Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

iTAN, mTAN, mobileTAN, eTAN, sm@rt TAN plus

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 10:27 Uhr  ·  #1
Hallo zusammen,
ich denke es wäre eine gute Idee mal an einer Stelle den derzeitigen Stand aller aktiver 2-Schritt-TAN-Verfahren aufzulisten.
Bitte fehlende oder falsche Daten einfach hier posten und ich aktualisiere diese dann.
Institute ohne FinTS/HBCI-PinTan oder 2-Schritt-Verfahren werden hier nicht aufgeführt.

Comdirect
(Einfaches TAN-Verfahren ist noch aktiv -> Umstellung auf iTAN entscheidet Kunde selbst)
Name: iTAN (900)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1 sowie HKTAN-2, HITAN-2, HITANS-2
Challenge: ?

HypoVereinsbank
(Einfaches TAN-Verfahren ist noch aktiv)
Name: iTAN (900)
Prozessvariante: 1 (RIPEMD160)
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
HBCI-Version 3.0: HKTAN-1, HITAN-1, HITANS-1
Challenge: "Bitte verwenden Sie zur Freigabe des Auftrages die 000. TAN." (Indexnummer ist mit führenden Nullen)

ING-DiBa
Name: iTAN (?)
Prozessvariante: ?
HBCI-Version 2.2: ?
HBCI-Version 3.0: ?
Challenge: ?

Postbank
(Einfaches TAN-Verfahren wird nicht mehr unterstützt)
Name: iTAN (900)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "TAN Nummer 0" (Indexnummer ist ohne führende Nullen)

Name: mTAN (901 ff., je Mobilfunknummer)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "mTAN über Mobilfunknummer 017nnnnnnnnn'
SMS: "Die mTAN für Ihre Überweisung über 0,00 Euro auf das Konto 0 lautet: 123ABC"

Sparda, NetBank, PSD Banken (RZ Sparda DV)
(Einfaches TAN-Verfahren wird nicht mehr unterstützt)
Name: mobileTAN (996)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "Ihre mobileTAN lautet: 123456, fuer Empfaenger: 123456789, Uhrzeit: hh🇲🇲ss UHR."

Name: iTAN (997)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "0" (Nur die Indexnummer, ohne führende Nullen)

Sparkassen Bayern (RZ IZB Soft)
(Einfaches TAN-Verfahren ist noch aktiv -> Sparkassen-/Kundenabhängig)
Name: iTAN (900)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1 sowie HKTAN-2, HITAN-2, HITANS-2
Challenge: "000" (Nur die Indexnummer, 3-stellig mit führenden Nullen)

Sparkassen in West- und Süddeutschland (RZ Sparkassen Informatik)
(Einfaches TAN-Verfahren ist teilweise aktiv -> Kundenabhängig)
Name: iTAN (900)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "0000" (Nur die Indexnummer, 4-stellig mit führenden Nullen)

Sparkasse Bremen
Name: iTAN (900)
Prozessvariante: 1 (RIPEMD160)
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: ?

Sparkassen in Nord- und Ostdeutschland, sowie im Saarland (RZ FinanzIT)
Name: iTAN (996)
Prozessvariante: 2
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "0" (Nur die Indexnummer, ohne führende Nullen)

Volks- und Raiffeisenbanken (RZ GAD)
(Einfaches TAN-Verfahren noch aktiv -> Kundenabhängig)
Name: mobileTAN (941)
Prozessvariante: 2
HBCI-Version 3.0: HKTAN-2, HITAN-2, HITANS-2
Challenge: "Die mobileTAN zu diesem Auftrag wird als SMS an Ihre Mobil Telefonnummer gesendet, die bei Ihrer Bank registriert ist."
SMS: "Die mobileTAN für Ihren Auftrag über 0,00 Euro auf das Konto 1234567890 lautet 123456, Zeit: hh🇲🇲ss"

(Einfaches TAN-Verfahren noch aktiv -> Kundenabhängig)
Name: SmartTAN plus (922)
Prozessvariante: 2
HBCI-Version 3.0: HKTAN-2, HITAN-2, HITANS-2
Challenge: "Bitte geben Sie in den Leser ein: Code: XXXXX, Data: YYYYYY" + Anleitung wie die Daten für Data auftragsspezifisch ermittelt werden sollen.


