Hallo,
A. ein absolut blickdichter, aber vom geübten Auge als
TAN-Listensendung zu erkennender Brief
B. ein normaler Brief, der aussieht wie jede andere
(Werbe)Sendung dieser Bank, bei dem unter Umständen durch
Gegen-das-Licht-Halten die eine oder andere TAN zu erahnen ist
wenn eine tanliste verloren geht, bestellt man eben eine neue. Wenn man erkennt, daß sie jemand anders geöffnet hat, auch. Wenn man das gar nicht erkennen kann, benutzt man sie. Und wenn jemand z.B. per Phishing oder Mitlauschen der Verbindung die übrigen Anmeldedaten bekommen hat, macht er mal eine kleine Überweisung.
Das notwendige Aktivieren der Liste ist nur dann ein Schutz, wenn die Liste geklaut wurde oder man das Mitlesen erkennen kann, sonst kann man sich das sparen.
Was soll denn jemand mit den TANs machen? Wer eine
ungebrauchte TAN-Liste missbrauchen will, braucht ja
folgendes:
…
Was soll denn jemand mit einer EC-Karte anfangen, ere braucht ja noch die Geheimnummer. Wozu bruacht man überhaupt Tans, wenn man doch ohne Zugangsdaten gar nichts damit machen kann?
Klar ist das Gürtel und Hosenträger gleichzeitig. Aber die Praxis zeigt eben, daß es sich hier lohnt.
Da wurde von einigen neuen Konzepten berichtet, die die Sache
sicherer machen sollen.
Unter anderem sollen die Benutzer
Zeiten festlegen können, zu denen Zugriff möglich ist.
Toll. Und was ist dadurch sicherer? Haben Hacker tagsüber keine Zeit für sowas?
Weiterhin gibt es ein System, welches jedem Vorgang eine
bestimmte TAN zuordnet (die TANs sind dann durchnummeriert).
Da wird dann für eine Überweisung z.B. TAN #25 verlangt, und
es geht dann auch nur mit der, nicht mit irgendeiner.
Was auch nur bedeutet, daß man bei drei bekannten Tans einer Hunderterliste im Durchschnitt 33 Versuche benötigt, wo vorher einer reichte. Ist aber nur eine kleine Schwelle.
Btw., bei einer lesbaren Liste kann man die Vornummer der Tan auch lesen.
Btw., eine Vergrößerung der Tans auf acht Stellen wäre die Sicherheit genauso gewachsen.
Btw., mit einer Karte und entsprechendem Lesegerät wären all diese Klimmzüge gar nicht notwendig. Solange dann nicht die Karte geklaut wird, auf der sich wer die Zugangsdaten notiert hat…
Gruß
Axel