TAN=TAN=TAN?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 176
Dabei seit: 11 / 2012
Betreff:

TAN=TAN=TAN?

 · 
Gepostet: 05.12.2020 - 14:04 Uhr  ·  #1
TAN Generator ist der cyberJack® secoder von Reiner SCT mit dem sogenannten chipTAN Upgrade. Falls notwendig, konnte ich damit bisher stets mit einem Startcode eine TAN generieren, egal ob im OnlineBanking daneben ein QR-Code angezeigt wurde oder nicht. chipTAN QR wurde bankseitig benutzt, weil ich kein (anderes) chipTAN-Verfahren eingestellt hatte.

Das geht bei der Sparkasse nun nicht mehr. Dort muss man explizit "manuelle TAN" auswählen, ansonsten wird die generierte TAN als falsch abgelehnt.

Mein Verständnis war bisher, dass allein aus dem Startcode eindeutig mittels meiner Bankkarte eine TAN generiert wird. Ist das nicht der Fall?

Was enthält denn der QR-Code? Ich vermute den Startcode (mein QR Droid erkennt leider nur Buchstabensalat). Oder sollte etwa der Startcode im QR-Code nicht mit dem daneben ausgegebenen Startcode übereinstimmen?
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6164
Dabei seit: 02 / 2003
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 05.12.2020 - 15:04 Uhr  ·  #2
In die TAN Berechnung gehen auch die Details ein, die Visualisiert wurden. Der manuelle Weg erlaubt den Transport diverser Informationen nicht, so dass diese Informationen nicht in die TAN Berechnung einfließen. Daher können sich die TANs je nach Methode und Geschäftsvorfall durchaus unterscheiden.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 04 / 2012
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 07.12.2020 - 12:25 Uhr  ·  #3
Das kann nur funktioniert haben bei Geschäftsvorfällen, die keine weiteren Daten außer dem Startcode enthalten. Alle Geschäftsvorfälle zu Zahlungen würden Daten wir IBAN, Betrag, Zusatzdaten, etc enthalten und sind nicht kompatibel zwischen chipTAN manuell vs. chipTAN optisch/USB/QR. Bei denen müsste der Auftrag auch in der entsprechenden Verfahrensvariante eingestellt worden sein.

BTW: Die Daten können durchaus auch in der manuellen Variante mit in die Berechnung eingehen. Sie werden dann eben eingegeben. Allerdings werden diese Daten mit einem anderen Padding versehen intern in der Berechnung und sind daher nicht kryptographisch kompatibel zu den "optischen" Varianten (wozu ich auch USB zähle).
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 176
Dabei seit: 11 / 2012
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 07.12.2020 - 23:36 Uhr  ·  #4
Hmm, interessant. Vielen Dank für die Infos.

Es war die Anmeldung, die nach der 90-Tage-Regel mit TAN erfolgen musste und das Hochsetzen des Tageslimits. Alles Andere mache ich (noch) mit HBCI. Und wie gesagt, hat beides vorher ohne Probleme funktioniert.

Warum man dann den Startcode bei QR überhaupt ausgibt, verstehe ich nicht. Mich hätte das Fehlen desselben in jedem Fall dazu gebracht, auf "manuelle TAN" umzustellen. So habe ich erst einmal ein paar Versuche gemacht, man vertippt sich ja auch mal, was dann zur Aussperrung und weiteren Unannehmlichkeiten führte. Und kaum waren zwei Stunden vergangen, schon hatte ich das Tageslimit erhöht. Wer will sich da beschweren :-)
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7387
Dabei seit: 03 / 2007
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 08.12.2020 - 01:40 Uhr  ·  #5
Zitat geschrieben von emmi
Warum man dann den Startcode bei QR überhaupt ausgibt, verstehe ich nicht.
Weil man bei allen "ungewöhnlichen" Geschäftsvorfällen den Startcode im TAN-Generator zum Vergleich angezeigt bekommt. Bei Überweisungen steht da natürlich "Überweisung an IBAN blabla Betrag blabla". Bei Sondervorfällen wie Erhöhung des Limits sind diese Texte nicht im Leser vorhanden, weswegen dann der Startcode zum Vergleichen angezeigt wird.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6164
Dabei seit: 02 / 2003
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 08.12.2020 - 08:39 Uhr  ·  #6
Zitat geschrieben von msa

Zitat geschrieben von emmi
Warum man dann den Startcode bei QR überhaupt ausgibt, verstehe ich nicht.
Weil man bei allen "ungewöhnlichen" Geschäftsvorfällen den Startcode im TAN-Generator zum Vergleich angezeigt bekommt.

