Guten Tag,

ich habe alle Anleitungen des Hibiscus-Supports und dieses Forums, die ich finden konnte, für die Aktivierung des zweistufigen PIN/TAN-Verfahrens in Hibiscus ausprobiert.
Es wird weiterhin bei Überweisungen gefragt: Geben Sie eine TAN ein (also einstufiges Verfahren).

Mit der DKB-Bank hat es von Anfang an problemlos funktioniert.

Kennt jemand das Problem und hat es evtl. auch gelöst?

Vielen Dank,
Thomas

Hallo,

über HBCI kann die Deutsche Bank nur das alte einstufige TAN-Verfahren. Das iTAN-Verfahren wird von der Deutschen Bank nur über deren Webseiten unterstützt. Das betrifft alle Finanzprogramme und nicht nur Hibiscus.

LOL das führt iTAN ja nochmehr adabsurdum.
Braucht der Phisher also nur ein Offlinebanking Prog statt der Webseite zu verwenden um eine beliebige gephishte TAN zu verwenden.
Da hat bei der DeuBa ja richtig einer mitgedacht.

Ich denke aus diesem Grund muss man bei der Deutschen Bank den HBCI Zugang immer erst explizit frei schalten lassen. Standardmäßig ist HBCI für die Benutzer dort gesperrt.

Wenn man also nur Web-Banking macht ist man schon auf der sicheren Seite. Sobald man sich aber für HBCI frei schalten lässt kann man das iTAN auch vergessen.

Nein, wenn man eine beliebige TAN angibt wird die Transaktion abgelehnt. Vermutlich läuft im Hintergrund das iTAN-Verfahren, der HBCI-Server der DB generiert nur keinen korrekten Challenge-Request der zweiten Stufe.

Thomas

Dann würde ja Pin/Tan per HBCI bei der DeuBa gar nicht funktionieren.
Woher weiß der User dann welche TAN er eingeben soll ?

Hallo,

das funktioniert schon. Ich habe viele Kunden die das machen. Der User kann bei der DeuBa in HBCI eine beliebige *freie* TAN eingeben. Ein Problem hat man nur, wenn man sich nicht die Mühe gemacht hatte die im Web verbrauchten iTANs auch abzustreichen. Dann weiß man nämlich nicht mehr, welche TANs denn noch frei sind.

Nein es läuft im HBCI- Kanal nur im ein-Schrittverfahren, man kann jede beliebige TAN- Nr. nehmen.

Wenn ich es richtig im Hinterkopf hab, geht iTAN erst ab HBCI 3.0, in der aktuellen 2.2er dürfte somit die Ursache zu finden sein.

Tschau
Majo

Sieh an, dann ist es vermutlich immer deswegen fehlgeschlagen.

Danke für den Tipp.

Thomas

Hi Majo

Offiziell -fast- richtig. Die PIN TAN Verfahren sind erst mit FinTS 3.0 (HBCI 3.0 ist der Zweig der Spezifikation der die Absicherung mit Signaturen meint) Bestandteil der Spezifikation.
Pin\TAN ist aber auch unter HBCI 2.20 möglich, als proprietäre Erweiterung der proprietären PIN\TAN Erweiterung zu HBCI 2.2
(So wie es von den meisten Banken verwendet wird)

Gruß

Holger

Hi,

aber das Problem hat man mit normalen TANs ja auch.
Ergo funktioniert eine beliebige (gephishte TAN) die noch nicht verwendet wurde via HBCI.