27.2k Aufrufe
Gefragt in Plauderecke von mixmax Experte (2.2k Punkte)
Die Postbank will bis April die ITAN-Liste abschaffen und durch eine Chiptan ersetzen.
weiterhin soll noch die mobiletan nach wie vor gehen.

Ich bin wirklich stinksauer deshalb.
Wenn ich dann noch lese wie die ITAN-Liste von leuten als unsicher eingestuft wird ärgere ich mich noch mehr.
Mein Problem: Ich habe keine Lust mir einen Tangenerator zu kaufen, der zudem wieder ein weiteres Gerät ist bei dem dann wenn man es braucht vermutlich die Batterien leer sind.
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste (welche ich eh nicht unterwegs mitnehmen würde, ich habe es noch nie so eilig mit einer Überweisung gehabt das ich noch bevor ich zu hause bin eine tan brauche)


Also die "alte" tanliste ohne eine durchnummerierung war natürlich etwas dämlich da wohl eine gut 1% oder 0,1% chance bestand eine richtige Tan zu erraten.
Aber die in folgenden Artikel aufgeführten Scenarien das die ITAN unsicher ist möchte ich mal weiter unten etwas auseinander nehmen:
www.ilex-recht.de/2010/phishing-deutsche-bank.html

Zitat:
Warum ist das iTAN-Verfahren heute unsicher?

"Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände."
Also abgesehen davon das ich meine Tanliste nicht mitnehmen würde, ein Chiptan-leser ist ja so viel besser zu tarnen als ein stück papier - und es fällt dem dieb auch nur eine unendlich große tanliste in die Hände... Verliere ich mein Handy das gleiche, die MobileTan ist doch eigentlich das gefundene Fressen bei einem Handy doch mal nähere informationen über dem Besitzer seine Bank einzuholen wenn sich die möglichkeit bietet.

"Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen."
Ja schön - ändert es nun etwas ob ich die Tan von einem Blatt papier abschreibe oder ob ich die von einer SMS lese oder aus einem Gerät, das die ITAN-Liste nun unsicher ist aber in dem Scenaria die Mobiletan sicher ist? nö denn der Angriff wäre genau so sicher erfolgreich.

"Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus."
nun auch hier gilt das gleiche, wenn die Angreiferseite zeitgleich eine andere überweisung tätigt und mit den geforderten Daten von der Bank dann die "fake" überweisung auf dem Bildschirm flimmert ists auch wieder egal wo die Tan herkommt.

Also ich finde eine ITAN-Liste die ich gegebenenfalls einscannen und verschlüsselt auf einem Stick mitnehme immer noch sicherer als ein mobileTan, zumal ich mein Handy entweder nicht pinsperre und bei Kollegen die es tun sehe ich da es ein alltäglicher gebrauchsgegenstand ist die pin so oft eingeben wenn die mir was zeigen wollten, dass ich die von mehreren Kollegen schon daher kenne - hab leider ein sehr gutes Zahlengedächniss.

61 Antworten

0 Punkte
Beantwortet von scip Experte (1.2k Punkte)
Du vergisst hier völlig das man eine Itan für jede Überweisung nutzen kann, während eine MTan an die spezielle Überweisung gebunden ist, für die sie ausgelöst wurde.
Abgesehen davon ist das Gerät eigenständig vom PC, ist dein PC also mit Trojanern etc. befallen, bekommt dieser deine Onlinebankingsoftware / seite , deine Nutzungskennung, dein Passwort und die ITAN gleichzeitig. Während ein bei Mtan du 2 getrennte Geräte hast und somit sich nicht so einfach beides abfangen und lesen lässt.

Zum Thema verlieren: Du kannst ein Handy sofort sperren lassen fürs Mtan verfahren wie eine verlorene EC Karte ... genauso übrigends auch ein verlorener Itan Bogen .. wobei EC Karten und Handys immerhin ne Pin haben im Gegensatz zu nem Stück Papier.
Desweiteren ist es wesentlich einfacher einen PC zu infizieren als ein Handy.

Eine Chipkarte ist immerhin noch mit einem Zertifikat verschlüsselt und braucht in manchen Fällen zusätzlich noch eine Pin, was immerhin sicherer ist als "nur" eine ssl verschlüsselte Textnachricht.

Im Endeffekt hat die Bank also recht, Itan ist wirklich unsicherer als Chipkarten oder Mtan.
0 Punkte
Beantwortet von mixmax Experte (2.2k Punkte)
Du vergisst hier völlig das man eine Itan für jede Überweisung nutzen kann, während eine MTan an die spezielle Überweisung gebunden ist, für die sie ausgelöst wurde.


in den Scenario geht man ja davon aus das derjenige der gerade eine überweisung ausführt von einem Trojaner eine falsche Bankseite angezeigt bekommt. Daher ist es wirklich kein unterschied würde man nun die TAN von einer SMS ablesen führt der Trojaner die überweisung aus, zu der der Trojaner dann eben die TAN angefordert hat. während der Benutzer glaubt er würde eine eigene Überweisung ausführen. An dieser stelle nochmal - es macht KEINEN unterschied ob itan, mtan oder chiptan. das verfahren ist gleich, die bankseite zeigt was an, das Medium von dem die Tan erhalten wird, erfordert vielleicht auch eine Eingabe von dem was auf der Bankseite angezeigt wird, daraus erhält man die passende Tan und die gibt man dann der Bankseite.

Ich habe ja nicht vor mein Handy zu verlieren, aber mein Handy nehme ich überall hin mit, meine TAN-Liste nicht. Mein Handy ist nur nach kompletten ausschalten pingeschützt und da werde ich auch nicht von abweichen.

itan ist einfach, sicher und gut.
Alles andere wäre nur umstand und kompliziert - was bringt mir ein zertifikat, was bringt mir eine hbci-karte. egal wie man es dreht und wendet, ich kann nur zahlen lesen und eingeben und egal wie kompliziert man es machen würde, lägen dem dieb die Zahlen vor die ich eingeben würde kann er alles tun was ich tun könnte. die darstellungsform teile dieser Zahlen ändert nichts an der sicherheit.

Die verlagerung der Tanliste die niemand anders zu sehen bekommt auf einen Gegenstand den man mit sich trägt kann das Verfahren nicht sicherer machen - egal wie man es dreht und wendet. Ich garantiere das die nächste Generation Chip-Tan reader einen Fingerabdrucksensor hat, media.ccc.de/browse/chaostv/ccc-fingerabdruck.html der auch mal als die technische neuerung in sachen sicherheit galt... hauptsache umständlich...
0 Punkte
Beantwortet von lutz1965 Profi (18.9k Punkte)
Hallo

das hat unsere Sparkasse (NOSPA) zum 31.12.2010 auch umgestellt.
Ich mache das jetzt über Handy TAN und das funkt super....
Knapp die Überweisung fertig...und der TAN ist schon da.
Das ist kostenlos.

Hätte auch das CHIPkartensystem nehmen können, aber da wollten die für das Lesegerät (billig) ab 19 Euro haben.

Gruss

Lutz
0 Punkte
Beantwortet von
Eine SMS-Tan wird von der Bank anhand der Überweisungsdaten und
Zeitpunkt, etc. generiert und gilt nur für wenige Minuten !
Ist der Zeitraum für die Eingabe überschritten, wird die Überweisung
nicht ausgeführt und eine neue SMS-Tan wird erstellt.
Das Risiko beim Handy-Verlust ist also relativ gering, höchstens
derjenige hat auch deine PIN-Nr, kennt deine Kontozugangsdaten,
auf dem Handy selbst wird gar nichts gespeichert was einem Dieb von
Nutzen sein könnte.
0 Punkte
Beantwortet von scip Experte (1.2k Punkte)
Also nochmal ...

I-Tan:

Du gehst auf deine Bankingseite. Dort gibst du ein Zielkonto an und einen Betrag. Bestätigst dies mit der Itan.
Wenn das nun "abgefischt" wird, hat derjenige Zeit sich mit deinen Daten anzumelden und mit der I-Tan eine x beliebige Überweisung zu tätigen.

M-Tan:

Du gehst auf deine Bankingseite. Dort gibst du ein Zielkonto an und einen Betrag. Diese Daten werden von der Bank entgegen genommen und aufgrund der Daten wird eine SMS verschickt, welche NUR für die Überweisung auf das angegebene Konto und NUR für den exakten Betrag verwendet werden kann. Kontonummer UND Betrag stehen sogar nochmal in der SMS drin wo die MTAN enthalten ist und kann dort ggf Gegengeprüft werden. Diese Tan ist nur sehr kurz gültig und ist nach wenigen Minuten nicht mehr zu benutzen.

Verstehe nicht wie man behaupten kann das diese beiden Verfahren gleich sicher sind. Tut mir leid.
0 Punkte
Beantwortet von sutadur Experte (3.6k Punkte)
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, ...

Für mich ist die mobile TAN das einzige, was überhaupt noch geht. Aber da mag es ja unterschiedliche Ansichten geben.

... denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste

Das ist doch wirklich etwas übertrieben. Ja, wer das Handy hat, kann "Deine" TAN lesen. Aber damit ihm das was bringt, muss er auch Deine Bankverbindung kennen und vor allem auch Deine Online-PIN. Wenn das alles zusammen auftritt, ist das sicher ein Problem, aber doch eher ein theoretischer Sachverhalt.

itan ist einfach, sicher und gut.

Vor allem ist es umständlich. Und wohl niemand wird ernsthaft behaupten, die Liste sei einfacher zu nutzen als die mTAN.

Ok, das kann ja jeder sehen, wie er mag. Ich bin jedenfalls der Meinung, dass mTAN-Verfahren ist mit Abstand das einfachste System, zumindest wenn man ein Handy hat.
0 Punkte
Beantwortet von mixmax Experte (2.2k Punkte)
Ich glaub ja nicht, das jemand nur weil er mein handy findet sofort überweisungen machen könnte. Natürlich fehlen ihm erstmal meine kontonummer und die pin.

es geht mir einfach ums prinzip das ich das, wo die TAN-Liste von kommt nicht mit mir rumschleppen möchte. Ich denke mal es ist vielleicht verständlich wenn ich das mal so sage. Und allein aus dem grund kommt für mich MTan nicht in frage - klar finden viele mtan toll aber ich halt nicht.
Und Chiptan wäre ja noch akzeptabel aber ich finde es halt umständlich, ich überweise alle paar monate mal was oder ändere einen Dauerauftrag, wenn ich dafür dann erst ein gerät kaufen muss, das will dann regelmäßig aufgeladen werden, kann kapput gehen oder frist batterien die ich dann extra wieder holen muss...

vielleicht akzeptiert man ja einfach mal das ich das nicht will, was scheinbar von vielen schreibern einfach ignoriert wird. Auch wenn sich die "promtan-schreiber" für dieses verfahren begeistert haben, man stelle sich vor das bargeld einfach abgeschafft wird und ich sag ja wieso regst dich denn auf, kreditkarte ist doch eh viel sicherer weil da gibts ja schließlich eine pinnummer...
0 Punkte
Beantwortet von scip Experte (1.2k Punkte)
Ich hab das hier als Diskussion über die Techniken verstanden.
Wenns hier nur darum geht was DU willst oder nicht willst, dann ist das hier nix anderes als ein sinnloser Frustpost, weil etwas abgeschafft wird das DU behalten willst.

Ich klinke mich dann mal hier nu aus und wünsche noch eine angenehme Nacht.
0 Punkte
Beantwortet von
um es nochmal klar zu machen, auch der Verlust deines Mobiltelefons
ist, so lange die potentiellen Räuber / Finder deines Mobiltelefons
nicht deine Bankdaten kennen, kein Problem, denn genauso wie du die
PIN-Nr. ändern kannst, ist es möglich eine neue Mobilfunknummer zu
hinterlegen.
Wenn dir dein "Handy" verlustig geht, wirst du wohl ganz schnell
selbiges sperren lassen und zwar aus ganz anderen Gründen.
So was von merkbefreit findet man selten.
0 Punkte
Beantwortet von sutadur Experte (3.6k Punkte)
es geht mir einfach ums prinzip das ich das, wo die TAN-Liste von kommt nicht mit mir rumschleppen möchte. Ich denke mal es ist vielleicht verständlich wenn ich das mal so sage.

"Wo die TAN-Liste von kommt" ist ansonsten ein Stück Papier. Und das musst Du auch mit Dir "rumschleppen" oder griffbereit haben. Wenn Du unterwegs Online-Banking nutzen möchtest, ist das Handy für die meisten unter diesem Aspekt sicher die bessere Wahl, denn das haben sie sowieso meist dabei. Und auch zu Hause ist das Handy für die meisten eher in Reichweite als die TAN-Liste. Insofern ist Deine Aussage eben gerade nicht verständlich oder nachzuvollziehen.

vielleicht akzeptiert man ja einfach mal das ich das nicht will, was scheinbar von vielen schreibern einfach ignoriert wird.

Das wäre ja nicht das Problem, aber dann hättest Du nicht so einen Thread hier eröffnen sollen, denn in einem Forum wie diesem ist eine Diskussion über das Für und Wider nicht wirklich überraschend, im Gegenteil.
...