Sicherheit von Smart TAN

Hi @ll,

wieder einmal stand die Zusendung einer neuen TAN-Liste an. Statt dessen bekam ich diesmal einen Smart-TAN Generator. Wie beurteilt Ihr eigentlich die Sicherheit von Smart TAN?

Die Papier TAN waren bisher immer eine relativ sichere Sache. Zunächst einmal brauchte man Zugriff auf die Wohnung oder im richtigen und unabsehbaren Moment auf dem Briefkasten. Dann musste man eine alte und teilweise eine neue TAN eingeben, um neue Bogen freizuschalten.

Meine Nachfrage ergab, dass der Smart-TAN-Generator nicht personalisiert ist, sondern beliebig gewechselt werden kann. Das hieße aber, dass allein der Besitz der Karte ausreicht, um unendlich viele TAN zu generieren. Diese Karte hat theoretisch bis zu 4 Jahren keinen Kontakt mit irgendeinem Bankrechner. Das Sicherheits-Verfahren muss also über diese Zeit ohne Abgleich funktionieren. Wenn die Karte nun unenedlich viel TAN generieren kann, müsste doch fast jede von den möglichen 1.000.000 drankommen. Ein Erraten einer TAN wäre somit kaum mehr ein Zufall. Der Bankrechner kann wegen des fehlenden Kontaktes zur Karte nicht feststellen, ob die geratene TAN mit Hilfe der Karte generiert wurde.

Die einzige Erklärung, die ich habe ist, dass im Generator oder auf der Karte eine Uhr steckt. Die Uhrzeit ist maßgeblich an der Errechnung einer TAN beteiligt. Der Bankrechner kann nachvollziehen, wann eine TAN generiert wurde und lässt eine solche nur zeitnah zu.

Es wäre schön, wenn das mal jemand so erklären kann, dass ein nicht Banker das versteht.

Hallo Holger,

erst mal vielen Dank für Deine Antwort.


Genau! Das hätte ich auch nicht erwartet und wohl auch nicht verstanden. Der von Dir im Folgenden gewählte Level ist genau richtig.


Soweit war mir das schon klar. Aber es lesen vielleicht noch Andere. Ich nutze daher eine frisch generierte TAN.


Da wären wir also bei des Drudels Kern. Diese maximale Zählerdifferenz ist also der Wert "100"?

Wie aber geschieht der Abgleich?
Wenn der Zähler um mehr als 100 differiert, wird keine Smart-TAN mehr akzeptiert? Muss Smart-TAN dann von der Bank wieder freigeschaltet werden, wenn sie sich davon überzeugt hat, dass die Karte noch im rechtmässigen Besitz ist?

Eine andere sinnvolle Möglichkeit sehe ich nicht, denn um sich an eine Zählerstand größer 100 anzugleichen, müsste der Bankrechner erstmal eine TAN mit Zählerstand größer 100 akzeptieren. Dies darf aber nicht, da dann wieder die leichte Ratemöglichkeit zum Tragen käme.


Unter der gegeben Info, dass die Zähler beieinander bleiben müssen, jetzt vollkommen klar. Bleibt nur noch die Frage nach dem Abgleich.

Zusätzlich zu dem bereits gesagten lässt sich der TAN Generator mit einer eignen, von dir bestimmbaren PIN schützen. Ab Werk ist die PIN Eingabe nicht zwingend (so kenne ich das von unseren Karten, die den TAN Generator zwar aufgebracht haben, die Selbsterzeugte PIN wird aber derzeit nicht akzeptiert). Somit wäre selbst der Verlust der Karte kein Beinbruch, das sie ja noch zusätzlich geschützt ist.

beliebiger HBCI Leser in Verbindung mit der Software Chipcard Master.

Vielen Dank an Euch alle .

Das Verfahren ist in Gemeinschaftsarbeit auf einer laienverstehbaren Basis mit FAQ Qualität erklärt.

Nur eine Frage trieb mich noch um. Wie kann ich den ATC-Zähler mit dem Lesegerät sichtbar machen? Es hat ja nur zwei Tasten: TAN und Bargeld. Dann kam ich auf die glorreiche Idee, beide Tasten gleichzeitg zu drücken. (Auch wir Industrieelektroniker nutzen so etwas für versteckte Diagnose-Funktionen in Maschinen ) Und siehe da: Erst zeigte der Leser das Bargeld, dann eine TAN und zuletzt den ATC Zähler an. Damit dürfte dann auch der letzte dunkle Punkt geklärt sein.

Zwei Dinge hätte ich noch anzumerken:
1) Es wäre vielleicht ganz sinnvoll, die Kunden davon zu unterrichten, dass sie nicht unnötig viele TAN erzeugen sollten, weil Smart-TAN dann aus Sicherheitsgründen gesperrt wird. Auf den gedruckten Beipackzetteln ist dies mit keiner Silbe erwähnt.
2) Es wird in der Beschreibung darauf hingewiesen, dass Altbatterien besonders zu entsorgen sind. Soweit sehr sinnvoll. Wie man jedoch dem Gerät die Batterie entnimmt, bleibt das Geheimnis der Autoren. Wohl dem, der Augen und einen solch winzigen Kreuzschraubendreher hat.

