Mit müden Augen hat geschrieben: ↑03 Jan 2019 13:25
uhu2163 hat geschrieben: ↑03 Jan 2019 12:29Wer nutzt denn heute noch Papier TAN?
Ich bei einer großen einheimischen Bank.
Seit über fünf Jahren nutze ich bereits einen solchen TAN-Generator, deshalb war ich eigentlich davon ausgegangen, ohne das genauer zu recherchieren, dass alle Geldinstitute in D entsprechend umgestellt haben. Dass die dicksten Fische in dieser Branche mit den größten Gewinnen bei diesem Thema offensichtlich am trägsten sind, hätte ich jetzt so nicht erwartet.
Mit müden Augen hat geschrieben: ↑03 Jan 2019 13:25
Das war unsicher wie nur sonst was und wurde deshalb abgeschafft.
Wieso ist das eigentlich unsicher? Weil die Leute sich per Phishing die ganze Tabelle entlocken lassen?
Nun ich bin nur Laie aber versuche es mal für alle Interessierten zu erklären.
Bei der Papier-TAN bzw. der iTAN (indizierter TAN, beliebige TAN von der Liste nach Vorgabe, nicht nach Reihenfolge) ist das Problem, dass die TANs im Voraus berechnet sind. Deshalb können keine aktuellen Daten der jeweiligen Transaktion in die Identifizierung mit einfließen. Klinkt sich ein Angreifer in die Aktion ein und verändert z.B. Kontonummer und/oder Betrag bekommt das Opfer das nicht mit bzw. hat während der Aktion keine Kontrollmöglichkeit. Auf der anderen Seite das Geldinstitut ebenso wenig.
Beim Verfahren mit dem TAN-Generator können Daten der konkreten Transaktion mit in die Authentifizierung einfließen.
Für den Anwender sieht das dann praktisch so aus, einmalig bei Inbetriebnahme werden TAN-Genrator, Konto und Bankkarte auf einander synchronisiert. Bei einer Überweisung z.B. bekommt man auf dem TAN-Genrator Betrag und Kontonummer angezeigt. (Die Übermittlung läuft mittels abgescannten Blinkcode.) Beides muss erst am Genrator bestätigt werden, erst dann wird die TAN erzeugt. Diese gibt man dann wieder händisch ein, wie man das gewohnt ist. Sollte sich also an dieser Stelle ein Angreifer eingeklinkt haben, sollte dem aufmerksamen Nutzer der geänderte Betrag und vor allem Kontonummer auffallen. Auf der anderen Seite autorisiert diese TAN nur eine Überweisung für diesen Betrag und diese Kontonummer (und vermutlich auch nur für ein begrenztes Zeitfenster). Sollte sich der Angreifer also an der Stelle einklinken, merkt das die Bank bzw. Autorisierung schlägt fehl.
Alle Angaben ohne Gewehr!
Es gibt für jeden Topf einen passenden Deckel. Aber es gibt nicht genug passende Deckel für alle Töpfe!