Ich persönlich stelle mir erst einmal die Frage, ist es bewiesen, dass mehrere Tans für eine Transaktion generiert werden können?
Hast du es ausprobiert oder eine verlässliche Quelle?
Ich wäre jetzt nämlich davon ausgegangen, dass für eine Überweisung (gleiche KN, gleicher Betrag, gleicher Zeitstempel/Salt...) nur eine einzige Tan generierbar und somit gültig ist. Somit würde bei zwei aufeinanderfolgenden Tangenerierungen mit dem selben Flickercode die gleiche Tan entstehen.
So hätte ich so ein Verfahren jedenfalls gemacht.
Ist es wirklich so, dass mehrere Tans gültig sind, dann hast du Recht, deine Rechnungen treffen dann zu.
Das setzt allerdings voraus, dass chipTan und iTan gleiche Anzahlen an Symbolen verwenden, es sieht für mich so aus, als wenn in beiden Verfahren auf die Ziffern 0-9 gesetzt wird.
Hat ein Verfahren mehr Symbole (z.B. 0-9 A-Z), ist es mit sehr großer Wahrscheinlichkeit sicherer gegen Rateangriffe, da viel mehr Kombinationen vorhanden sind (36 Symbole ~ über 2 Billionen).
Technisch sehe ich keine Hürde, die verhinderte, dass dieser größere Symbolumfang genutzt werden könnte.
Ich wollte auch noch anführen, dass es ja auch Tan-Listen gibt bzw. gab, von denen man eine beliebige nutzen konnte, also je nach Anzahl der unverbrauchten Tans durchschnittlich 50:1000000 Trefferwahrscheinlichkeit hatte. Hier müsste man die Anzahl der gültigen Tans beim ChipTan-Verfahren kennen.
Aber ich glaube, die werden nirgends mehr eingesetzt, deshalb steht das hier nur der Vollständigkeit halber ;)
Wenn es für jede Transaktion nur eine Tan gibt und der Symbolumfang bei Papier und Chiptan gleich ist, bietet das Verfahren gegen Rateangriffe immernoch keinen besseren Schutz als die Tanliste.
Aber es bietet deutlich mehr Schutz gegen deutlich warscheinlichere Angriffe wie Man-In-The-Middle-Angriffe durch irgendwelche Schadsoftware.
Und die hast du wahrscheinlich sowieso drauf, wenn du dir deine Bankdaten durch Phishing hättest stehlen lassen.
Ele
