customer for confirmation. The account number has a special meaning here. Any digits that are not in it are shown separately on the screen. In addition, unlabeled buttons for mouse clicks are displayed. The situation is in 1 shown.

In unserem speziellen Fall sind die Kontonummer, die Schaltflächen und das Reservoir der in der Kontonummer nicht vorkommenden Ziffern in einer Reihe angebracht. Die auf Papier ausgedruckte Linien-Permutationen kann man – ggfs. nach durch Knicken an vorgeknickten Falzen, an diese Zeile am Bildschirm mit den relevanten Ziffern und den Schaltflächen halten. Nach einer möglichen Größen-Adjustierung der Darstellung am Bildschirm liegen die Linien und Ziffern so aneinander, dass von jeder Ziffer der Kontonummer optisch eine Linie zu einer Schaltfläche führt, ebenso wie von allen Ziffern des Reservoirs mit den nicht in der Kontonummer vorkommenden Ziffern. Die Situation ist in 2 dargestellt.In our particular case, the account number, buttons and reservoir of the numbers not found in the account number are arranged in a row. The line permutations printed out on paper can be held on this screen on the screen with the relevant numbers and the buttons - if necessary after bending on pre-bent folds. After a possible size adjustment of the display on the screen, the lines and numbers are so that from each digit of the account number visually a line leads to a button, as well as from all the digits of the reservoir with the numbers not occurring in the account number. The situation is in 2 shown.

Jetzt kann der Kunde ein Codewort, das in dem Fall aus Ziffern besteht, eingeben: er klickt hinteinander die Schaltflächen an, die am Ende einer Linie der Strich-Permutation stehen, an deren anderem Ende die jeweilige einzugebende Ziffer des Codeworts steht.Now the customer can generate a codeword, which in this case consists of numbers, enter: he clicks on the buttons, which are at the end of a line of stroke permutation, at whose At the other end the respective digit of the code word is entered.

Wenn ein Buchstabe in der Kontonummer mehrfach vorkommt, ist der Bankkunde frei, einen davon zu wählen und eine beliegige der entsprechenden Schaltflächen anzuklicken. Der Sicherheit des Verfahrens schadet das nicht.If a letter in the account number occurs several times, is the bank customer free to choose one of them and one of the corresponding ones Click buttons. The safety of the procedure that does not hurt.

Das Verfahren sichert die Überweisung gegen Fälschung ab: wenn der Trojaner andere Transaktionsdaten zum Bank-Server schickt als auf dem Bildschirm dargestellt werden, wird mit hoher Wahrscheinlichkeit durch die Mausklicks des Bankkunden ein Codewort eingegeben, das der Bank-Server als falsch ansehen wird. Das passiert mit einer gewissen Wahrscheinlichkeit auch schon dann, wenn auch nur eine Ziffer vom Trojaner verändert wird.The Procedure secures the transfer against counterfeiting from: when the Trojan sends other transaction data to the bank server as displayed on the screen, is highly likely by the mouse clicks of the bank customer entered a codeword that the bank server will consider it wrong. That happens with one Probably even then, if only one Digit is changed by the Trojan.

In 3 und 4 ist die Situation dargestellt, bei der das Codewort nicht auf dem Papier steht und jedesmal wechselt, sondern bei der eine feste PIN das Codewort ist. Das kann eine zweite, von der PIN zum Einloggen unabhängige PIN sein (Achtung: wenn es die gleiche PIN wie die zum Einloggen ist, dann besteht eine gewisse Gefahr, dass der Trojaner beim Einloggen durch einen Abhör-Angriff die PIN herausfindet und dann mit der Kenntnis der PIN das Linien-Permutations-Verfahren aushebelt).In 3 and 4 shows the situation in which the codeword is not on the paper and changes every time, but in which a fixed PIN is the codeword. This can be a second, independent of the PIN for logging PIN (Attention: if it is the same PIN as the one for logging, then there is a certain risk that the Trojan will find out the PIN when logging in by a wiretapping attack and then with the Knowing the PIN overrides the line permutation procedure).

