Sicherheit des sm@rt TAN-Generators

Hallo miteinander!

Bei der Auseinandersetzung mit dem Thema „Homebanking“ haben sich im Wesentlichen für mich folgende Fragen ergeben:

1. Bei der Anmeldung für Homebanking hat mir die Bank eine PIN zugeteilt, die ich bei der ersten Online-Anmeldung eingeben muss. Danach muss ich umgehend diese PIN ändern. Kann ich diese frei wählen oder muss (oder sollte?) ich die PIN eingeben, die ich auch am Automaten eintippe?

2. Ich habe mich beim TAN-Verfahren für den TAN-Generator (sm@rt TAN-Generator) entschieden. In den Sonderbedingungen des Vertrages steht, dass dieser sicher zu verwahren ist. Nun lese ich aber im Internet, dass dieser Generator, der eigentlich nur ein Lesegerät des Chips der EMV-fähigen Karte ist, eine genau so gültige TAN erzeugt, wie sie mit einem baugleichen Gerätetyp erzeugt würde.

D. h. wenn der „Generator“ tatsächlich nur ein Lesegerät ist, besteht überhaupt keine Notwendigkeit dafür, diesen unbedingt sicher aufzubewahren, da jeder andere mit einem ähnlichen Gerät genau so gültige TANs erzugen kann. Natürlich ist mir klar, dass beim Verwenden einer TAN alle zuvor erzeugten TANs ungültig sind. Aber man führt ja nicht täglich irgendwelche Transaktionen aus. Für mich (absoluten Laien auf diesem Gebiet) bleibt völlig unklar, warum man nicht jedem Kunden einen individuellen Kartenleser ausstellt bzw. die einmalige Seriennummer ans Rechenzentrum schickt und somit die Sicherheit erheblich steigert, da nur noch ein Lesegerät gültige TANs erzeugen kann.
Eigentlich müsste das gesamte Verfahren ja als ziemlich unsicher eingestuft werden, wenn man berücksichtigt, dass – unter Kenntnis der PIN – die Karte ja nur ein Mal kurz in das Lesegerät geschoben werden muss, um damit Geld abbuchen zu können. Bei der „konventionellen“ Methode am Automaten muss man immerhin die Karte schon für längere Zeit entwenden. Und wenn irgendjemand mal kurz die Karte in so ein Gerät steckt, ist dies sicherlich unauffälliger, als wenn jemand gleich mit der ganzen Karte abhaut, denn dann wird man diese sofort sperren. Habe ich das also so richtig verstanden, dass mit jedem Gerät gültige TANs erzeugt, pardon, gelesen werden können? Wäre es nicht viel sicherer, die Gültigkeit erzeugter TANs auf vllt. 5 Minuten zu begrenzen?

Für kompetente Antworten wäre ich sehr dankbar!

Viele Grüße
Nachteule

Hi Holger!

Erst einmal vielen lieben Dank für deine Antwort
Ich glaube, das mit dem TAN-Lesegerät habe ich jetzt etwas mehr verstanden, nur bin ich mir noch unsicher, ob ich nun als PIN beim Homebanking einen anderen als den am Schalter (wenn ich was mit Karte abhebe) verwendeten PIN eingeben muss...

Viele Grüße
Nachteule

hallo Holger Fischer

so ganz korrekt sind deine Infos nicht

erstmal hat jeder Tan Generator bereits eine eigene Serienummer hinten dran,
die ist einmalig, genau die könnte man sehr wohl zum freischalten fürs eigene Online Banking benutzen, warum das extra kosten sollte erschließt sich mir nicht den diese Nummer existiert ja schon ,
und die Herstellung einer Pinaktivierung am Generator wird wohl - wenn überhaupt, so gut wie keine Extrakosten entstehen lassen, man betrachte sich doch nur einmal was das kleine Kästchen bereits kann und wieviel Tasten darauf angebracht sind, da ist jede menge Spielraum integriert,
eine Nummer mehr zur Aktivierung tut da keiner Bank weh


eine Kontoeröffnung gelingt ja auch nur durch eine Freischaltung durch eine Pin, warum also hier drauf verzichten ? Sicherheit geht doch vor !


da so ein Generator die Empfängerdaten anzeigt wie z.B. Kontonummer, Geldbetrag bis 2 Stellen hinterm Komma sowie eine Tannummer kommts auf eine einzige Nummer mehr eh nicht mehr an


außerdem hat sich z.B. eine Sparkassen Bank ein Riesen Geschäft durch die Finger gleiten lassen,
als Beispiel : eine 5 Köpfige Familie ,welche jedes Familienmitglied bei ein und derselben Bank ein eigenes Konto hat kann mit einem einzigen Tan Generator alle ihre Bankgeschäfte abwickeln, so hat man sich als Familie 40€ gespart


was mir auch suspekt ist : eine Tannummer ist 6 stellig, das bedeutet das nur 999999 Zahlen möglich sind, meine Prognose ist das innerhalb von 1 Woche alle Tannummern BRDweit benutzt worden sind, warum ? es gibt ja Millionen von Kunden bei ein und der selben Bank, irgendwann wirds da ja wohl eng werden, das das dann einfach so von vorne bei null beginnt ist aberwitzig
denn, so ein Tan generator kennt ja nicht die Anzahl an Kunden, deren namen und die Anzahl an Bankkarten, das 2 Kunden die selbe Tannummer benutzen klingt nicht nach Sicherheit



auch kann man jetzt nur noch mit großem Bildschirm arbeiten, ob da das Display eines handys oder IPhons groß genug ist ??????!!!!!!!!



