Bieten Sparkassen bereits Smart TAN an ?

Tag,
wird bei den Sparkassen bereits Smart TAN angeboten ?
oder
befindet sich Smart TAN dort in der Entwicklung ?
oder
wird Smart TAN von den Sparkasssen gar nicht entwickelt ?
Vielen Dank für ein bischen INPUT.
fujitsu

Wird wohl bei der SFit nicht anders gesehen, denn nur vom Papier wegkommen ist zu wenig um Smart-Tan einzuführen, dann bitte noch ein Sicherheitsplus durch Zweischrittverfahren wie bei mTan(IZB) oder Identifier (ABN Ambro)

Ich denke es ist allen klar, dass es lediglich ein zusätzlicher Zeitfaktor ist, wer es als zusätzliche Sicherheit verkaufen will ok, aber sollten ja alle wissen, dass es kein Problem darstellt, Daten schnell zu Gold zu machen...

Vielleicht wird es zur Zeit von den Phishern noch nicht so praktiziert, aber was sagst du einem Kunden, dem du das so als zusätzliche Sicherheit verkauft hast und wenn morgen in Echtzeit gephisht wird?

Mal ein Nachtrag zum Thema Sicherheit:

Die indizierte TAN Liste bietet sogar gegenüber der Smart-TAN gehörige Vorteile, von daher denke ICH Stand heute nicht, das die Smart-TAN bei uns je kommen wird. Das wäre vom Betrachtungswinkel Sicherheit her eher ein Rückschritt.

Gründe:
-TAN verfällt ungenutzt nach Anforderung des Indexes in 7 Minuten (Leerverbrauch)
-Indizierte TAN ist nur innerhalb der aufgerufenen Browser-Session gültig, bei Beendigung der Session oder Abbruch der TAN Eingabe wird sie ebenfalls leer verbraucht, bei Nutzung in einer anderen Session wäre es ein Fehlversuch, da ja ein anderer Index angefordert werden würde
-Mehrfachanforderungen eines Indexes führen nach drei Versuchen zur (Index-) Sperre (neu) des Kunden

=> Phishing ist mit Index-TAN ziemlich unmöglich

Dann Frage ich mich allerdings warum es nicht gemacht wird. Sicherlich stehen Kostenaspekte dahinter, die bei papiergebunden Listen so nicht auftreten.

Sicher kann man den TAN-Generator nicht kopieren, so wie das bei Papier möglich ist. Dafür kann man die Karte einfacher klauen (Portemonaie) als die Liste, die sicherlich seltener "am Mann" geführt wird.
Aber eine generierte und erphiste TAN kann zumindest solange missbraucht werden, wie keine nachfolgende durch den Kunden selber eingesetzt wird. Das ist beim Index-Verfahren nicht mehr möglich. Dafür ist das System aber auch unbequemer.

Hallo Stoney,

sorry, aber eine indizierte TAN gibt es aktuell auch nicht! Also wenn also vom Vorteil der indizierten TAN gesprochen wird, ist dies auch ganz deutlich mit einem Smart TAN möglich! Und beim Vergleich der Systeme Stand heute ist SmartTAN ganz klar sicherer als ein Papier Tanbogen.

Die mTAN halte ich mal aussen vor, da Sie zwar durch die Zwei Wege Autorisierung deutlich sicherer als die Papier TAN ist, aber Aufgrund der praktischen Nutzung und der verbundenen Kosten wohl eher eine Rand Lösung.

Gruß

Holger

Es hat aber nicht jeder ein Java Händie, und selbst wenn: Wer kann ihm/ihr die Software installieren (Wap / GRPS konfigurieren, Bluetooth, IR usw..) und die Bedienung erklären?
Für Tanja Musterfrau und Fritz Senior sowie Dennis Junior ist das nix. Ein Zweischrittverfahren bringt nur was, wenn es jeder nutzem kann, bzw. ist gerde da notwendig wo eben nicht soviel Wissen vorhanden ist!

Die Schnittmenge aus den Kunden die ohne Probleme ihr GRPS konfigurieren oder das Java Progrämmchen via BT aus Mobile schieben sind andereseite jede eMail ungelesen öffnen bzw. in schlechtem Deutsch verfasste TAN-Eingabe HTML-Vergewaltigungen ausfüllen dürfte recht klein sein.

Das mit der Hardware erledigt sich ja kurzfristig von alleine...



Das man z.Z. mTan als alleiniges Sicherheitsmedium nicht anbieten kann, ist schon klar, aber wenn man indizierte TAN-Liste und mTan anbieten könnte, hat man alles abgedeckt. Optimal wären dann natürlich für Kunden die kein entsprechendes Handy haben, ein TAN-Generator der genauso funktioniert, um denen auch eine papierlose Möglichkeit zu geben.

Aber wie schon gesagt, jedes Verfahren repräsentiert eine grobe Richtung, eben folgende 5:

papierhaft ein-Schritt -> normale TAN-Liste
papierhaft 2-Schritt -> indizierte TAN-Liste
papierlos ein-Schritt -> SmartTan
papierlos 2-Schritt -> mTan
papierlos 2-Schritt/2-Weg -> mobile TAN

Meiner Meinung nach kann man nicht nur papierlos anbieten, sollte auf der anderen Seite aber die 2-Weg Verfahren ermöglichen. Papierlose Lösungen sind ein "nice to have", müssen aber nicht zwingend Angeboten werden und wenn sollte der Endkunde die Hardwarekosten tragen. Daher ist mTan eine elegante Lösung, natürlich kann man den Generator auch mit einer extra Hardware realisieren.



Ok, dann müssen wir noch 2-Weg und 2-Schritt Verfahren unterscheiden... Es geht doch auch nicht gegen hardwarebasierende TanGeneratoren, sondern lediglich darum, dass der jetzige Smart-TAN keinen Sicherheitsgewinn gegenüber der normalen TAN-Liste bringt. Bei beiden Verfahren kann ich mit Email-Phishing erfolgreich sein, mit der indizierten TAN-Liste ist es nicht möglich.

Der große Unterschied liegt doch in der Gültigkeit der TAN:

Bei dem jetzigen SmartTan ist eine TAN bis zum Verbrauch der nächsten TAN gültig. Verbrauche ich keine weitere TAN, wie lange ist die TAN dann gültig - unbegrenzt? Bei der indizierten TAN-Liste ist, eine TAN immer nur für die jeweilige Session gültig.

Aber in der Ausgangsposition kann man doch nur vergleichen, was habe ich, was gibt es oder ist schon in Planung und diese Dinge kann ich dann gegenüberstellen. Wie soll ich es noch erklären?

Wenn ich nun normale TAN-Liste dem jetzigen SmartTan gegenüberstelle, gibt es für mich keinen Unterschied, da eine TAN erst ungültig ist, wenn eine neu generiert und verbraucht wurde, dass kann unter Umständen gar nicht erfolgen und so sind beide Sicherheitsmedien gleichwertig, die eine papierhaft, die andere papierlos.

Warum, die TAN muß sich doch nur aus einem Hashwert der ÜW, Sessiondaten und Geheimnis errechnen und schon habe ich einen solchen TAN-Generator (siehe mTAN , ob die Hardware nun ein Handy sein muß ist ja was anderes). Natürlich benötigt der TAN-Generator eine Eingabemöglichkeit, aber die Hardware dafür gibt es doch schon.