In 5 und 6 ist die Situation dargestellt, dass eine Schaltfläche über mehrere – in dem Fall genau zwei – Linien mit mehreren Ziffern verbunden ist. So kann man Schaltflächen und Platz sparen. Die Sicherheit ist hier immer noch gewährleistet.In 5 and 6 the situation is illustrated that a button is connected over several - in this case exactly two - lines with several numbers. So you can save buttons and space. The security is still guaranteed here.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list The documents listed by the applicant have been automated generated and is solely for better information recorded by the reader. The list is not part of the German Patent or utility model application. The DPMA takes over no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • - EP 1472584 B1 [0007] EP 1472584 B1 [0007]
  • - US 2005/0219149 A1 [0007] US 2005/0219149 A1 [0007]
  • - DE 10-2007-018802 [0007] - DE 10-2007-018802 [0007]
  • - WO 2006-020096 [0008] - WO 2006-020096 [0008]
  • - DE 10-2007-029759 [0008, 0009] - DE 10-2007-029759 [0008, 0009]
  • - WO 02/17556 A1 [0011, 0012] WO 02/17556 A1 [0011, 0012]

Claims (10)

Verfahren zur manipulations-sicheren Übertragung einer Zeichenreihe von einem Klienten durch ein Rechnernetz zu einem Server, gekennzeichnet durch die folgenden Schritte: a) das Erzeugen, Nummerieren, und Speichern von graphischen Ansammlungen von zufällig verlaufenden Verbindungs-Linien – von nun an Linien-Permutationen genannt – durch den Server, b) das Verschicken der Linien-Permutationen durch den Server an den Klienten, c) die Eingabe der zu übertragenden Zeichenreihe durch den Klienten am Rechner des Klienten, d) die formatierte Darstellung der zu übertragenden Zeichereihe am Bildschirm des Klienten, so dass nach dem Auflegen einer Linien-Permutation auf dem Bildschirm einige Buchstaben der zu übertragenden Zeichenreihe und gegebenenfalls noch weitere Buchstaben am Ende der Linien der Linien-Permutation stehen und die Linien jeweils am anderen Ende mit Schaltflächen verbunden sind, e) die Eingabe eines vorgegebenen Codeworts, das aus Buchstaben besteht, die alle an Enden von Linien der aufgelegten Linien-Permutation stehen, durch Aktivierung einer Schaltfläche, die am anderen Ende der Linien steht, an deren einem Ende der jeweilige Buchstabe des Codeworts stehen. f) Die Übermittlung der Positionen oder Namen der aktivierten Schaltflächen an den Server, g) die Rekonstruktion des vom Benutzers eingegebenen Codeworts durch den Server, h) die Annahme und ggfs. Ausführung der Transaktion durch den Server bei korrektem Codewort, i) die Ablehnung der Ausführung der Transaktion durch den Server bei inkorrektem Codewort.Method for tamper-proof transmission a string of characters from a client through a computer network to one Server, characterized by the following steps: a) the Create, number and save graphic collections of random connection lines - from now called line permutations - through the server, b) sending the line permutations through the server to the server clients, c) the input of the character series to be transmitted by the client on the computer of the client, d) the formatted representation the set of characters to be transferred on the screen of the client, so after hanging up a line permutation on the screen some letters of the string of characters to be transmitted and possibly further letters at the end of the lines of the line permutation stand and the lines each at the other end with buttons are connected, e) the input of a predetermined code word, which consists of letters, all at ends of lines of the laid up Line permutation, by activating a button, which is at the other end of the lines, at one end of each letter of the codeword. f) The transmission of positions or name of the activated buttons to the server, G) the reconstruction of the code word entered by the user the server, h) the acceptance and, if necessary, execution of the Transaction by the server with correct codeword, i) the Rejection of the transaction execution by the server with incorrect codeword. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Linien-Permutationen auf Folie aus Kunststoff oder Papier oder pergamentartigem Material ausgedruckt sind.Method according to one of the preceding claims, characterized in that the line permutations on foil made of plastic or paper or parchmentartigem material are printed. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Linien-Permutationen auf vorgefalztem Papier oder vorgefalztem, pergamentartigem Material ausgedruckt sind.Method according to one of the preceding claims, characterized characterized in that the line permutations on pre-folded paper or gefälztem, parchment-like material are printed. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Linien-Permutationen auf Folie aus Kunststoff oder Papier oder pergamentartigem Material in schwarzer Farbe oder in mehreren verschiedenen Farben ausgedruckt ist.Method according to one of the preceding claims, characterized characterized in that the line permutations on plastic film or paper or parchment material in black color or is printed in several different colors. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Zeichen der zu übertragenden Zeichenfolge Ziffern, Buchstaben und/oder Sonderzeichen sind.Method according to one of the preceding claims, characterized characterized in that the characters of the string to be transmitted Numbers, letters and / or special characters are. Papier oder pergamentartiges Material oder Folie zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass sie Linien-Permutationen darstellt und zum Fixieren auf dem Bildschirm mit mindestens einem Klebestreifen versehen ist.Paper or parchment-like material or foil for carrying the method according to any one of claims 1 to 5, characterized characterized in that it represents line permutations and Fix on the screen with at least one tape is. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass die Zeichenreihe selber ein Passwort, ein PIN, ein TAN o. ä. ist.Method according to one of the preceding claims, characterized characterized in that the character string itself has a password, a PIN, a TAN o. Ä. Is. Verfahren nach einem der vorgehenden Ansprüche, dadurch gekennzeichnet, dass das Codewort ein Passwort, eine PIN, eine TAN o. ä. ist.Method according to one of the preceding claims, characterized in that the codeword is a password, a PIN, a TAN o. Ä. Is. Computerprogrammprodukt zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 8, wenn das Computerprogramm auf einem Prozessor ausgeführt wird.Computer program product for carrying out the method according to one of claims 1 to 8, when the computer program running on a processor. Verwendung des Verfahrens, des Computerprogrammprodukts oder des Papiers oder der Folie gemäß einem der vorgehenden Ansprüche bei Online Accounts.Use of the method, the computer program product or of the paper or film according to any of the preceding Claims with online accounts.
DE200810056605 2008-11-10 2008-11-10 Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server Withdrawn DE102008056605A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200810056605 DE102008056605A1 (en) 2008-11-10 2008-11-10 Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200810056605 DE102008056605A1 (en) 2008-11-10 2008-11-10 Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server

