chipTAN comfort

151kg · 10. November 2019 um 21:16

Hallo,

kennt jemand das chipTAN comfort Verfahren.
Auf den ersten Blick denke ich, dass es unsicherer ist, als das alten Papier TAN Verfahren.

Pro chipTAN comfort
die eingegebenen Daten werden von der Bank Codiert an das ChipTan Gerät übertragen -> Keine Man in the Middle Attake möglich, da diese angezeigt wird.
kein Papier mehr -> Weniger Bäume, mehr Gewinn bei den Banken

Contra:
Meine Bankkarte (bzw. die Daten) kann jeder klauen, bei dem ich damit einkaufe, dass heisst es muß „nur“ noch mein PW ausgespäht werden
-> diesen „Diebstahl“ bekomme ich erst am Kontoauszug mit, wenn meine TAN Liste fehlt, kann ich das sofort merken.

Kann mir jemand sagen, ob ich das soweit richtig sehe, und was ich übersehen habe?

Danke

http://www.cl.cam.ac.uk/~sjm217/talks/fc09optimised.pdf

herrmann_59614f · 10. November 2019 um 21:17

die eingegebenen Daten werden von der Bank Codiert an das
ChipTan Gerät übertragen -> Keine Man in the Middle Attake
möglich, da diese angezeigt wird.

Ein auf dem Rechner installierter Trojaner könnte immer noch direkt zwischen Anwendung und Bildschirm sitzen und andere Daten an die Bank schicken, als auf den Monitor. Dies läßt sich überprüfen, wenn der TAN-Generator selbst über ein Display verfügt und dort die für das generieren der TAN relevanten Daten dupliziert.

Meine Bankkarte (bzw. die Daten) kann jeder klauen, bei dem
ich damit einkaufe, dass heisst es muß „nur“ noch mein PW
ausgespäht werden

Wenn der geheime Schlüssel auf der Bankkarte sitzt, und diese nicht zusätzlich auf einen bestimmten Kartenleser synchronisiert ist, ist die Sicherheit dieses Verfahrens in der Tat ausschließlich von der Qualität der Schutzmaßnahmen auf der Karte selbst abhängig.

Gruß

151kg · 10. November 2019 um 21:18

Display verfügt und dort die für das generieren der TAN
relevanten Daten dupliziert.

Wenn ich es richtig verstanden habe, wird die Zielkontonummer und der Betrag nochmals angezeigt, wäre also gegeben.
Es sei denn, die BLZ würde geändert werden… Wie groß dann der Zufall sein muß, dass es passt, weis ich aber nicht.

Meine Bankkarte (bzw. die Daten) kann jeder klauen, bei dem
ich damit einkaufe, dass heisst es muß „nur“ noch mein PW
ausgespäht werden

Wenn der geheime Schlüssel auf der Bankkarte sitzt, und diese
nicht zusätzlich auf einen bestimmten Kartenleser
synchronisiert ist, ist die Sicherheit dieses Verfahrens in
der Tat ausschließlich von der Qualität der Schutzmaßnahmen
auf der Karte selbst abhängig.

Würdest Du das gesammtsystem als sicherer oder unsicherer als die TAN Listen beurteilen?
Ich bin vor Trojanern geschütz, aber die Karte kann kopiert werden

Was ist schlimmer?

herrmann_59614f · 10. November 2019 um 21:19

Würdest Du das gesammtsystem als sicherer oder unsicherer als
die TAN Listen beurteilen?

Ich glaube, dass du die falsche Frage stellst. Das Gesamtsystem dürfte sicherer sein, aber der Vorteil liegt allein auf Seite der Bank. Gelingt es einem dritten, deine Karte zu kopieren, hast du nicht mehr den geringsten Ansatz, der Bank einen Fehler nachzuweisen.

In einem der überaus spärlichen whitepapers zu diesem Thema habe ich die Aussage gefunden, dass das Sicherheitskonzept bei chipTAN und Konsorten geschlossen auf Bankseite liegt - was insgesamt zu begrüßen wäre, wärest du nicht als Kunde auf Gedeih und Verderb nicht nur auf die saubere Implementierung auf Bankseite (mit anderen Worten: auf ein tiefschwarzes Hochweiss) angewiesen und würdest du nicht jede eigene Kontrolle aus der Hand geben.

HBCI

tcspenser · 10. November 2019 um 22:15

Hallo,

chipTAN kann als das im Moment sicherste Verfahren im Online-Banking angesehen werden.

In die TAN-Berechnung fließen ein Start-Code, 2 Auftragswerte (bei einer Überweisung = Empfängerkontonummer und Betrag) und der ATC (TAN-Zähler) mit ein. Die TAN kann also nur mit der Überweisung funktionieren, die die Grundlage für die Berechnung war.

Die comfort-Variante erleichtet das Ganze für den Benutzer, da keine Doppelerfassung notwendig ist. Allerdings kann auch die „Leichtfertige“, der die im Display angezeigten Daten nicht auf ihre Richtigkeit überprüft, übers Ohr gehauen werden.
Wer also 100 Euro überweisen möchte und mit dem Gerät 10.000 Euro bestätigt, dem ist dann aber auch nicht mehr zu helfen.

Bezüglich der Sicherheit muß man die Sache aber mal etwas genauer betrachten.
Die Funktionalität zur Erzeugung der TAN-Nummer befindet sich auf dem Chip der Karte.
Der Chip hat ein Sicherheits-Betriebssystem (Seccos). Das kopieren des Chips ist (Stand heute) nicht möglich!

Die TAN-Generator-Funktion auf dem Chip ist nicht nochmal mit einem Passwort zusätzlich abgesichert -> dafür hat man die PIN beim Login im Online-Banking.

Wg. der „Bösen-Buben“ sollte man wissen, dass die Schadensfälle nicht durch geklaute TAN-Listen (oder jetzt neu ec-karten) entstehen, sondern durch Datenklau per Trojaner. Dem schiebt das chipTAN-Verfahren jetzt einen Riegel vor.

Ein weiterer Vorteil ist der, dass man mit der Sperre seiner geklauten ec-karte auch automatisch sein Online-Banking sperrt.

Dem Kartendieb sollte eigentlich die Online-Banking-PIN nicht bekannt sein.
Wenn man diese auf der Karte vermerkt hat, dann ist einem auch wirklich nicht mehr zu helfen.

Olé