SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

musso

Benutzer

Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 11 / 2008

Betreff:

SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 07.01.2010 - 12:55 Uhr · #1

Hallo zusammen,

Meine Sparkasse Ansbach bei Nürnberg will das PIN/TAN verfahren abschaffen und SMS-Tan einführen, bzw. ein Zusatzgerät welches über einen Flicker-Barcode in einer Web-Site eine Tan genieriert.

Ist denn geplant SMS-Tan bzw. dieses Zusatzgerät in Hibiscus zu unterstützen ?

Gruss
Musso

Michael Döring

Benutzer

Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 07.01.2010 - 13:30 Uhr · #2

das smsTAN der Sparkassen nennt man auch allgemein mTAN (Mobile TAN). Und wenn ich die letzten hbci4java Threads richtig verfolgt habe, wird das unterstützt, zumindest nach dem letzten Nightly Build.

Z.B. hier: http://www.onlinebanking-forum…hp?t=11136

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 07.01.2010 - 13:56 Uhr · #3

Wenn ich mich nicht irre, sollte auch SMS-basiertes TAN ein gewoehnliches Zweischritt-Verfahren sein, welches problemlos (vermutlich auch schon mit Hibiscus 1.10) gehen sollte.

@Stefan: Was meinst du?

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 07.01.2010 - 14:20 Uhr · #4

@willow: Ja, ist es. Aber: Es muss in der TAN-Anforderung die Medienbezeichnung mit übertragen werden. Die Medienbezeichnung regelt, an welche Rufnummer (bis zu 5 pro Vertrag) die TAN gehen soll. Die Telefonnummer bzw. das Telefon kriegt als einen Namen, den das Programm mit übertragen muss.

Bisher brauchte das IMHO keine andere Bank, aber es ist Bestandteil der Spezifikation.

Hier hab ich das mal mit Tobias durchgekaut: http://www.onlinebanking-forum…hp?t=10514

---

chipTAN geht mit Hibiscus, aber nicht in der comfort Variante über die Grafische Schnittstelle. Für die Funktionalität ist das kein Problem, sowohl Bank als auch TAN-Generator unterstützen auch das manuelle Verfahren. Es ist nur mit ein wenig mehr Tipparbeit verbunden.

kleiner77

Benutzer

Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 08:22 Uhr · #5

Ja, SMS-TAN ist ein "normales Zweischritt-Verfahren", welches mit HBCI4Java funktioniert (habe ich selbst schon benutzt).

Aber: die Anmerkung von Captain FRAG ist entscheidend: HBCI4Java kann zwar HKTAN-3, aber das zusätzliche DE für das TAN-Medium wird derzeit nicht genutzt (es gibt auch kein API dafür, das zu füllen). Heißt zweierlei:

1) Muss in HBCI4Java die Möglichkeit einbauen, diesen Wert setzen zu können, und ein API dafür schaffen
2) Hibiscus braucht eine TAN-Medien-Verwaltung als "Schnittstelle zwischen Hibiscus und Nutzer"

Beim derzeigen Entwicklungsstand wird SMS-TAN mit dieser Bank also nicht gehen, eine entsprechende Erweiterung sollte aber machbar sein...

-stefan-

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 11:18 Uhr · #6

Zitat geschrieben von kleiner77

2) Hibiscus braucht eine TAN-Medien-Verwaltung als "Schnittstelle zwischen Hibiscus und Nutzer" ;-)

Ein Callback, der dazu fuehrt, dass ein Dialog mit Auswahlbox angezeigt wird, sollte doch da reichen, oder? Ach, Moment. Wird die Liste der moeglichen Medienbezeichnungen von der Bank mitgeschickt, oder muss Hibiscus die kennen?

kleiner77

Benutzer

Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 11:32 Uhr · #7

Zitat

Ein Callback, der dazu fuehrt, dass ein Dialog mit Auswahlbox angezeigt wird, sollte doch da reichen, oder?

Das wäre ein Anfang, ja.

Zitat

Wird die Liste der moeglichen Medienbezeichnungen von der Bank mitgeschickt, oder muss Hibiscus die kennen?

Soweit ich das richtig im Kopf habe, gibt es einen GV, um die TAN-Medien-Bezeichnungen von der Bank abzuholen. Im "laufenden Betrieb" könnte man das also evtl. nutzen.

Es gibt aber (wie so oft) ein Henne-Ei-Problem: Mit einen ganz frischen HBCI-PIN/TAN-Zugang kommt man damit nicht weiter. Denn man muss zuerst seine "Transport-PIN" ändern. Diese Änderung selbst ist TAN-pflichtig - man muss also ein HKTAN dafür einreichen. Für dieses HKTAN bräuchte man die Medienbezeichnung, die man wiederum theoretisch vorher durch einen entsprechenden Abruf erhalten könnte. Dieser Abruf funktioniert aber erst NACH dem Pflicht-Wechsel der PIN...

Also muss zumindest für den allerersten HBCI-PIN/TAN-Kontakt mit der Bank die Medienbezeichnung manuell eingegeben werden - ich nehme an, die erfährt man irgendwie von der Bank während der Freischaltung für HBCI-PIN/TAN oder so...

