Hallo,

erfolgt im iTAN-Verfahren eine Verknüpfung der TAN mit den Auftragsdaten? Wenn ja, wie?

Viele Grüße

Matthias

Hallo Matthias,

es kann eine Verknüpfung erfolgen.
In FinTS gibt es hierzu aus Anwendersicht zwei Varianten:
1. Ein Hashwert des Auftrags und einige Auftragdetails werden zuerst an die Bank gesendet.
2. Es wird der komplette Auftrag zuerst an die Bank gesendet

Wie dann im Hintergrundsystem die Verknüpfung erfolgt ist abhängig von der Architektur des Systems.

Gruß

Das kann man jetzt sehen, wie man will. I-Tan ist ein Zwischrittverfahren. Dabei wird zuerst der Auftrag ans RZ gesendet. (1. Schritt). Dann wrid für diesen Auftrag (also schon eine Verknüpfung) z.B. Tan Nr. 87 gefordert. User gibt Tan. 12 ein (2. Schritt) und Auftag wird abgelehnt....

Wenn du die Frage auf MITM beziehst, hier bringt iTan nix. Wenn der Auftrag schon beiim senden manipuliert ist, wird das dem User nicht angezeigt werden. Diese Probelmatik ist hier und anderswo schon mehr als ausreichend diskutiert worden. iTan (genauso wie alle anderen Sicherungsverfahren) ist nicht das ultimative Optimum (dann gäbs ja auch nur das eine). iTAN soll einfach die Leute, die Tans in Forms tasten ein wenig vor sich selbst schützen. Alles andere sind Marketingsprüche.

CU

Frank