Publications (1)

Publication Number Publication Date
DE102008056605A1 true DE102008056605A1 (en) 2010-05-12

Family

ID=42096465

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200810056605 Withdrawn DE102008056605A1 (en) 2008-11-10 2008-11-10 Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server

Country Status (1)

Country Link
DE (1) DE102008056605A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9552465B2 (en) 2012-07-20 2017-01-24 Licentia Group Limited Authentication method and system
US10592653B2 (en) 2015-05-27 2020-03-17 Licentia Group Limited Encoding methods and systems
US12393661B2 (en) 2019-11-12 2025-08-19 Licentia Group Limited Systems and methods for secure data input and authentication

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002017556A1 (en) 2000-08-22 2002-02-28 Cmx Technologies Pty Ltd Validation of transactions
US20050219149A1 (en) 2002-04-08 2005-10-06 Tuyls Pim T Device for reconstructing a graphical message
EP1472584B1 (en) 2002-01-17 2005-11-30 Koninklijke Philips Electronics N.V. Secure data input dialogue using visual cryptography
WO2006020096A2 (en) 2004-07-20 2006-02-23 Scribocel, Inc. Method, system and device for authentication and identification for computerized and networked systems
DE102007018802B3 (en) 2007-04-20 2008-08-28 Universität Tübingen Method for tap-proof transmission of character string from client to server through computer network, involves producing shadow image on screen through server according to visual cryptography process

