Online Banking und TAN-Verfahren-Was ist die sicherste Art?

Zitat

Original geschrieben von Nokiahandyfan
Das Handesblatt hat getestet.
Was ich absoluten Quatsch finde ist, dass man das iTAN Verfahren so geiselt.

ich fürchte, hinter manchen 'iTan-Schlechtmach-Artikeln' in Medien stecken Teile des dt. Kreditgewerbes, welche alles, was vermeintlich "zu gut" (komfortabel ) für die KundInnen ist, bepreisen oder zurückdrängen, und alles was die eigenen Gewinnsituation verbessert, forcieren will. Wenn man die KundInnen mit zusätzlicher Hardware "verdongelt", verringert sich deren Handlungsfreiheit.
Das iTAN-Verfahren ist ein guter Kompromiss zwischen einfachem Handling und Sicherheit; über die verbesserte Akzeptanz nützt ersteres ebenfalls der Sicherheit. Habe mir erlaubt, deine Argumentesammlung zu formatieren und im Zitat zu kommentieren:

Zitat

Ich habe damit nur gute Erfahrungen gemacht.
1.) Es ist günstig.
-> bewährt recyclingfähiges Papier statt teurer Elektronikschrott, siehe Punkt 3.) - 6.)
2.) Man kann es an verschiedenen Orten nutzen.
--> ohne unnötige meist brachliegende Hardware (siehe Punkt 3.)) extra anzuschaffen
3.) Hat keine Mehrkosten wie TAN-Generator.
--> der 23 Stunden59Minuten am Tag eh nicht genutzt werden kann, dadurch einen schlechten Nutzungsgrad und somit Ökobilanz hat und obendrein umweltschädliche Batterien / Akkus benötigt
4.) Muss kein App installieren.
--> gut für Datenschutz und Sicherheit; kein Extra-Account bei Google nötig; keine unnötige technologische Abhängigkeit und Wegfall einer weiteren Fehlerquelle
5.) Braucht kein Smartphone dabei zu haben.
-- > man muss nichtmal ein Smartphone besitzen und muss auch nicht die Rechenkapazität der Bank auf sich selber outsourcen lassen
6.) Muss seine EC Karte nicht dabei haben.
--> Verlustrisiko dank iTAN vermeidbar

Alles anzeigen

Ich frage mich, wie oft wir diese Argumente noch ansprechen müssen, bis es sich auch zu Stiftung Warentest herumspricht ....

Edit: Formulierung geglättet

Welches der TAN Verfahren ist denn das beste?
Blocktans bestimmt nicht, mit Papier und so.
Aber Mobile-Tan, iTan, mit Karte und Lesegerät, per Barcode...?

Der grundlegende Unterschied zwischen ChipTAN/mTAN und TAN-Listen auf Papier (TAN/iTAN), den man sich bewusst machen muss, ist folgender:

Bei ChipTAN und mTAN erstellte TANs sind im Gegensatz zu TANs von Papierlisten transaktionsSPEZIFISCH, d. h. bei ihrer Erstellung werden diverse Parameter der durchzuführenden Transaktion in die TAN mit eingerechnet, wie etwa IBAN des Empfänger, Überweisungsbetrag, ID der Bankkarte, Zeitpunkt der Erstellung. D. h. also, selbst wenn durch einen Angriff sowohl die Transaktionsdaten als auch TAN abgefangen werden, lässt sich mit dieser TAN eine manipulierte Transaktion (etwa Empfänger-IBAN und Betrag geändert) nicht autorisieren, denn dann wird diese TAN als ungültig für die manipulierte Transaktion abgewiesen und die manipulierte Transaktion nicht ausgeführt. Hinzu kommt, dass die TAN bei diesen Verfahren nur zeitlich begrenzt gültig ist und innerhalb weniger Minuten bereits "verbrannt" ist.

Im Gegensatz dazu sind TANs von vorgegebenen Listen sozusagen universell für x-beliebige Transaktionen gültig. Mit einer ergaunerten iTAN ist zwar kein späterer Misnrauch mehr möglich, aber wenn der Angriff direkt bei der eigentlichen Transaktion erfolgt, bietet iTAN keinerlei Schutz gegen Manipulation des Empfängers und des Betrages. Und bei den ganz ursprünglichen TAN-Listen ist Tür und Tor komplett offen. Mit einer ergaunerten TAN lässt sich anschließend jederzeit ausnahmslos JEDE Transaktion "durchwinken".

