Allgemeine Frage zu PIN/TAN, CortalConsors TAN Generator

Ich habe mir gerade mal die Beschreibung dieses TAN-Generators angeschaut: https://www.cortalconsors.de/c…erator.pdf

Hierbei handelt es sich NICHT um einen chipTAN/smartTAN-Generator wie ihn z.Bsp. Volksbanken oder Sparkassen verwenden. CortalConsors verwendet hier also NICHT den offiziellen HHD-Standard. Geht auch gar nicht, denn deren TAN-Generator ist schon technisch etwas komplett anderes. Die "echten" chipTAN-Generatoren sind eigentlich lediglich Anzeige-Geraete - die eigentliche Generierung der TAN erfolgt durch den Chip auf der EC-Karte. Der TAN-Generator von CortalConsors hat aber ueberhaupt keinen Kartenslot. Und auch kein optischen Dioden zum Scannen des Flicker-Codes vom Bildschirm.

Damit ist das Geraet kein TAN-Generator in dem Sinne sondern nichts anderes ein Token-Generator, wie ihn z.Bsp. auch Paypal verwendet oder auch RSA mit dem SecurID-Token" anbietet. Das wiederrum heisst, dass die TAN nicht an den konkreten Auftrag gekoppelt ist sondern lediglich zeitlich begrenzt ist. Daher hat man auch keine Kontrollmoeglichkeit fuer Gegenkonto und Betrag auf dem Display des TAN-Generators.

Aus Sicht des HBCI-Protokolls handelt es sich daher um ein Einschritt-Verfahren. Der TAN-Generator ist also nichts anderes als eine elektronische/dynamische TAN-Liste.

Heisst wiederum: Aus Sicht der HBCI-Anwendung handelt es sich um eine klassiche TAN-Liste (so wie ganz frueher). Was konkret wann in dem TAN-Generator eingegeben werden muss, ist also ueberhaupt nicht HBCI-relevant.

Unter Sicherheitsaspekten faellt er damit weit hinter smsTAN/chipTAN zurueck, weil der User keine Moeglichkeit hat, um zu kontrollieren, ob er jetzt wirklich den Auftrag autorisiert, fuer den er die TAN eingibt.



Korrekt. Das ist aber nicht unueblich. Versuche doch mal eine Ueberweisung und waehle als Auftragsart "Umbuchung" aus. Vielleicht geht das ja wenigstens.

Wolf, das hast du richtig verstanden aber der Grund ist falsch. Das Banksystem weist im Zweischrittverfahren einer Transaktion eine ganz bestimmte TAN zu. Das bedeutet, diese TAN ist nicht nur auf das Konto beschränkt sondern sogar auf den einzelnen Auftrag. Und das hat wiederum nichts mit dem speziellen CC Verfahren zu tun sondern ist bei allen Zweischritt PIN/TAN Verfahren so.

Olaf hat sich da m.E. vertan. das TAN Verfahren der CC läuft im ganz normalen FinTS Rahmen. Und das das ein Einschrittverfahren sein soll kann ich nicht bestätigen. Habs gerade extra nochmal getestet. Ohne die letzten 6 Stellen der Empfängeriban geht garnichts. Ist also nach meiner Meinung ganz deutlich ein Zweischrittverfahren.

Ja, warten wir mal ab. Olaf ist in der Technik viel viel tiefer drin und macht nach meiner Beobachtung extrem wenig Fehler. Mal schauen, ob er bestätigt oder nicht.

Ich verstehe ehrlich gesagt nicht ganz, was Du mit Deiner Antwort sagen willst...
Nur weil das Banking Programm nichts von den Schritten im "Hintergrund" weiß, ändert das ja nichts am grundsätzlichen Ablauf und an der Sicherheit des Verfahrens. Oder?

Und warum bringst Du jetzt die iTAN ins Spiel? Die hat damit doch nun wirklich nix zu tun.

Vielleicht hat es ja damit zu tun, dass eine französische Mutter dahintersteckt? Vielleicht hat man solche Dinger in Frankreich und die kaufen die im Großen ein?

Andererseits hat die Volkswagenbank, die keine ausländische Mutter hat, auch so ein spezielles TAN-Generier-Ding.

