Warum Sparkassen-Login nicht auch über chipTAN?

Hallo,

prinzipiell finde ich ich das chipTAN-Verfahren und das entsprechende Bankingportal der Sparkassen ganz gut. Ich frage mich allerdings, warum man fürs Einloggen auf das Portal nicht auch das TAN-Verfahren nimmt. Immerhin kann ich ja durch einen Keylogger die Zugangsdaten abgreifen und dann zu einem beliebigen Zeitpunkt damit die Transaktionen und den Kontostand des Opfers sehen.

Wäre dies auf chipTAN-Basis, müsste ich schon eine erfolgreiche Man-in-the-middle-Attacke auf die https-Verbindung fahren. Der Startcode könnte ja in Abhängigkeit vom aktuellen Zeitstempel sein, BLZ wäre dann die eigene, der Betrag 0 Euro.

Was meinen die Experten dazu?

Im übrigen ist man seitens des ZKA meines Wissens bei der Entwicklung des Verfahrens garnicht angetreten, den Login zu ändern sondern ein gegenüber der TAN-Liste sichereres Legitimationsverfahren zu schaffen.
Sind also spezifikationsbedingt zwei paar Schuhe.
Oder liege ich da falsch?

Hallo,
da stimme ich vollkommen zu: Den Mittelabfluß abzusichern ist wesentlich wichtiger. Meine Überlegung war nur die, dass man mit dem geloggten Passwort beliebig oft das Konto auf neue Lastschriften und Bareinzahlungen kontrollieren kann, zumindest bis es auffällt. Da aber die wenigsten vermutlich mehr als einmal am Tag sich einloggen (eher noch weniger), kann man einen relativ langen Zeitraum überwachen.

Aber gut zu wisssen, dass es ginge. Immerhin kann dann, wenn das Thema mal in den Medien gehyped wird, relativ schnell ein Workaround präsentiert werden.

Danke den Postern für die Infos!

Ah, ok, gut zu wissen.
Das wäre aber ein Albtraum für alle Softwarenutzer, die automatisierte Umsatzabfragen über HBCI laufen haben :twisted: