d_r_m_s hat geschrieben:die Hauptsicherheit, für die man sorgen kann und muss, liegt im Schutz der Zugangsdaten für das eigene Konto ... die eigentliche Sicherheitslücke besteht ja darin, dass die Anmeldedaten über eine 'fremde' Seite geleitet werden, die sie prinzipiell auswerten könnte ...
Richtig! Wer seine PIN offenherzig preisgibt, darf sich da nicht wundern. Allerdings gehören bei mTAN oder SmartTAN oder wie sie alle heißen zwei Passwörter dazu, was schon mal ein doppelter Aufwand für einen Angreifer ist.
abgesehen davon halte ich TAN-Listen je nach Anwendung nicht für unsicherer als Generatoren ...
Glaub mir, nach über 10 Jahren Gesprächen mit Bankkunden, die trotz Medienwarnungen und Bankinformation bereitwillig 10 und mehr TAN auf irgendwelchen Phishingseiten angeben, die ihre verloren gegangenen TAN-Listen, wenn sie es denn einen Monat später überhaupt bemerken, trotzdem nicht sperren lassen, die TAN-Liste mit Tesafilm am dienstl. Monitor für alle sichtbar ankleben, sich bis zu fünf TAN-Listen auf Vorrat schicken lassen oder ihre TAN-Listen mehrere Male kopieren, um sie an verschiedenen Orten zu deponieren und was weiß ich nicht noch alles damit anstellen, da würdest du das zumindest im Systemzusammenhang anders sehen.
bis zur Aktivierung der nächsten Liste ... bis dahin muss der neue Besitzer den Zugang zum Konto haben, ansonsten helfen ihm die TAN wenig ...
Wieso? Die TAN werden nur durch Verbrauch oder durch Sperrung der Liste, nicht durch Erstellung einer neuen Liste deaktiviert.
meine letzten Erfahrungen mit TAN-Listen sahen so aus, dass mir die Bank jeweils mitgeteilt hat, welche der 100 nummerierten TAN ich eingeben sollte
Wo ist dann der Unterschied zu einem Verfahren, dass dir statt der Angabe, welche TAN du verbrauchen sollst gleich die TAN mitteilt? Das Abfangen der TAN beginnt sowieso erst, sobald du sie eingibst. Abgesehen davon: Nur das erste Mal sind es 100 TAN, dann 99, 98 usw.
der Generator bleibt auch mindestens so lange gültig, bis man ihn verloren meldet oder den nächsten anmeldet ...
Der Generator ist eine Software, welche die TAN bankseitig auf Anforderung generiert. Ob die dir dann per SMS, über eine App oder ein spezielles Gerät, das du von deiner Bank erhältst, mitgeteilt wird, ist am Ende unerheblich.
nö, bei meinem nicht ... bei mir ist es je nach Vorgang ein Teil der eigenen oder der Zielkontonummer
Dann wird es Zeit, das Onlinebankingsystem oder die Bank zu wechseln. Mindeststandard sollte sein, dass eigenes Konto, Datum, Uhrzeit, Empfänger und Betrag bestätigt werden. Egal, ob auf Handy oder anderem Gerät, nur eben nie auf dem PC, von dem aus die Transaktion vorgenommen wird.