Ein Fall für den Verbraucherschutz!

Meine eine Bank bietet nwv. iTan an.
Bin froh darüber.

Der Marktführer Sparkasse bietet dieses Verfahren nicht mehr an.
Dafür smstan und chipTan.
Vorteil Sms: die kostet “nur“ 9cent pro Buchung durch die Sms mehr.
Wäre bei mir billiger gekommen als das chipTan Gerät. Dieses hat mir 10€ gekostet.
Ich hoffe es hält auch so lang wie das Papier, auf welchem die iTan stehen *ggg*
Die Rezensionen versprechen aber etwas anderes...

Benutzer trollator schrieb:

Da stellt sich auch die Frage. Wenn schon Zwangs-Chip-TAN, warum dann nicht wenigstens mal ein anstänidges Gerät, zumal man die ja eh schön selbst zahlen darf.

Benutzer jackieoh schrieb:
>

Ich halte derzeit iTAN, ChipTAN, PushTAN und das Verfahren von Number26 für sehr sicher. ChipTAN und PushTAN ist dabei aber sehr unkonfortabel.

wer iTAN für sicherer hält als mTAN oder ChipTAN hat von IT Sicherheit keine Ahung. Ihr solltet lieber onlineBanking deaktiveren, zum Schutz der anderen!

iTAN ist gegen Man-In-The-Middle in keinsterweise geschützt! Es reicht ein simpler Trojaner auf deinem PC um dir dein Geld zu klauen! Und ich garantiere dir, du wirst es erst merken wenn es zu spät ist! Wie kann man sowas für sicher halten und nutzen???

mehr Infos und ein Vergleich: http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/Online-Banking.shtml

mTAN ist zwar auch nicht 100% sicher, aber durch die zwei Kanäle nicht ganz so einfach zu hacken.

bei ChipTAN gibt es noch keine Betrugsfälle. Wieso also nutzen noch welche iTAN???


Benutzer jackieoh schrieb:

Benutzer jackieoh schrieb:
t, verstehe ich ... ncoh weniger warum iTAN schon bei

Weil bei iTAN keinerlei Verknüpfung zum Betrag und zum Empfängerkonto herrscht. Wenn ein Trojaner sich in Deine iTan Verbindung hackt, kann er beliebiges Geld auf ein beliebiges Konto überweisen.

Im Gegensatz zum ChipTAN Verfahren wo beides einfließt. Mich wundert allerdings, dass der ChipTAN Chip noch nicht geknackt wurde. Die Geräte sind schließlich schon einige Jahre auf dem Markt.

Benutzer fanlog schrieb:

Ganz einfach:
Dazu müßtest du erst mal die Verschlüsselung der Chips auf den für die TAN-Generierung verwendeten EC-Karten knacken.
Wenn du das schaffst, dann kannst du aber wohl leichter und schneller viel mehr Geld lukrieren, weil dann das ganze EMV-Verschlüsselungssystem für Zahlungsterminals und Geldautomaten kompromittiert wäre und du dann Zahlungskarten wieder (fast) so einfach kopieren könntest, wie bei der steinzeitlichen Magnetstreifentechnik.

Benutzer jackieoh schrieb:

Was soll dein "verbessertes iTAN-Verfahren" bitte genau sein?
Die grundsätzlichen Schwachstellen von iTAN sind bekanntlich:

-) Daß du nur deine angezeigten Transaktionsdaten am Bildschirm ohne Kontrollmöglichkeit, was tatsächlich bei der Bank angekommen ist, hast, welche du dann mit der angeforderten iTAN freigeben sollst/mußt.

-) Unkomfortabel, wenn du nicht Onlinebanking ausschließlich an einem einzigen Standort durchführst, da du hiezu deine iTAN-Liste mitnehmen (oder kopieren) mußt.

-) Nicht DAU-sicher, weil trotz immer noch genügend Leute Phishern bereitwillig zig/alle TANs in ein eingeblendetes Formular eintragen oder eine Kopie "an die Bank zur Kontrolle" hochladen.


Eben deshalb werden iTAN bei vielen Banken inzwischen nicht mehr verwenden.
mTANs haben nun mal neben dem Komfort, von überall aus ohne kopierte/mitgeführte TAN-Liste Onlinebanking machen zu können, den großen Sicherheitsvorteil, daß hier der Kunde einerseits die genauen Daten (insbes. IBAN + Betrag) zu seiner Transaktion, wie sie bei der Bank eingegangen sind, vor der Freigabe angezeigt bekommt und so erkennen kann, wenn sein PC nicht mehr "sauber" ist.
Das ist eben der große Vorteil eines zweiten, unabhängigen Übertragungskanals.
Wenn allerdings das Onlinebanking am Smartphone, mit dem auch die mTANs empfangen werden, durchgeführt wird, dann gibt es nur mehr einen einzigen Übertragungskanal und wird das Verfahren wieder angreifbar.
Bei richtiger Verwendung wären mTANs DAU-sicher, allerdings sind beim Empfang auf Smartphones Phishing-Angriffe mit angeblichen "Sicherheitszertifikaten" oder "SSL-Erweiterungen" möglich, welche dann die eingehenden SMS filtern und weiterleiten, wenn der naive Kunde dazu die Sicherheitseinstellung am Smartphone trotz Warnung deaktiviert.

Bei den aktuellen Mißbrauchsfällen geht es hingegen um Sicherheitslücken bzw. grobe Fahrlässigkeit bei Mobilfunkanbietern, wo de facto für jeden Kunden ohne ausreichende Prüfung und zwingenden Versand an die hinterlegte Kundenadresse neue bzw. zusätzliche SIM-Karten aktiviert werden konnten und es im aktuellsten Fall dazu sogar möglich war, sich als angeblicher Händler auszugeben.