Nein, der Startcode definiert dem Leser, was dieser im manuellen Modus abfragen soll. Entweder wird darüber eine fertige Schablone definiert, die der Leser wählen soll, oder es werden über die Selektionstechnik einzelne Datenelemente definiert, die der Leser anzeigen soll. Im Fall der Limiterhöhung würde man vermutlich die Selektionstechnik verwenden und dem Anwender vermutlich signalisieren, dass es ein Serviceauftrag ist und dann Kontoverbindung (Teile der IBAN) und Text Limit (Betrag).
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7387
Dabei seit: 03 / 2007
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 08.12.2020 - 08:45 Uhr  ·  #7
Ich kenne es von Sparkassen nur so, dass der Startcode angezeigt wird und dann sofort die TAN kommt. Im WebBanking heißt es dann auch "bitte vergleichen Sie den Startcode 0815 auf Ihrem Gerät" oder so ähnlich. Klar hat der Startcode noch andere Inhalte, sicherlich auch die akutelle Zeit - denn sonst könnte er ja keine TAN generieren, die JETZT gilt und kurz darauf verfällt.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6164
Dabei seit: 02 / 2003
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 08.12.2020 - 08:54 Uhr  ·  #8
Zitat geschrieben von msa

Ich kenne es von Sparkassen nur so, dass der Startcode angezeigt wird und dann sofort die TAN kommt. Im WebBanking heißt es dann auch "bitte vergleichen Sie den Startcode 0815 auf Ihrem Gerät" oder so ähnlich. Klar hat der Startcode noch andere Inhalte, sicherlich auch die akutelle Zeit - denn sonst könnte er ja keine TAN generieren, die JETZT gilt und kurz darauf verfällt.

Die SPKs nutzen noch die Spezifikation 1.3.2, die bzgl der Auswahl eingeschränkter ist. Das Grundprinzip ist aber identisch.
Das mit der Gültigkeit funktioniert glaube ich anders, aber da bin ich nicht mehr so tief drinn, dass ich das noch weiß.
Ich kann nur sagen, dass jetzt eine englischsprachige Version raus kommt und die TAN bei der Nutzung der englischen Texte/Schablonen anders ist, als bei den deutschen Texten/Schablonen, da die Texte selbe mit in die Berechnung der TAN einfließen. Das Thema ist durchaus komplex was die Zusammenhänge angeht, damit allerdings die eigentlichen Leser simpel gehalten werden können.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 04 / 2012
Betreff:

Re: TAN=TAN=TAN?

 · 
Gepostet: 08.12.2020 - 15:00 Uhr  ·  #9
eine Gültigkeit ist in der TAN oder dem Startcode nicht verankert, nur eine Zufallszahl, die pro Transaktion gewürfelt wird (nnnnn unten). Wir nutzen in der Sparkassenwelt nur die Spezifikationsversion 1.3.2 und daraus nur die Startcodes mit 8xynnnn (und für Auslandszahlungen 9*).
x und y geben dem Leser in allen Variationen vor welche zwei weiteren Werte er anzeigen/abfragen soll. Die Leser können hier bei nur einige vorprogrammierte Labels anzeigen (Bertrag, IBAN, Kontonummer, Posten...)
Für Aufträge die kein Geld bewegen - grob gesprochen - nutzen wir dabei nur 800nnnnn Startcodes, die man nur eingibt bzw als Zahl bestätigt.
Gewählte Zitate für Mehrfachzitierung:   0