Agenda:
? = nicht bekannt
Name: Verfahrensname (Sicherheitsfunktion, codiert)
Prozessvariante/PV = 1 (TAN-Prozess=1) oder 2 (TAN-Prozess=2,3,4)
Challenge = Text zur Belegung des Rückgabewertes im Zwei-Schritt-Verfahren (s. Verfahrensparamter Zwei-Schritt-Verfahren)
HBCI-Version: HKTAN, HITAN- und HITANS-Segmentversion
SMS: Beispieltext der Kurznachricht per SMS


btw: Vielen Dank an die Firma Subsembly und ihr Tool "FinPing"!

Gruss
Tobias Stöger

/edit von Raimund: Thread auf "wichtig" gesetzt
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 10:35 Uhr  ·  #2
Hallo Tobias,

die wichtigste Info fehlt meiner Meinung nach:
Properitär auf Basis HBCI 2.20 oder ZKA Konform FinTS 3.0

Gruß

Holger
TEO
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 265
Dabei seit: 05 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 11:03 Uhr  ·  #3
Bei HVB muszten wir im Profi cash 2.20 in der INI einstellen damit es funktioniert hat, obwohl unter www.hbci.de 3.0 angegeben ist o_O
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 11:45 Uhr  ·  #4
zur den VR-Banken an der GAD:
FinTS-HBCI-Version 3.0
Plus und mobile TAN gehen beide, das Fragezeichen kann also weg.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 11:50 Uhr  ·  #5
Das "?" bedeutet nur "mir nicht bekannt", also in diesem Fall die "Sicherheitsfunktion, codiert".
Falls jemand die ?-Lücken (verbindlich) ausfüllen kann, bitte hier posten oder kurze PM an mich. Danke ;-)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 12:52 Uhr  ·  #6
In der Übersicht fehlt noch das "eigentliche" Geschäftgebiet der Sparkassen-Informatik. Bayern ist zwar gerade dazugekommen, läuft aber technisch nicht vor 2008 auf dem eigentlichen SI-System.

Die Finanz-IT stellt schön grafisch dar, wer wo arbeitet: http://www.finanzit.com/unternehmen/index.html

Als Muster einfach die Sparkasse MSLO abfragen (BLZ 40050150) abfragen.

Es müsste etwa so aussehen:

Sparkassen in West- und Süddeutschland (RZ Sparkassen Informatik)
(Einfaches TAN-Verfahren ist teilweise noch aktiv -> Kundenabhängig und jederzeit in beide Richtungen änderbar)
Name: iTAN (900)
Prozessvariante: 2
HBCI-Version: HKTAN-1, HITAN-1, HITANS-1
Challenge: 0000 (Nur die TAN-Nummer, 4-stellig mit führenden Nullen)
Bsp.: HITAN:5:1:4+4++6504-01-31-12.46.56.810607+0082'
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.01.2007 - 13:56 Uhr  ·  #7
Edit: Ist geklärt - Danke an Holger ;-)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Den Haag
Beiträge: 118
Dabei seit: 04 / 2004
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 01.02.2007 - 11:08 Uhr  ·  #8
Zitat geschrieben von tobias.stoeger

HypoVereinsbank
(Einfaches TAN-Verfahren ist noch aktiv)
Name: iTAN (999 )
Prozessvariante: 1 (RIPEMD160)
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1
Challenge: "Bitte verwenden Sie zur Freigabe des Auftrages die 000. TAN." (Indexnummer ist mit führenden Nullen)

Das soll doch bestimmt 900 heißen, 999 ist die "Sicherheitsfunktion Codiert" für das Ein-Schritt-Tan-Verfahren.
Die Angabe als solche ist aber nicht sehr sinnvoll, da diese jederzeit von der Bank geändert oder anders verwendet werden kann. Ausschlaggebend ist immer die verknüpfte "Techinsche ID".
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 01.02.2007 - 11:13 Uhr  ·  #9
Danke für den Hinweis. Ist geändert.
Grundsätzlich hast Du recht, dass sich die "Sicherheitsfunktion Codiert" jederzeit ändern kann - das betrifft letztendlich auch alle anderen Angaben ;-)
Ich werde es dann entsprechend ändern.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 13.02.2007 - 13:23 Uhr  ·  #10
HypoVereinsbank aktualisiert.
TAN-Segmentversionen für HBCI 3.0 hinzugefügt.