Zusammen mit den hier gegebenen Infos finde ich das Smart-TAN Verfahren sicherheitstechnisch überzeugend und vorteilhaft in der Anwendung. Ein "sehr gut" vergibt der Warentest-Proxx und ein Lob an die Banken .

Hallo Zusammen,

jetzt muss ich mich doch tatsächlich noch selber korrigieren.... ops:
Den Part mit der PIN muss ich wohl im Zustand geistiger Umnachtung geschrieben haben.

Also so lautet es richtig:
Wird die PIN des TAN-Generators geändert funktionieren die Sm@rt TAN Leser nicht mehr. Also nicht rumprobieren!

Gruß

Holger

Hallo Janus,

ich weiß nicht woher Du dieses "Interna" hast, aber so sind sie definitiv nicht richtig! Ich versuche mal die Richtigstellung soweit ich Sie verstanden habe, ohne zu sehr ins Detail zu gehen.

1. Der TAN Generator ist keine Anwendung der EMV Chipkarte, sondern ist eine Anwendung auf der SECCOS Karte, die wiederum EMV fähig ist. (In anderen Ländern gibt es andere Karten die EMV fähig sein können)

2. Die Pseudozufallszahlen sind so nicht richtig. Es werden über ein spezielles kryptisches Verfahren eine nachvollziehbare Reihe von aufeinanderfolgenden Zahlen generiert. Vorraussetzung ist, dass man hierfür neben den verwendeten Verschlüsselungsschlüsseln noch diverse andere Parameter der Karte kennt z.B. jener ATC Zähler. Das RZ versucht auch nicht den Zähler zu erraten, sondern das RZ kennt den Startwert des Zählers und rechnet schlicht und ergreifend die TANs in einem bestimmten Range vor, die dann auch akzeptiert werden. Liegen die Zähler soweit auseinander, dass die errechneten TANs nicht mit den eingegebenen übereinstimmen, muss der Zähler wieder abgeglichen werden.


Mit den aktuellen Sm@rt TAN Lesern, die nur eine Taste für die TAN-Erzeugung haben ist das so richtig!


Fast richtig. Man könnte die PIN ändern, wenn man eine geeignete Software oder einen geeigneten Leser hat. Die TAN Ausgabe wird damit auch nicht gesperrt, sondern der Sm@rt TAN Leser erhält mangels der Möglichkeit eine PIN einzugeben keinen Zugriff auf den TAN Generator.


Das kann das RZ mit den derzeitigen Lesern/Verfahren definitiv nicht! (Das hatte ich ja ursprünglich in geistiger Umnachtung so behauptet).



Der Sinn dieser Kartenleser liegt in einer anderen Anwendung des TAN Generators. Mit einem solchen Leser ist es z.B. möglich zu prüfen, ob der Anwender wirklich die Karte in der Hand hält, die er z.B. jetzt zum Kauf im Internet einsetzen möchte. Hierzu wird eine Zahl vorgegeben, die der Anwender dann in diesen Leser eintippt. Der TAN Generator errechnet mit dieser zusätzlichen Variablen eine Zahl, die der Anwender dann als Bezahlbestätigung im Internetshop eingibt. Das RZ prüft, die Zahl dann und bestätigt dem Shop, dass die Karte dem Käufer vorliegt.

Vor diesem Hintergrund vermute ich auch, dass Du die Ausprägung des TAN Generators für die Kreditkarte mit der des Sm@rt TANs verwechselst.

Gruß

Holger

Zankt euch nicht, es ist Weihanchten (zumindest bald...)

Einen Kommentar kann ich mir aber doch nicht verkneifen:


Über EMV vs. SECCOS habt ihr euch schon ausgetauscht, um es nochmal ganz präzise zu sagen:
Für das Verfahren ist eine SECCOS-Karte notwendig, die die Kommandos zur Unterstützung von EMV-Applikationen implementiert hat. Theoretisch wäre also eine Karte ohne EMV-Anwendung denkbar, praktisch wird es so eine wohl nicht geben (wozu auch?).

Das RZ "schätzt" aber keineswegs den Zähler der Karte (ATC), sondern führt den ATC grundsätzlich im Hintergrundsystem mit.
Vereinfacht gesagt, wird die eingegeben TAN dann akzeptiert, wenn das Ergebnis einer Berechnung im Hintergrundsystem mit der TAN übereinstimmt.
Basis der Berechnung sind ein kartenindividueller Triple-DES-Key, der ATC und noch einige andere Informationen.

Wenn keine Übereinstimmung gefunden wird, wird im Hintergrundsystem mit einigen folgenden ATC-Werten die gleiche Berechnung durchgeführt. Erst wenn das schiefgeht, muss der ATC von Chipkarte und Hintergrundsystem synchronisiert werden.


Das ist wirklich eine spannende Frage.
Ohne es gerade prüfen zu können, meine ich, dass eine Prüfung, ob die TAN mit oder ohne PIN erzeugt wurde aktuell zwar nicht geht, die TAN aber in jedem Fall (alos unabhängig vom CVR) akzeptiert werden sollte.
CMIW...

Ich wünsche noch frohe Weichnachten allerseits (und hoffe, nicht allzusehr gelangweilt zu haben )

Gruß
BW