Die 1822direkt, ein Unternehmen der Frankfurter Sparkassen, hat ein neues TAN-Verfahren für ihr Online-Banking eingeführt, bei dem ein iOS- oder Android-Gerät mit Kamera als TAN-Generator genutzt wird. Bei diesem QR-TAN genannten System liest eine App nach Eingabe aller Daten am PC einen QR-Code aus dem Browserfenster. Dabei soll ein Challenge-Response-Verfahren (OCRA) verhindern, dass die Daten manipuliert werden.
Das Handy erzeugt eine transaktionsgebundene TAN, die nur für den am Browser eingegebenen Vorgang gilt. Das Handy zeigt dem Nutzer die Daten (z. B. Empfängerkonto und Betrag einer Überweisung) an, bevor dieser die Transaktion in der App autorisiert. Falls die App eine verschlüsselte Verbindung zum Bankserver aufbauen kann, signalisiert sie dann darüber die Freigabe. Andernfalls wird die TAN angezeigt und muss im Browser eingegeben werden. In jedem Fall muss der Nutzer die Transaktion auch im Browser freigeben.
Um das Verfahren zu nutzen, bestellt der Kunde im 1822direkt-Portal einen Aktivierungsbrief. Dieser enthält einen QR-Code und eine Einmal-TAN, mit denen man das Handy registriert, auf dem die App installiert ist. Diese muss durch ein Passwort geschützt werden. Die App soll sich nicht auf andere Handys übertragen lassen und nach 10 falschen Passworteingaben alle Daten löschen. Danach, wie auch nach einem Handy-Wechsel, muss der Kunde den gesamten Registrierungsvorgang neu durchlaufen.
Das Verfahren entspricht also in etwa der Chip-TAN mit Flicker-Code, wobei der Komfort etwas höher ist und man keinen speziellen TAN-Generator benötigt. Allerdings lässt sich eine Smartphone-App sehr viel einfacher manipulieren als ein TAN-Generator. Die 1822direkt versichert zwar, dass die App gut gegen Angriffe geschützt sei.
Ob ein Angreifer, der sowohl PC als auch Handy unter seine Kontrolle gebracht hat, das System nicht doch überlisten kann, ist aber fraglich. Letztlich kann jedoch kein Verfahren absolute Sicherheit garantieren. So sind Trojaner bekannt, die es auf SMS-TANs abgesehen haben, ebenso wie Angriffe auf Online-Banking-Nutzer, die Chip-TANs verwenden. Die Verantwortung, seine System vor Schadsoftware zu schützen und gesunde Vorsicht walten zu lassen, nimmt einem keines der Verfahren ab.
Quelle: heise.de
Das Handy erzeugt eine transaktionsgebundene TAN, die nur für den am Browser eingegebenen Vorgang gilt. Das Handy zeigt dem Nutzer die Daten (z. B. Empfängerkonto und Betrag einer Überweisung) an, bevor dieser die Transaktion in der App autorisiert. Falls die App eine verschlüsselte Verbindung zum Bankserver aufbauen kann, signalisiert sie dann darüber die Freigabe. Andernfalls wird die TAN angezeigt und muss im Browser eingegeben werden. In jedem Fall muss der Nutzer die Transaktion auch im Browser freigeben.
Um das Verfahren zu nutzen, bestellt der Kunde im 1822direkt-Portal einen Aktivierungsbrief. Dieser enthält einen QR-Code und eine Einmal-TAN, mit denen man das Handy registriert, auf dem die App installiert ist. Diese muss durch ein Passwort geschützt werden. Die App soll sich nicht auf andere Handys übertragen lassen und nach 10 falschen Passworteingaben alle Daten löschen. Danach, wie auch nach einem Handy-Wechsel, muss der Kunde den gesamten Registrierungsvorgang neu durchlaufen.
Das Verfahren entspricht also in etwa der Chip-TAN mit Flicker-Code, wobei der Komfort etwas höher ist und man keinen speziellen TAN-Generator benötigt. Allerdings lässt sich eine Smartphone-App sehr viel einfacher manipulieren als ein TAN-Generator. Die 1822direkt versichert zwar, dass die App gut gegen Angriffe geschützt sei.
Ob ein Angreifer, der sowohl PC als auch Handy unter seine Kontrolle gebracht hat, das System nicht doch überlisten kann, ist aber fraglich. Letztlich kann jedoch kein Verfahren absolute Sicherheit garantieren. So sind Trojaner bekannt, die es auf SMS-TANs abgesehen haben, ebenso wie Angriffe auf Online-Banking-Nutzer, die Chip-TANs verwenden. Die Verantwortung, seine System vor Schadsoftware zu schützen und gesunde Vorsicht walten zu lassen, nimmt einem keines der Verfahren ab.
Quelle: heise.de