Sinn und Unsinn von ITAN

Im Zweifelsfall ist der Zettel auf dem Schreibttisch sicherer, denn auf den haben im worst case weniger Zugriff und haben ja auch noch nicht die PIN bzw. Kontonummer, wenn sie nicht gerade am Monitor klebt... Ein Passwortschutz für einen Datentresor ist nicht unbedingt die große Hürde, denn das kann 1. mitgeloggt werden und 2. nach wie vielen Fehlversuchen zerstören sich die Daten von selbst

Der Unsinn deiner Meinung nach ergibt sich ja erst durch den Unsinn iTAN/TAN-Nummern in ein Programm zu hinterlegen... Das solche Bequemlichkeiten zu Lasten der Sicherheit oder des Sicherheitsvorteils gehen sollte jedem klar sein. Wer seine TANs im Programm hinterlegt, kann auch gleich ganz auf TANs verzichten, da diese dann absolut unsinnig sind.

Hallo Wolfgang,

deine Frage im Titel passt eigentlich nicht so ganz zu dem Rest in deinem Posting. Dennoch ein paar eigene Überlegungen:

Was sicherer ist, der Datentresor, oder die Eingabe, ist sehr theoretischer Natur!
Aus meiner Sicht ist beim Speichern der TANs in einem Datentresor der Zeitpunkt der Eingabe der kritische Moment. Wer hier hier angreift, erhält mit einem Schlag alle TANs, die dort eingegeben werden. Abgelegt in dem Datentresor, ist der Schutz wahrscheinlich höher, als bei der normalen Eingabe.

Warum iTAN nicht Speichern:
Relativ einfach! Es gibt kein iTAN Verfahren, sondern ein Zweischrittverfahren (bzw. mehrere), bei der die Software nur die Information weitergibt, was der Anwender tun soll. Dazu übergibt die Bank der Software einen Freitext mit der Anweisung für den Kunden. Dies kann eine Anweisung zur Ermittlung einer iTAN sein, dass kann eine Informa-tion sein, dass die TAN jetzt an die Mobilnummer xyz gesendet wird, das kann eine Anweisung sein, welcher Wert in einem eTAN Leser getippt werden soll, oder wie die TAN bei Sm@rt TAN Plus mit dem Kartenleser zu ermitteln ist oder, oder, oder. Allein bei einer iTAN könnte stehen, nehmen sie die 76. TAN aus Bogen 23 oder nehmen Sie die TAN in Spalte A und Zeile 12 oder nehmen Sie die TAN in Spalte 12 und Zeile A oder nehmen Sie die 3. TAN aus der 5. Spalte von unten abgezählt, oder, oder, oder.

Dies alles in einer Software umzusetzen und dann die Anweisungen für jedes Institut fehlerfrei auszuwerten und automatisch abzuarbeiten ist recht aufwendig und wahrscheinlich nicht unbedingt zielführend! Von der Seite kann ich Wiso sehr gut verstehen! Wenn Du weiter auf PIN/TAN setzt, wirst Du mittelfristig sicherlich nicht mehr darum herum kommen für die Ermittlung der TAN eine eigene Verantwortung zu übernehmen. D.h. der Gang zur Sparkasse bringt Dir nur etwas, wenn Du auf die Chipkarte wechselst und auch da wird Dir die eigene Eingabe (der PIN) nicht erspart bleiben.

Zum Sinn oder Unsinn der iTAN:
Die iTAN hat nur den sinn, den Aufwand für die Angriffe der Phisher zu erschweren (für andere Szenarien natürlich auch, aber hier ist der Schutz nicht im Ansatz so effektiv)
Daran siehst Du aber auch, dass die iTAN nur ein provisorisches Hilfsmittel sein kann, die sicherlich durch andere, effektivere Maßnahmen beizeiten abgelöst werden. Solange PIN und TAN als Absicherung gewählt wird, solltest Du dich daran gewöhnen, dass die Bequemlichkeit (wobei ich persönlich PIN und TAN vom Handling her schon immer als Zumutung empfunden habe) für diese Absicherung mittelfristig nicht mehr erhalten bleiben wird und die PIN/TAN Verfahren immer komplexer werden, nur um irgendwie das ganze vor Angriffen zu schützen.

Gruß

Holger

Hallo Andreas,

sorry, aber die Challange ist und bleibt ein Freitext (mit bis zu 999 Zeichen), der Individuell gestaltet werden kann!

Damit ist der Aufwand aus diesen informationen ggf. einen bankenindividuellen Index für die TAN zu ermitteln durchaus entsprechend hoch. (Das dies kein Hexenwerk ist, ist klar!) Da aber zur individuellen Ausgabe, für die Ermittlung der TAN auch noch eine entsprechende Verwaltung der TANbögen und eine Sicherstellung der entsprechenden Eingabe gehört, sit das ganze Aufwendiger als bei der einfachen TAN und bleibt dennoch fehleranfälliger.

Klar solange die Bank als Challange nur 112 oder Index 17 zurückliefert, ist das ganze noch trivial und die Zuverlässigkeit nur von der Eingabe und Pflege des Anwenders abhängig. Aber wie geschrieben, die Banken sind frei in der Gestaltung der Challange! Der Aufwand der Softwarehersteller fängt dann an, wenn unterschiedliche Indexe verwendet werden und die Challange diverse male zur besseren Verständlichkeit angepasst wird. Machbar aber mit entsprechendem Pflegeaufwand.

