Sicherheit TAN Generator

Question

Hallo,

ich habe seit neustem einen TAN Generator für meine Online Überweisungen. Diese wird ja immer als soooo sicher angepriesen und das die alte TAN Liste total unsicher ist.

Dazu habe ich mal 2 Fragen:
Bei den Betrügerreien mit dem Bankgeschäft, wieviele werden wohl einen "Men in the Middle" Angriff machen und die Überweisungsdaten ändern. Bzw. wie ist das Verhältnis zu denen die sich die Logindaten holen und selber eine Überweisung über das Onlineportal machen!?!
Dazu dann folgende Überlegung bzw. Fragestellung.

Wenn jemand meine Kontonummer und den Pin hat, kann er sich bei mir im Online Banking anmelden und eine beliebiege Überweisung ausfüllen. Wenn dann die Blinkegrafik kommt, an die ich den Tangenerator halten muss, bekomme ich eine TAN generiert, wenn ich das nochmal machen,dann bekomme ich noch eine TAN generiert. Diese haben dann eine bestimmt Gülitgkeit und sind auch beide parralell Gültig!

Wenn jetzt jemand ein TAN rät, dann hatte er bei der alten Liste eine Wahrscheinlichkeit von 1/ 1000000 (Tan nummer von 000000 - 999999). Bei dem neuen Verfahren hat er nun aber eine Wahrscheinlichkeit die richtige Pin zu raten von n/1000000. Wobei n min. 3 ist, aber maximal so gross, wie man Pins nacheinander erzeugen kann.

Somit ist das Verfahren mit dem Tan Generator doch unsicherer als das alte mit der TAN Liste, sofern man davon ausgeht, dass sich der Bösewicht in mein Account gehackt hat und die TANs erraten möchte.....

Oder mache ich da irgednwo einen Denkfehler?
Gruss
Ebayuser

Answer 1

ohne Dein Karte, kann er kein TAN erzeugen.

Gruß Hajo

Answer 2

Da man den Tan Generator nur an den Bildschim hält und der Bank Rechner nicht weiss, wieviele Tans ich generiere, müssen eine gewisse Anzahl von Tans gültig sein.
Somit kann ich diese auch versuchen zu erraten.

Und wenn man diese errät und mehr Tans als bei der TAN Liste gültig sind, dann ist in diesem Fall das Verfahren unsicherer.

Answer 3

Hallo ebayuser,

die TAN-Nr. wird aus angezeigtem Code, dem Überweisungsbetrag und der Empfänger-Konto-Nr. nach einem bestimmten Algorithmus generiert und ist nur für diese eine Überweisung gültig. Es geht also nicht um eine beliebige Nummer aus einer Liste, welch hier nur erraten werden muss.

Eine Überweisung in einer verschlüsselten Verbindung zu manipulieren dürfte schon nicht so ganz einfach sein, dann aber auch noch eine zu dieser manipulierten Überweisung passende TAN zu ermitteln, ist eigentlich fast schon ein Ding der Unmöglichkeit.

Gruß
Kalle

Answer 4

Hallo,

Es geht mir bei der Anfrage speziell um den Fall, dass der böse Bube meine Kontonummer und den Pin erbeutet hat!!!!

Dann kann er eine beliebige Überweisung in Auftrag geben.

Bei der TAN Liste war es so, dass er genau eine TAN treffen musste. (Die er nicht kennt!)
Beim TAN Generator ist es so, dass er eine TAN von mehrer treffen muss (Wenn ich den TAN Generator mehrmal an die Grafik halte, so bekomme ich verschiedene TANs, welche alle für eine bestimmte Zeit gültig sind).

Answer 5

Soo, ebayuser, wenn du das machst, bist du gelinde gesagt, b.......!!! Das Teil ist zum Benutzen und zum richtigen Handhaben vorgesehen und nicht zu irgendwelchen Spielereien. Übrigens nehme ich das Bankingprogramm von T-Online, da brauche ich nichts irndwo und irgendwie an den Monitor halten.

Answer 6

Hallo Ebayuser,

die Sache mit dem TAN-Generator funktioniert wiederum nur, wenn in diesem Teil eine für das chipTAN-Verfahren zugelassene Karte steckt und diese muss ja vorher erst mit dem entsprechenden Konto synchronisiert sein, damit sie registriert und für Überweisungen akzeptiert wird.

Was deinen PIN zur Anmeldung am Online-Banking angeht, den kann man normalerweise jederzeit ändern. Dazu wird aber wiederum eine TAN benötigt und ob da auch der TAN-Generator zum Einsatz kommt oder dir die TAN dafür z.B. per SMS auf eine vorher hinterlegte Handy-Nummer zugeschickt wird, kann ich dir leider nicht sagen. Das lässt sich aber bestimmt über die Hilfe in deinem Banking-Account in Erfahrung bringen.

Gruß
Kalle

Answer 7

die Sache mit dem TAN-Generator funktioniert wiederum nur, wenn in diesem Teil eine für das chipTAN-Verfahren zugelassene Karte steckt...

Wie schon gesagt, geht es um die Wahrscheinlichkeit, dass der TAN erraten wird, wenn KN und Pin vorhanden sind. Und diese ist nunmal entsprechend höher, wenn man mehr als eine TAN als gültig akzeptiert.

Ob ich nun ausprobiert habe, ob das geht oder nicht, ist für das Verfahren unwichtig! Der Bank Rechner weiss nicht, wieviele TANs ich erzeugt habe, da der TAN Generator keine Rückmeldung an die Bank gibt, sondern nur die TANs ausgibt, die manuell abgelesen wird.

Answer 8

Meinung Meinung nach ist die Chance des Hackers, eine gültige TAN zu erwischen, vernachlässigbar gering.

Ersteinmal ist die TAN nur für einen kurzen Zeitraum gültig und zweitens wird es wohl hoffentlich bei jeder Bank so sein, dass nach dreimaliger Falscheingabe das Konto bzw. das Online-Banking gesperrt wird.

Deswegen glaube ich nicht an eine reelle Chance, per Zufallseingabe mit 3 Versuchen die korrekte TAN zu treffen.

Answer 9

Eine TAN ist in der Regel 6 Ziffern lang. Demnach ist die Wahrscheinlichkeit, dir richtige TAN zu treffen, ganz genau 1 zu einer Million!

Außerdem werden die Daten verschlüsselt übertragen, und diese in der zur Verfügung stehenden Zeit zu knacken ist selbst bei 128Bit seeehr schwierig.

Wie die TAN generiert wird und welche Angriffsmöglichkeiten bestehen

de.wikipedia.org/wiki/Transaktionsnummer

Answer 10

Außerdem werden die Daten verschlüsselt übertragen, und diese in der zur Verfügung stehenden Zeit zu knacken ist selbst bei 128Bit seeehr schwierig.

Wie oben schon betohnt, gehe ich davon aus, das KN und Pin z.B. durch eine Phishingattake erbeutet wurden! Somit kann eine beliebige Überweisung angetriggert werden! Somit ist oben zitierte Aussage irrelevant.

Meinung Meinung nach ist die Chance des Hackers, eine gültige TAN zu erwischen, vernachlässigbar gering.

Das ist sicherlich korrekt. Aber wenn ich mehrer TAN zur Auswahl habe, dann ist die Wahrscheinlichkeit grösser (um den Faktor, wieviel TANs zur Verfügung stehen), im Gegensatz zu dem Fall, dass nur eine TAN zur Verfügugn steht.