Der TAN Generator generiert aus den letzten 6 Ziffern der Empfänger-Kto.-Nr. eine TAN welche ein paar Minuten gültig ist. Die Übertragung ist genauso sicher/unsicher wie bei einer einfachen TAN-Liste und geschieht in einem Schritt. Der Generator hat weder einen Leser für die Bankkarte noch findet eine Kommunikation mit dem PC oder der Bank statt. Die generierte TAN muss also eine Prüfsumme beinhalten welche Rückschlüsse auf das Empfängerkonto ermöglicht (bei alten Windows-Versionen war das immer Quersumme 7 bei den Lizenznummern nur mal als Beispiel). Wenn nun jemand die TAN abgreift müsste er die Überweisung auf ein anderes Konto mit den gleichen letzten 6 Ziffern umleiten. Mehr kann die Bank nicht prüfen.
"letzten 6 Kto.-Nr." plus "Algorythmus Generator" ist gleich "TAN". Um im Beispiel zu bleiben, das ganze vergleicht die Bank mit dem Zielkonto der Überweisung und dem Algorythmus des Generators. Èt voilà, "Quersumme 7" (Achtung Beispiel) also passt. In wie vielen Schritten die Bank das macht spielt keine Rolle. Für deine Zugangsart beim Kontoeinrichten muss das ganz einfache "Ein-Schritt"-Verfahren TAN-Liste ausgewählt werden. Hier ist/war meist "iTAN", also "2-Schritt" ausgewählt. Nur deswegen habe ich die iTAN ins Spiel gebracht. Ich muss mal prüfen ob man eine gültige TAN selbst generieren kann. Theoretisch müsste dies ja bei gleicher Kontonummer und genügend generierter TANs möglich sein.
Warum die aber zumindest mTAN nicht über hbci anbieten ist mir auch ein Rätsel. Über das webBanking kann ich eine anfordern. Ich kann also übers Internet die mTAN anfordern und diese am gleichen PC über die sim-Karte empfangen. Somit kann ich die "2 Geräte" Sperre sowieso umgehen.
Auch Terminüberweisungen und Daueraufträge sind bei CC grundsätzlich nicht über hbci möglich. Laut deren Auskunft wollen die hier keine weiteren Geschäftsfälle anbieten sondern ihre Apps und webBanking weiterentwickeln. Von Zeit zu Zeit nerve ich die mal wieder aber anscheinend ist hier die Nachfrage eher gering. Grüße

Ui,
Danke an alle für die ausführlichen Antworten.



Diesen Gedankengang verstehe ich nicht. Die IBAN, an die ich etwas überweise kenne ich ja, die tippe ICH in den TAN Generator ein.
Nun wird auf Basis eines "geheimen Schlüssels", der Zeit und den von mir eingegebenen Ziffern eine TAN generiert. Der Bankrechner macht auf der Gegenseite das selbe. Wenn meine Überweisung dort eintrifft, werden die TANs miteinander verglichen. Eine Manipulation der Übertragung bringt einem Angreifer also nix, es sei denn er hat eine Kontonummer parat, die auf die gleichen 6 Stellen endet. Wird die IBAN "im XML-Auftrag" durch eine ersetzt, die auf andere Ziffern endet, wird die Transaktion abgebrochen. Mache ich jetzt einen Denkfehler?

Lediglich, wenn der Schlüssel und Algorithmus zur TAN Generierung geknackt würde, wäre das Verfahren angreifbar. Aber dann richtig heftig, da sich ein Angreifer ja für jede beliebige Transaktion seine eigene TAN generieren könnte.

Stimmt, so einfach ist das nicht. Wobei mich das eher beruhigt

Sorry, ich stehe auf dem Schlauch: Nehmen wir mal an, Deine Annahmen seien korrekt: Warum sollte ich denn eine gefälschte IBAN eintippen?
Die IBAN kenne ich doch. Ich weiß doch, wem ich was überweise, also gebe ich diese IBAN auch in den TAN Generator ein. Die Ziel-IBAN kommt ja nicht vom Bankserver sondern von mir.

Sorry, dass ich da so genau nachfrage. der Grund dafür ist, dass ich eigentlich der Meinung bin/war, die TAN Generator Geschichte biete eine akzeptable Sicherheit (imo sicherer als mTAN mit Smartphone). Ich will deshalb sichergehen, dass in meinem Verständnis für das Verfahren kein Denkfehler steckt.