Gruß

Holger

Finde ich persönlich gar nicht so unwahrscheinlich... Es gibt doch eine Unmenge von Möglichkeiten und vor allem durch Individualität steigt zusätzlich noch die Sicherheit.

Ansonsten zerstört die Speicherung doch wieder jeden Sinn der iTAN oder auch TAN, also warum immer das machbare realisieren, wenn es zu lasten der Sicherheit geht. Und wer darüber jammert immer seine TAN-Liste "mitschleppen" zu müssen, also den kann ich nun wirklich nicht mehr wirklich ernst nehmen.... 10 Gramm mehr sind nun wirklich nicht der Auslöser für Rückenprobleme

Ich möchte keine technische Diskussion anstoßen, aber das ist nicht der Fall. In den BPD können zwar verschiedene Felder zur Beschreibung des Verfahrens belegt werden (Name des Verfahrens, beschreibender Text, etc.), eindeutiges Element zur Identifikaton des Verfahrens ist aber das Feld "technische Identifikation". Dessen Belegung ist nirgends definiert und den Banken völlig freigestellt. Wenn einige Banken, die das iTAN-Verfahren nutzen, dieses Feld mit "iTan" belegen, so ist das reiner Zufall. Dort könnte ebenso gut "indiz. Tan", "Iiih, Tan" oder "Verfahren 42" stehen.
Eine automatische Identifiaktionsmöglichkeit durch ein Kundenprodukt gibt es nicht. Nur das Ein_Schritt-Verfahren ist sicher an "Sicherheitsfunktion kodiert" = 999 erkennbar, ist aber hier nicht das Thema.


Warum? Da kann und sollte zum besseren Verständnis auch stehen "Bitte geben Sie die 23. TAN ein!"


§7 der Vereinbarungen für den ganzen Onlinekrams...; dieser Testbericht sollte mal getestet werden.

Jepp, es ist immer wieder trauig, wie sogenannte "Fachzeitschriften" berichten. Wahrscheinlich war dann aber wieder auf der nächsten Seite ein Bericht über Phishing und wie unsicher doch Onlinebanking ist Vor allem die unbeantwortete Frage mit dem Sicherheitsvergleich finde ich genial lächerlich...

Hallo,


Die ITAN ist unsinnig. Deshalb kann man sie genausogut speichern. Wenn Du höchste Sicherheit willst, gehe zu der Dir persönlich bekannten Banktante und drücke ihr den unterschriebenen Zettel in die Hand. Die ganze Sicherheitsdiskussion grenzt m.E. schon an Hysterie.

Ich jammere nicht darüber, TAN-Listen mitzuschleppen, weil ich genausogut fünf Stück im geschützten Notizbuch-Bereich meines MobiFons hinterlegen konnte. So handhabe ich es mit den X Zugangsdaten, Passwörtern von Rechnern usw. meiner Kunden, oder soll man ständig einen Aktenordner herumtragen?

Außer eben bei ITAN, weil man da die ganze Liste samt Index eintippen müsste. "Bitte geben Sie TAN Nr. 152 von ihrer Liste ein" - Onlinebanking leichtgemacht. Ich werfe mich weg vor Lachen. Es wird nur noch ein Internetbrowser gebraucht, und die Liste. Die dreißig EUR für das aktuellere Programm hätte ich mir sparen können.

Hrmpf.

Warum ist die iTAN unsinnig? Begründe das doch mal und werfe es nicht nur so in den Raum. Die iTAN hat einige sicherheitsrelavante Vorteile gegenüber der normalen TAN und schließt so einige Angriffsszenarien aus. Wie kann also die iTAN unsinnig sein? Eigentlich nur wenn man sein eigenes Sicherheitsniveau soweit herabsetzt, dass TAN und iTAN beide gar keinen Sinn haben. Der Fall ist eben gegeben, wenn die Daten in einem Programm hinterlegt werden.



Dir scheint Sicherheit ja nicht allzu wichtig zu sein, bin mal gespannt wie du darüber denkst, wenn deine Daten mal mißbraucht werden....



Kannst doch immernoch machen, nur dann eben die ganze Liste. Ob 5 Tans oder 100 iTANs macht von der Sicherheit her ja kein Unterschied und der einmalige Mehraufwand ist ja auch sehr überschaubar.



Der Sinn und Zweck eine Bankingsoftware ist dir scheinbar noch nicht allzu klar, denn der liegt nicht darin Zugangsdaten dort speichern zu können, damit es bequemer ist... Wenn das natürlich für dich der einzige Grund für die Nutzung einer Bankingsoftware war, finde ich dreißig Euro aber ganz schön teuer Hat deine Bankingsoftware wirklich keine Vorteile gegenüber dem Browserbanking?

Hallo,

ich will keinem auf den Schlipz treten.


Haste bedingt recht. Meine Bemerkung bezog sich aber auf Unterschrift i.V.m. einem "Trusted Network" aka "Persönlich bekannt". Die Karte ist völlig unsicher. Letztes WE habe ich mit so einem Ding vom Konto einer anderen Person Geld abgehoben und der Mensch am Schalter hat nicht einmal gezuckt. Leider musste die Kohle zuhause bei der Freundin abgeliefert werden.

Hi,

Wenn es einen Unterschied ausmacht, von welcher Karte man die PIN weiss, ist Dein Einwand völlig gerechtfertigt.