weiterhin ist da aktuell keine Sicherheits Verbesserung gegeben, da braucht einer nur deine Karte reinzustecken und schon kanns losgehen, sich die Zugangscodes zu besorgen ist immer noch leider sehr einfach, geht nur mal an öffentliche Plätze an welchen sich geldautomaten befinden, diese Zugangspin ist sehr leicht abzulesen, aus der Entfernung via Fernglas z:B.
oder die Vorrichtung am Geldautomaten die per Attrappe ersetzt wurde...........

wie bereits erwähnt, die einmalige Freischaltung mit einer 4 bis 6 Stelligen Zahl um den Tan Generator freizuschalten hätte Pflicht sein müssen, entweder durch die Seriennummer des Generators, einer Pin oder durch die Individuelle einmalige Bankkartennummer die jeder von uns bereits hat



bin mir sehr sicher das dies irgendwann so kommen wird samt dem Zwang das jeder Kunde eine neue Bankkarte beantragen muß die zum neuen Generator paßt, , noch ists günstig, knapp 10€ ist zwar schon ne Frechheit aber was will man machen wenn man Online Banking attraktiv findet


schönen Tag euch allen


Alex

das ist eine Antwort auf eine andere Frage ,
meintest du die TAN/ITan oder den Auftrag ?

ersteres : nein , zweiteres : aber sicher, das abzusenden oder nicht entscheiden wir

hi Muriiii
ja seit mehreren Monaten klappt alles herrvoragend


warum ich hier im Forum schreibe ist, ich bin der Meinung das

1. die Kosten sehr günstig gehalten werden können und die Bank hat das zu bezahlen


2. absolute Sicherheit gibts nicht, und das was bisher getan wird ist eine Farce, was ganz sicher kommen wird ist eine Veränderung nach der anderen, nicht nur im Banktransfer für Privatkunden sondern auch Global im Geldwirtschaftssystem - dahingehend das alles zusammenkracht *
ich persönlich hätte als Entwickler solch eines Generators andere Raffinessen zur Wahrung der Sicherheit miteingebaut,lediglich ne Pin einzugeben und an Bildschirm zu halten kanns net sein !


Ahoi

Hm,
irre ich mich ...
oder hat Simbelmyne bisher eigentlich noch keine klare definierte Frage gestellt .....

Kann natürlich auch sein, dass ich etwas überlesen habe....
Was soll man denn da noch antworten.
Simbelmyne hat seine Meinung doch schon gebildet....

zugegeben , eine 4 bis 6 stellige Pinzahl extra und einmalig in den Generator einzugeben ist ne Zumutung, dauert das doch glatt 5 Sekunden , in denen könnte man auch etwas anderes tun z.B. Prinzen zeugen, aber hey, Sicherheit geht vor *



bei Handys wird das ja schließlich auch gemacht, und dort eine Pin einzugeben wird nicht extra berechnet, oder etwa doch ? das wäre neu *


nun, jeder Bankkunde hat ein persönliches Konto auf seinen Namen, eine persönliche Bankkarte mit Kartennummer drauf, warum auch nicht einen eigenen Generator , für den man ja immerhin um die 10€ bezahlen darf ?


hier könnte es perfect zusammenarbeiten, die Kartennummer in den persönlichen Generator einzugeben bietet ganz gute Sicherheit, das arbeitet sozusagen Hand in Hand,somit ist eine Fremdbenutzung der eigenen Bankkarte mit fremden Generator unmöglich, braucht man ja auch zusätzlich noch die Onlinehomebanking Zugangsdaten

Freischaltung ist ne wirklich feine Sache

kompliziert ?





wo den, in der Praxis oder im Kopf ?



wer hat uns denn den Pinzahlenerzeuger aufgeschwatzt ?

Was verstehe ich hier falsch ??

1. Kann man jeden x-beliebigen Kartenleser, der zur Erzeugung bzw. Darstellung von TAN-Nummern geeignet ist, nehmen. (Mal die Geschichte mit der HHD Version außen vor.) Personalisiert ist lediglich die Karte, mit der das Online-Banking betrieben wird.

2. Hat Dir niemand irgendetwas "aufgeschwatzt". Du hast immer noch die Wahl aus mehreren Online-Banking - Möglichkeiten".

Es ist ein Teufelskreis. Da sagt man zu (Gottseidank sind es wenige Kunden)
"Heh lieber Kunde. Du bekommst was neues, sicheres". Dann kommt der Aufschrei. "Ich will mein altes behalten. Ist doch so bequem ...." Andereseits ist dann das Geschrei groß, dass man doch alles sicherer machen soll. Macht man dies sind wir wieder am Anfang.

Wie man es macht, man macht es verkehrt.
Eierlegende Wollmilchsauen gibt es noch nicht.

PS: Simbelmyne. Ich glaube persönlich nicht daran, dass Du hier an einer Diskussion interessiert bist. (Das ist mein persönlicher Eindruck)
Alles ist schlecht und böse ...... :errr: