Benutzer jackieoh schrieb:
Fast alle neuartigen TAN-Verfahren haben Mängel, die.....nicht bei der verbesserten TAN-Liste, dem iTAN-Verfahren, auftreten.
Was soll dein "verbessertes iTAN-Verfahren" bitte genau sein?
Die grundsätzlichen Schwachstellen von iTAN sind bekanntlich:
-) Daß du nur deine angezeigten Transaktionsdaten am Bildschirm ohne Kontrollmöglichkeit, was tatsächlich bei der Bank angekommen ist, hast, welche du dann mit der angeforderten iTAN freigeben sollst/mußt.
-) Unkomfortabel, wenn du nicht Onlinebanking ausschließlich an einem einzigen Standort durchführst, da du hiezu deine iTAN-Liste mitnehmen (oder kopieren) mußt.
-) Nicht DAU-sicher, weil trotz immer noch genügend Leute Phishern bereitwillig zig/alle TANs in ein eingeblendetes Formular eintragen oder eine Kopie "an die Bank zur Kontrolle" hochladen.
warum mTAN überhaupt noch angeboten wird und ncoh weniger warum iTAN schon bei vielen Banken abgestellt wurde.
Eben deshalb werden iTAN bei vielen Banken inzwischen nicht mehr verwenden.
mTANs haben nun mal neben dem Komfort, von überall aus ohne kopierte/mitgeführte TAN-Liste Onlinebanking machen zu können, den großen Sicherheitsvorteil, daß hier der Kunde einerseits die genauen Daten (insbes. IBAN + Betrag) zu seiner Transaktion, wie sie bei der Bank eingegangen sind, vor der Freigabe angezeigt bekommt und so erkennen kann, wenn sein PC nicht mehr "sauber" ist.
Das ist eben der große Vorteil eines zweiten, unabhängigen Übertragungskanals.
Wenn allerdings das Onlinebanking am Smartphone, mit dem auch die mTANs empfangen werden, durchgeführt wird, dann gibt es nur mehr einen einzigen Übertragungskanal und wird das Verfahren wieder angreifbar.
Bei richtiger Verwendung wären mTANs DAU-sicher, allerdings sind beim Empfang auf Smartphones Phishing-Angriffe mit angeblichen "Sicherheitszertifikaten" oder "SSL-Erweiterungen" möglich, welche dann die eingehenden SMS filtern und weiterleiten, wenn der naive Kunde dazu die Sicherheitseinstellung am Smartphone trotz Warnung deaktiviert.
Bei den aktuellen Mißbrauchsfällen geht es hingegen um Sicherheitslücken bzw. grobe Fahrlässigkeit bei Mobilfunkanbietern, wo de facto für jeden Kunden ohne ausreichende Prüfung und zwingenden Versand an die hinterlegte Kundenadresse neue bzw. zusätzliche SIM-Karten aktiviert werden konnten und es im aktuellsten Fall dazu sogar möglich war, sich als angeblicher Händler auszugeben.