Die
Das Handy erzeugt eine transaktionsgebundene TAN, die nur für den am Browser eingegebenen Vorgang gilt. Das Handy zeigt dem Nutzer die Daten (z. B. Empfängerkonto und Betrag einer Überweisung) an, bevor dieser die Transaktion in der App autorisiert. Falls die App eine verschlüsselte Verbindung zum Bankserver aufbauen kann, signalisiert sie dann darüber die Freigabe. Andernfalls wird die TAN angezeigt und muss im Browser eingegeben werden. In jedem Fall muss der Nutzer die Transaktion auch im Browser freigeben.
Um das Verfahren zu nutzen, bestellt der Kunde im 1822direkt-Portal einen Aktivierungsbrief. Dieser enthält einen QR-Code und eine Einmal-TAN, mit denen man das Handy registriert, auf dem die App installiert ist. Diese muss durch ein Passwort geschützt werden. Die App soll sich nicht auf andere Handys übertragen lassen und nach 10 falschen Passworteingaben alle Daten löschen. Danach, wie auch nach einem Handy-Wechsel, muss der Kunde den gesamten Registrierungsvorgang neu durchlaufen.
Das Verfahren entspricht also in etwa der Chip-TAN mit Flicker-Code, wobei der Komfort etwas höher ist und man keinen speziellen TAN-Generator benötigt. Allerdings lässt sich eine Smartphone-App sehr viel einfacher manipulieren als ein TAN-Generator. Die 1822direkt versichert zwar, dass die App gut gegen Angriffe geschützt sei.
Ob ein Angreifer, der sowohl PC als auch Handy unter seine Kontrolle gebracht hat, das System nicht doch überlisten kann, ist aber fraglich. Letztlich kann jedoch kein Verfahren absolute Sicherheit garantieren. So sind
Quelle: heise.de
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, ein Unternehmen der Frankfurter Sparkassen, hat ein neues
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
für ihr Online-Banking eingeführt, bei dem ein iOS- oder Android-Gerät mit Kamera als TAN-Generator genutzt wird. Bei diesem QR-TAN genannten System liest eine App nach Eingabe aller Daten am PC einen QR-Code aus dem Browserfenster. Dabei soll ein Challenge-Response-Verfahren (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) verhindern, dass die Daten manipuliert werden.Das Handy erzeugt eine transaktionsgebundene TAN, die nur für den am Browser eingegebenen Vorgang gilt. Das Handy zeigt dem Nutzer die Daten (z. B. Empfängerkonto und Betrag einer Überweisung) an, bevor dieser die Transaktion in der App autorisiert. Falls die App eine verschlüsselte Verbindung zum Bankserver aufbauen kann, signalisiert sie dann darüber die Freigabe. Andernfalls wird die TAN angezeigt und muss im Browser eingegeben werden. In jedem Fall muss der Nutzer die Transaktion auch im Browser freigeben.
Um das Verfahren zu nutzen, bestellt der Kunde im 1822direkt-Portal einen Aktivierungsbrief. Dieser enthält einen QR-Code und eine Einmal-TAN, mit denen man das Handy registriert, auf dem die App installiert ist. Diese muss durch ein Passwort geschützt werden. Die App soll sich nicht auf andere Handys übertragen lassen und nach 10 falschen Passworteingaben alle Daten löschen. Danach, wie auch nach einem Handy-Wechsel, muss der Kunde den gesamten Registrierungsvorgang neu durchlaufen.
Das Verfahren entspricht also in etwa der Chip-TAN mit Flicker-Code, wobei der Komfort etwas höher ist und man keinen speziellen TAN-Generator benötigt. Allerdings lässt sich eine Smartphone-App sehr viel einfacher manipulieren als ein TAN-Generator. Die 1822direkt versichert zwar, dass die App gut gegen Angriffe geschützt sei.
Ob ein Angreifer, der sowohl PC als auch Handy unter seine Kontrolle gebracht hat, das System nicht doch überlisten kann, ist aber fraglich. Letztlich kann jedoch kein Verfahren absolute Sicherheit garantieren. So sind
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
bekannt, die es auf
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
abgesehen haben, ebenso wie Angriffe auf Online-Banking-Nutzer, die
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
verwenden. Die Verantwortung, seine System vor Schadsoftware zu schützen und gesunde Vorsicht walten zu lassen, nimmt einem keines der Verfahren ab.Quelle: heise.de
) eine App installieren möchte, aber mein Handy immer dabei habe, habe ich mich für das SMS Verfahren angemeldet.