-stefan-

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 12:09 Uhr · #8

Vielleicht sollte ich hbci_passport_pintan.jar in der naechsten Release weglassen

Das mit den TAN-Verfahren artet ja langsam echt aus

kleiner77

Benutzer

Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 12:18 Uhr · #9

Zitat

Das mit den TAN-Verfahren artet ja langsam echt aus

Ja, und für jede neue "Technologie" braucht es auch irgendeine Neuerung in den HKTAN-Segmenten. Irgendwie war die Idee, Zweischrittverfahren ganz allgemein zu spezifizieren, zwar ganz gut - aber wenn jetzt doch für jedes neue konkrete Zweischrittverfahren doch wieder auch eine neue HKTAN-Segmentversion benötigt wird, hätte man sich das auch sparen können (auch wenn ich an dieser Stelle zugeben muss, dass das hier zur Diskussion stehende Datenelement schon "etwas älter" ist (seit HKTAN:3)).

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 14:34 Uhr · #10

Zitat geschrieben von kleiner77

Es gibt aber (wie so oft) ein Henne-Ei-Problem [...]

Also muss zumindest für den allerersten HBCI-PIN/TAN-Kontakt mit der Bank die Medienbezeichnung manuell eingegeben werden - ich nehme an, die erfährt man irgendwie von der Bank während der Freischaltung für HBCI-PIN/TAN oder so...

-stefan-

100% richtig.

Die Medienbezeichnung erfährt der Nutzer in seiner Begrüßungs-SMS mit Freischaltung des Verfahrens. Alternativ lässt sich das im Web-Portal der Sparkasse in der smsTAN-Verwaltung nachsehen.

kleiner77

Benutzer

Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 15:36 Uhr · #11

Wird die Medienbezeichnung denn AUSSCHLIESSLICH beim SMS-TAN-Verfahren verwendet?

Als mir das Konzept der TAN-Medien erstmalig in der Spez. begegnet ist, dachte ich sofort daran, dass man ja auch die "TAN-Bögen" (mit den klassischen TAN-Listen für iTAN) als TAN-Medien bezeichnen könnte.

Damit könnte dann doch der heute übliche komische explizite "Wechsel der TAN-Liste" entfallen - denn wenn die verwendete TAN-Liste in HKTAN explizit benannt wird, könnte man als Anwender einfach entweder die eine oder andere Liste verwenden (so lange TANs verfügbar sind)...

Ich nehme mal an, ich denke hier wieder zu optimistisch, und das ist so NICHT vorgesehen?

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 08.01.2010 - 16:03 Uhr · #12

Möglich wäre das auch im Zusammenhang mit TAN-Listen oder auch kartenbasierten TAN-Verfahren. Aus der Praxis kenne ich das aber nicht. Da wir (im Sinne von Sparkasse im System OSPlus) im Moment scheinbar eh die einzigen mit der Medienbezeichnung sind (die Postbank als Gegenbeispiel arbeitet ja pro Rufnummer mit einem eigens kodierten Sicherheitsverfahren).

Speziell bei uns kann es eh nur eine aktive (d.h. nutzbare) Liste pro Zugang (Legitimations-ID) geben, die Medienbezeichnung wäre also völlig überflüssig. Weitere Listen hätten einfach andere Leg-IDs (und somit auch andere Aliase/Anmeldenamen), sprich eigene Zugangsdaten. Dahinter können die gleichen oder auch andere Konten sein.

Und an der Logik der TAN-Listen Verwaltung selbst wird sich nichts mehr ändern, das war 20 Jahre so wie jetzt auch und die Liste wird es in 3-5 Jahren nicht mehr geben. Warum also Veränderung? Das führt nur zur Verunsicherung....

kleiner77

Benutzer

Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004

Betreff:

Re: SMS-TAN oder Zussatzgerät bei Sparkasse Bayern

· Gepostet: 11.01.2010 - 08:57 Uhr · #13

Sorry, dass ich an der Stelle so hartnäckig bin, aber ich muss hier zum Verständnis weiter nachbohren:

Bereits seit Version 1 ist im HKTAN-Segment ein Datenelement "TAN-Listennummer" vorgesehen:

Zitat

Ist in der BPD als „Anzahl unterstützter aktiver TAN-Listen“ ein Wert > 1 angegeben, so muss der Kunde z. B. im Falle eines indizierten TAN-Verfahrens hier seine für diesen Auftrag zu verwendende TAN-Liste angeben.

Speziell in der Beschreibung von HKTAN:3, wo die "Bezeichnung des TAN-Mediums" als neues DE eingeführt wurde, sehe ich, dass die textliche Beschreibungen der DEs "TAN-Listennummer" und "Bezeichnung des TAN-Mediums" praktisch identisch sind.

Der Sinn und Zweck von "TAN-Listennummer" ist m.E. genau der selbe wie "Bezeichnung des TAN-Mediums", nur dass bei ersterem die Bezeichnung etwas unglücklich gewählt wurde (weil auf ein bestimmtes Zweischritt-Verfahren [iTAN] konkretisiert).

Darum verstehe ich nicht, warum man nicht das DE "TAN-Listennummer" einfach "umbenannt" hat, sondern statt dessen ein neues DE eingeführt hat mit genau dem gleichen Zweck, nur etwas "allgemeinerer" Bezeichnung...

-stefan-