ZitatOriginal geschrieben von harlekyn
Er braucht deine Zugangsdaten zum Online-Banking, deine EC-Karte und die PIN zur EC-Karte.
Seit wann braucht man für chipTAN die PIN der Karte?
Ich nutze ja in aller Regel FinTS mit Chipkarte, da fand sich bislang wohl noch kein Hacker und ich erspare mir die nervigen TANs komplett
ZitatOriginal geschrieben von Martin Reicher
Seit wann braucht man für chipTAN die PIN der Karte?
:gpaul:
chipTAN funktioniert doch mit einem spottbilligen (<10€) Gerät in das nur die Karte gesteckt wird, ein Knopf gedrückt wird, anschließend hält man das Ding an den Bildschirm wo es blinkende Muster erkennt (Datenübertragung) und die TAN anzeigt. Da wird keine PIN eingegeben.
Beispiel: https://www.dkb.de/info/tan-verfahren/chipTAN/
Ich kenne ich kein Onlinebanking-Verfahren wo man die PIN der girocard ("EC-Karte") eingeben muss, auch finTS mit Chipkarte (elektronische Signator) funktioniert in allen mir bekannten Fällen nur mit einer weiteren Karte die zwar GeldKarte-Funktion enthalten kann, aber keine girocard.
Alles richtig. Ich hab' chipTAN nur mal ausprobiert, aber schon ewig nicht mehr genutzt.
Das grundlegende Argument bleibt aber. Bei chipTAN, mTAN, etc. muss der Angreifer in den Besitz von 2 unabhaengigen Faktoren kommen. Solange nur einer der beiden kompromittiert ist besteht noch keine Gefahr.
Sollte z.B. der PC mit einem Online-Banking-Trojaner identifiziert sein, kann dieser zwar die Transaktion manipulieren. Da die TAN an die (manipulierten) Empfaenger-Daten gekoppelt ist, faellt spaetestens bei der Kontrolle der TAN am Generator bzw. Handy auf, dass die Kontonummer nicht mit der eingegebenen uebereinstimmt.
Beim iTAN-Verfahren werden alle sicherheitsrelevanten Merkmale auf dem gleichen Kanal uebertragen. Ist dieser kompromittiert, kann der Endanwender eine Manipulation nicht mehr erkennen.
Ja, aber nicht "Zugangsdaten zum Online-Banking, deine EC-Karte und die PIN zur EC-Karte"
Beim iTAN Verfahren muss er auch erstmal an die Zugangsdaten zum Onlinebanking kommen.
Ob ich was anderes nicht mehr mit mir mitführen kann, wofür ich den Generator mitnehmen kann: Nein, denn in meinem Portmonee past der Generator nicht und selbst darin habe ich notwendige Dokumente.
ZitatOriginal geschrieben von Nokiahandyfan
Beim iTAN Verfahren muss er auch erstmal an die Zugangsdaten zum Onlinebanking kommen.
Nochmal: Beim iTAN-Verfahren genuegt es, deinen PC zu kompromittieren. Alle erforderlichen Daten werden ueber diesen einen Kanal uebertragen und koennen dort auch manipuliert werden.
Erst durch den Einsatz eines zweiten Kanals und die damit verbundene, unabhaengige Kontrollmoeglichkeit der tatsaechlich und nicht nur vermeintlich uebermittelten Daten, wird die Sicherheit gesteigert.
na und, der CCC hat schonmal gezeigt, das man das smsTan Verfahren kompromittieren kann 
Moeglich != Wahrscheinlich. Angreifer waehlen i.d.R. den Weg, der mit dem geringsten Aufwand den groessten Nutzen bringt.
Sollte dein Girokonto besonders attraktiv und per SMS-TAN gesichert sein, mag dein persoenliches Risiko anders ausschauen. Fuer den Normalnutzer gilt das oben gesagte.
Die einzige mir bekannte Lücke beim mTAN war, das die Ganoven sich einfach an eine andere Adresse eine Zweit- oder Ersatzkarte vom Provider haben schicken lassen. Da hatte t-Mobile keine gute Figur gemacht, sollte heute aber kein problem mehr sein.
Und wie harlekyn schon schrieb, es wie bei Einbrüchen und beim Autoklau, je länger es dauert und je mehr Aufwand getrieben werden muß desto unwahrscheinlicher.
Gruß Kai
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!