Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » Allgemeines (OffTopic) » Online-Banking Tan-Verfahren

Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
23.01.2020, 21:35 Uhr
SciFi2017



Hallo,
seit kurzem habe ich einen Online-Banking Zugang mittels Chip-Tan-Verfahren, welchen ich mittels einer Live-CD (Knoppix in der aktuellen Version) benutze, die Festplatten nehme ich währenddessen dann raus.

Hier würde ich gerne wissen, ob man damit relativ sicher fährt bzw. ob man noch was optimieren kann?
(Hatte mich im Vorfeld im I-net informiert.)

Jetzt, wo ich das Onlinebanking benutze, stelle ich mir allerdings die Frage, wofür ist eigentlich der Chip-Tan-Generator gut?

Antwort dürfte sein: "...naja, um einen zusätzlichen Code für die Transaktion zu generieren, der nicht ohne weiteres auslesbar ist. (z.B. bei einem externen Generator)."

Ok, das wäre ein Argument, aber ohne Kenntnis der Pin macht ja die Kenntnis der Tan-Nr. wenig Sinn.

Wenn man aber die Pin kennt, kann man dann nicht auch einen beliebigen Tan-Generator benutzen?

Dieser Post wurde am 23.01.2020 um 21:37 Uhr von SciFi2017 editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
25.01.2020, 23:30 Uhr
ao

(Operator)


"wofür ist eigentlich der Chip-Tan-Generator gut?"

Der bekommt zweierlei Daten, 1. von der Bank die Daten der Transaktion und 2. die Daten aus deiner EC-Karte. Daraus berechnet er die TAN.

Die Bank hat dieselben Daten vorliegen (die EC-Karten-Daten hat sie, weil sie die Karte ausgegeben hat) und kann mit derselben Formel dieselbe TAN berechnen. Wenn also die TAN, die du eingibst, mit der erwarteten übereinstimmt, dann deshalb, weil du im Besitz der richtigen Karte bist, und das (zusammen mit der Kenntnis des Passworts für das Onlinebanking) reicht der Bank, um anzunehmen, dass du der Richtige bist.

"kann man dann nicht auch einen beliebigen Tan-Generator benutzen?"

Zumindest einen beliebigen von dieser Bank. Ob auch Generatoren anderer Banken funktionieren, kann ich nicht sagen. Spielt aber keine Rolle, der Generator ist nicht entscheidend. Entscheidend ist, das Zugangspasswort zu kennen und die Karte zu besitzen.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
26.01.2020, 13:55 Uhr
FloSoft
Medialer Over-Flow
(Administrator)



Zitat von ao:
"Zumindest einen beliebigen von dieser Bank. Ob auch Generatoren anderer Banken funktionieren, kann ich nicht sagen. Spielt aber keine Rolle, der Generator ist nicht entscheidend. Entscheidend ist, das Zugangspasswort zu kennen und die Karte zu besitzen.


das stimmt nur bedingt: Man muss ja, um das Chip-Tan Verfahren zu aktivieren, den TAN-Generator in irgendeiner weise erstmal bei der Bank aktivieren (quasi TAN-Generator+Kartendaten mit der Bank synchronizieren).

d.h du musst immer den selben TAN-Generator benutzen. Meist kann man jedoch den gleichen TAN-Generator mit mehreren Karten z.B. für verschiedene Banken nutzen - außer die Bank hat einen speziellen TAN-Generator (was es leider durchaus gibt ...)

Dadurch ergibt sich folgendes:

- PIN ermöglicht Zugang zum Bankkonto
- TAN-Generator + EC-Karte + Überweisungsdaten ermöglicht Legimitation der Überweisung.

Dadurch ist das Verfahren extrem sicher. Vor allem, da die TANs nicht "einfach so" berechnet werden, sondern in die TAN-Berechnung verschiedene Werte u.A. Ziel-Kontonr, Überweisungstext, Datum, usw mit einfließen und die TAN-Generatoren diese ja auch dem Benutzer nochmal zur Kontrolle physikalisch getrennt (quasi "unmanipulierbar") einblenden.

Die meisten Banken gehen ja inzwischen auf eine Legimitations-App - diese sind im Vergleich eigentlich extrem anfällig und unsicher. (Theoretisch sogar unsicherer als der "einfache" iTan-Block) Für die Banken das "Schöne" an den Apps ist ja, das sie so die Haftung an den Nutzer abwälzen können, es aber als "tolles" Feature an den Kunden verkaufen.
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ Allgemeines (OffTopic) ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: