Online Banking mit iTAN

Torsten_Langer · 1. März 2006 um 16:59

Hallo!

Folgendes habe ich gerade auf einer Bankseite gelesen:

iTAN-Verfahren

Beim konventionellen TAN-Verfahren werden Sie bei jeder Auftragserteilung zur Eingabe einer beliebigen TAN aus Ihrer aktuellen TAN-Liste aufgefordert.

Wenn Sie die indizierten TAN (iTAN) nutzen, werden Sie bei der Auftragsannahme nach der TAN an einer bestimmten Position der TAN-Liste gefragt - der Auftrag wird fest mit der erfragten TAN verknüpft. Sie geben nun genau die so indizierte TAN an und schicken den Auftrag ab.

Die feste Zuordnung von Auftrag und TAN macht das Abfangen einer TAN sinnlos, da nur diese Nummer für den ursprünglichen Auftrag verwendet werden kann. Das iTAN-Verfahren ist für Sie kostenlos - einfach in Ihrem Online-Banking unter dem Navigationspunkt „Sicherheit/PIN/TAN“ aktivieren.

Ist das jetzt der „Stein der Weisen“ oder läßt sich auch dieses System einfach umgehen?

Gruß, Torsten

C_Punkt · 1. März 2006 um 17:28

Hallo,

Ist das jetzt der „Stein der Weisen“ oder läßt sich auch
dieses System einfach umgehen?

eher nicht, wenn man nicht die ganze TAN-Liste hat. Wenn der böse Bube versucht, die erbeutete TAN bei der Bank unterzubringen, wird er Pech haben, denn es wird solange die gleiche TAN verlangt, bis diese eingegeben worden ist. Hundert mal bei der Bank Aufträge in der Hoffnung zu starten, die erbeutete Nummer werde auch irgendwann verlangt, bringt nichts, wenn man nicht gerade durch großen Zufall die Nummer erbeutet hat, die als nächstes gefragt wird - oder aber man probiert die erbeutete TAN täglich aus und hofft, daß der Kunde munter Aufträge tätigt, so daß die erbeutete Nummer dann doch irgendwann paßt.

Gruß,
Christian

wodi_707569 · 1. März 2006 um 18:56

Hi,

ich würde das Ganze mit einem Chipkartenleser der Sicherheitsstufe 2 oder 3 machen. Frag mal bei deiner Bank nach den Konditionen.

Viele Grüße
WoDi

Moritz_fe1b4f · 1. März 2006 um 19:12

Hallo,

Ist das jetzt der „Stein der Weisen“ oder läßt sich auch
dieses System einfach umgehen?

Es gab schon vor der ersten Anwendung einen Man-in-the-Middle-Exploit, der ungefähr so funktioniert: Die Bank fragt dich nach der indizierten TAN, du gibst sie ein, schickst sie aber (unbemerkt) an den Angreifer, der damit eine beliebige Überweisung tätigen kann.

Grüße,
Moritz