Also, ich muss wirklich zugeben das die ganze Diskussionüber PIN/TAN vor allemmit Hinsicht auf Phishing eigentlich total lächerlich ist. Es wird hoffentlich niemanden mehr geben der behaupten wird da PIN oder TAN Briefe verschicken eine ausreichenden Sicherheit gegen missbrauch bietet. Zugegeben vor 25 Jahren gab es noch keine alternative Technologie die PIN/TAN Lösung zu ersetzen. Aber nun sind wir doch ein klein wenig weiter in unserer Entwicklung, und wir reden immer noch von papierhaften PIN´s und TAN´s????
Diemeisten europäische Länder haben den trend schon vor Jahren erkannt und haben das papierhafte PIN/TAN Verfahren durch ein durchaus modernes Challenge-Response-Verfahren ersetzt. Dabei kommen TAN Generatoren (z.B. in Dongles...) zum Einsatz die eine zeitlich begrenzte PIN oder TAN generieren, welche vom Bankrechner validiert wird. Die Lebensdauer von diesen PIN's oder TAN's kann je nach wunsch des Kreditinstituts bestimmt werden. In diesem Verfahren ist eine Phishing attacke zwar theoretisch immer noch möglich, jedoch wird die Durchführung shererschwert.
Das Problem ist aber das die Benutzer sich den Banken gegenüber beschweren das Sie sich immer neue HW anschaffen müssen, das dies teuer ist oder noch dümmer das dies zuumständlich sei. Die Banken führen entsprechend dann solche Verfahren erst garnicht ein. Wenn dann aber der PIN oder TAN Brief gestolen wird, wenn dumme Benutzer sorglos bei Gott und der Welt Ihre PIN#s und TAN#s eingeben, ist es natürlich die Bank die dafür sorge zu tragen hat, das dem dummen Kunden kein Schaden passiert, sonst ist das Online Banking (egal ob Browser oder HBCI oder BTX) schuld.
Ich bin der Meinung das die papierhaften PIN und TAN Briefe sofort abgeschaft werden müßen, erst dann ist der Faktor Risiko kalkulierbar.
MfG
Diemeisten europäische Länder haben den trend schon vor Jahren erkannt und haben das papierhafte PIN/TAN Verfahren durch ein durchaus modernes Challenge-Response-Verfahren ersetzt. Dabei kommen TAN Generatoren (z.B. in Dongles...) zum Einsatz die eine zeitlich begrenzte PIN oder TAN generieren, welche vom Bankrechner validiert wird. Die Lebensdauer von diesen PIN's oder TAN's kann je nach wunsch des Kreditinstituts bestimmt werden. In diesem Verfahren ist eine Phishing attacke zwar theoretisch immer noch möglich, jedoch wird die Durchführung shererschwert.
Das Problem ist aber das die Benutzer sich den Banken gegenüber beschweren das Sie sich immer neue HW anschaffen müssen, das dies teuer ist oder noch dümmer das dies zuumständlich sei. Die Banken führen entsprechend dann solche Verfahren erst garnicht ein. Wenn dann aber der PIN oder TAN Brief gestolen wird, wenn dumme Benutzer sorglos bei Gott und der Welt Ihre PIN#s und TAN#s eingeben, ist es natürlich die Bank die dafür sorge zu tragen hat, das dem dummen Kunden kein Schaden passiert, sonst ist das Online Banking (egal ob Browser oder HBCI oder BTX) schuld.
Ich bin der Meinung das die papierhaften PIN und TAN Briefe sofort abgeschaft werden müßen, erst dann ist der Faktor Risiko kalkulierbar.
MfG