HBCI-Version 3.0: HKTAN-1, HITAN-1, HITANS-1
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 51
Dabei seit: 10 / 2006
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 25.02.2007 - 19:08 Uhr  ·  #11
Sorry, aber als absoluter Laie:

Wo genau würde denn die Secure-T@N-Box der Wüstenrot-Bank da einkategorisiert werden?
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 25.02.2007 - 19:39 Uhr  ·  #12
Hallo Basti,

die Secure T@n Box kann hier gar nicht einkategorisiert werden. Der Thread gilt als Information, welche Bank ein Zweischrittverahren über HBCI 2.20 oder Gemäß ZKA Spec über FinTS 3.0 implementiert hat und welches.

Wenn ich das richtig gesehen habe, bietet die Wüstenrotbank keinen HBCI/FinTS Zugang.

Wenn Sie aber z.B. einen Zugang über HBCI 2.20 bieten würde, könnte das so aussehen:

Name: Secure T@N Box (9xx) (Die technische Verfahrensnummer kann jede Bank selber wählen und ist nur für die Software interessant. Nur die 999 für das Einschrittverfahren ist fest vorgegeben)
Prozessvariante: 1 (RIPEMD160) (Könnte auch Prozessvariante 2 sein)
HBCI-Version 2.2: HKTAN-1, HITAN-1, HITANS-1

Challenge: "Bitte ermitteln Sie zur Freigabe des Auftrages mit Hilfe der Secure-T@N Box jetzt eine gültige TAN.

Wie gesagt, ist nur so gesponnen. Für ein Kundenprodukt ist es völlig egal, ob da eine indizierte TAN, eine mobile TAN oder ein sonstiges TAN Verfahren im Einsatz ist.

Die Angaben sagen auch nichts über die Sicherheit bei verschiedenen Angriffsszenarien aus!

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 05.03.2007 - 12:02 Uhr  ·  #13
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 27.03.2007 - 10:08 Uhr  ·  #14
Netbank "SMS TAN (996)" hinzugefügt.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 30.03.2007 - 09:02 Uhr  ·  #15
NetBank, Sparda, PSD-Banken aktualisiert.

Kann evtl. jemand etwas zur ING-DiBa beitragen?

Danke.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 31.05.2007 - 09:09 Uhr  ·  #16
Aufbau der SMS für mTAN beim RZ GAD hat sich anscheinend geändert.

Alt: "Die mobileTAN lautet 123456. Sie gilt für den Auftrag über 0,00 Euro auf das Konto 1234567890. Zeit: hh🇲🇲ss"

Neu: "Die mobileTAN für Ihren Auftrag über 0,00 Euro auf das Konto 1234567890 lautet 123456, Zeit: hh🇲🇲ss"
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4446
Dabei seit: 11 / 2004
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 30.11.2007 - 16:57 Uhr  ·  #17
Hat der eine oder andere vielleicht noch Informationen welche Rechenzentren das klassische TAN-Verfahren bereits komplett abgeschafft haben? Bzw. wann dies komplett abgeschafft wird? Ein paar fehlen in der Liste noch.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 169
Dabei seit: 03 / 2005
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 11.02.2008 - 08:47 Uhr  ·  #18
Comdirect (iTAN-Verfahren) aufgenommen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Dresden
Beiträge: 10
Dabei seit: 08 / 2006
Betreff:

Cronbank (BLZ50530000)

 · 
Gepostet: 04.09.2008 - 10:12 Uhr  ·  #19
zur Info: Die Cronbank (BLZ50530000) hat seit dem 1.9.2008 nurnoch das PIN/TAN Zwei-Schritt-Verfahren.
sme
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 242
Dabei seit: 11 / 2006
Betreff:

Re: Übersicht der aktuellen Zwei-Schritt-TAN-Verfahren

 · 
Gepostet: 26.11.2013 - 15:34 Uhr  ·  #20
Zitat geschrieben von tobias.stoeger
Sparda, NetBank, PSD Banken (RZ Sparda DV)
...
Volks- und Raiffeisenbanken (RZ GAD)


Kleine Korrektur:
PSD-Banken und viele Volks- und Raiffeisenbanken sind bei der
Fiducia IT AG (http://www.fiducia.de).
M.W. sind dort die Papier-TAN-Listen völlig abgeschafft. Angeboten wird das mTAN- und das Chip-TAN-Verfahren.

Update:
ich sehe gerade, daß diese Diskussion schon 5 Jahre alt ist und damit wohl abgeschlossen. Sorry
Gewählte Zitate für Mehrfachzitierung:   0