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002017556A1 (en) 2000-08-22 2002-02-28 Cmx Technologies Pty Ltd Validation of transactions
EP1472584B1 (en) 2002-01-17 2005-11-30 Koninklijke Philips Electronics N.V. Secure data input dialogue using visual cryptography
US20050219149A1 (en) 2002-04-08 2005-10-06 Tuyls Pim T Device for reconstructing a graphical message
WO2006020096A2 (en) 2004-07-20 2006-02-23 Scribocel, Inc. Method, system and device for authentication and identification for computerized and networked systems
DE102007018802B3 (en) 2007-04-20 2008-08-28 Universität Tübingen Method for tap-proof transmission of character string from client to server through computer network, involves producing shadow image on screen through server according to visual cryptography process

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9552465B2 (en) 2012-07-20 2017-01-24 Licentia Group Limited Authentication method and system
US10366215B2 (en) 2012-07-20 2019-07-30 Licentia Group Limited Authentication method and system
US10565359B2 (en) 2012-07-20 2020-02-18 Licentia Group Limited Authentication method and system
US11048783B2 (en) 2012-07-20 2021-06-29 Licentia Group Limited Authentication method and system
US11048784B2 (en) 2012-07-20 2021-06-29 Licentia Group Limited Authentication method and system
US11194892B2 (en) 2012-07-20 2021-12-07 Licentia Group Limited Authentication method and system
US10592653B2 (en) 2015-05-27 2020-03-17 Licentia Group Limited Encoding methods and systems
US10740449B2 (en) 2015-05-27 2020-08-11 Licentia Group Limited Authentication methods and systems
US11036845B2 (en) 2015-05-27 2021-06-15 Licentia Group Limited Authentication methods and systems
US11048790B2 (en) 2015-05-27 2021-06-29 Licentia Group Limited Authentication methods and systems
US12393661B2 (en) 2019-11-12 2025-08-19 Licentia Group Limited Systems and methods for secure data input and authentication

Similar Documents

Publication Publication Date Title
DE102007018802B3 (en) Method for tap-proof transmission of character string from client to server through computer network, involves producing shadow image on screen through server according to visual cryptography process
DE102007052734B4 (en) Device and method for tapping and tamper-proof encryption for online accounts
EP0976113B1 (en) Process for generating a credit by means of a prepaid voucher
DE212011100113U1 (en) Safety improvements for flexible substrates
DE202009014804U1 (en) Cashier device with money counting and counterfeit money detection function
DE102007043843A1 (en) Character string tap-proof transmitting method for e.g. on-line bank account, involves providing information with image to position client, and inputting reconstruction of character string by client using server
DE102008056605A1 (en) Method for manipulation-secure transmission of e.g. password, from client to server via computer network, for online-banking, involves reconstructing code word, and declining execution of transaction by server
DE102007045981A1 (en) Online banking system and online banking method for data-secure electronic communication
EP2930699A1 (en) Security element with a marking and a code section
EP0772164B1 (en) Apparatus and method for protected data transfer
DE102014007360A1 (en) System and procedure for the secure handling of online banking matters
DE102006053362A1 (en) Security document with scratch-off security layer, as well as transfer foil
EP3284611A1 (en) Document for communicating confidential information with access protection
DE102008023627A1 (en) Electronic data e.g. user name, transmission method for on-line banking, involves obtaining symbols of code from symbol matrix, such that indices are changed in matrix, and associating data communication of one mechanism to other mechanism
EP2774074B1 (en) Document, process for authenticating a user, more particularly for releasing a smart-card function, and computer system
DE60001422T2 (en) LABELING PROCEDURE FOR SECURITY DOCUMENTS
DE202013100910U1 (en) CAPTCHA for distinguishing computers and people in the interaction of computers
DE10347990A1 (en) Method for processing a cashless payment transaction
DE112019005365T5 (en) Security feature and method of making same
EP3553726B1 (en) Method for tamper-proof storing of transaction data in a system with electronic cash registers and system
DE102013220338B4 (en) Security envelope for financial transaction devices
CN203305696U (en) False-proof invoice
DE102021005599A1 (en) Virtual Transaction Card
DE102017131061A1 (en) value unit
WO2022034207A1 (en) Method for anonymously providing digital receipts

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110601

Effective date: 20110531