Hier steht was zum Thema iTAN:

https://www.heise.de/newsticke…ken-behauptet-125776.html

Deine Argumentation führt daher ins Leere, dass es wahrscheinlich fast nie zu iTAN Problemen kommt.

Nach dem Motto: Geht ein Banker am Strand eines fernen Landes entlang. Dort sieht er einen Fischer, der nach erfolgreicher Fahrt einen gegrillten Fisch am rauschenden Meer genießt und die Welt Welt sein lässt.

Der Banker sagt: Wenn Du einen Kredit aufnimmst oder 3x täglich auf See fährst, dann kannst Du Dir 3 Schiffe leisten. Dann kannst Du noch mehr Fisch fangen. Eine Fabrik bauen, die Fische bearbeitet und später viel größere Schiffe kaufen, eine größere Fabrik bauen und irgendwann bist Du so reich, dass Du hier am Meer sitzen kannst und beim zugucken Deinen gegrillten Fisch genießen kannst. ... Dazu sagte der Fischer: "Das mache ich doch schon jetzt!?!"

Zum Artikel: Bei Phising muss man ziemlich unvorsichtig und senil handeln. Solchen unsicheren Leuten, würde ich auch nicht zum iTAN Verfahren raten. Wobei in meinem Bekanntkreis solche Leute eh kein Onlinebanking machen.

Zitat

Original geschrieben von Nokiahandyfan
Kostet 12 Euro. Bei zwei Wohnsitzen schon 24 Euro. Für jede b******* Überweisung die EC-Karte aus dem Portmonee holen ... :flop:

Sicherheit ist unkomfortabel.

Zitat

iTAN ist mit Sicherheit sicherer als mTAN.

Wie kommst du zu dem Schluss?

Zitat

Wenn man wenigstens die freie Wahl hätte, wäre allen geholfen.

Hast du doch - falls deine Bank das von dir gewuenschte Verfahren nicht anbietet, wechselst du eben zu einer anderen. Dass potentiell sicherheitsschwache Verfahren vom Markt verschwinden ist zu begruessen. Du kannst alternativ den Ueberweisungstraeger von Hand ausfuellen, unterzeichnen und zur Bank bringen bzw. schicken - dann braucht es keinerlei "unbequeme" elektronische TAN.

Zitat

Original geschrieben von Nokiahandyfan
Deine Argumentation führt daher ins Leere, dass es wahrscheinlich fast nie zu iTAN Problemen kommt.

Homebanking-Trojaner gehoeren ebenso wahrscheinlich ins Land der Fabeln.

Zitat

Original geschrieben von Nokiahandyfan
Deine Argumentation führt daher ins Leere, dass es wahrscheinlich fast nie zu iTAN Problemen kommt.

Dann ist ja jede weitere Diskussion über potenzielle Angriffsszenarien überflüssig und wir können diesen Thread auch zumachen. ... Wenn du einer derjenigen wärest, die dennoch gelinkt wurden, würdest du doch auch heulen und schimpfen. Nehme ich mal an.

Zitat

Original geschrieben von harlekyn
Sicherheit ist unkomfortabel.

Ich verstehe auch ehrlich gesagt dieses Argument gar nicht. Wenn einem zwei TAN-Generatoren zu teuer sind, dann führt man eben den einen immer mit sich. Die Dinger sind doch nun wirklich winzig, verglichen mit allem, was man sonst so ständig bei sich trägt. Aber bei TAN-Generatoren wird gebetsmühlenartig die mangelnde Portabilität als Gegenargument angeführt. Das ist fast schon lachhaft.

Ich habe so schon genug Schlüssel, EC-Karten, etc. bei mir, da trage ich auch noch den TAN-Generator mit mir rum ... ich glaub es hackt ...

übrigens: beim TAN-Generator Verfahren braucht der "Dieb", welche an meine EC-Karte kommt, nur meine Logindaten zu kennen und schon kann er mit jedem TAN-Generator der Welt überweisen.

chipTAN hat auch ein potentielles Angriffsszenario. Aber der Vergleich mit iTAN ist müßig, wenn ganz andere Arten der Kompromittierung um ein Vielfaches wahrscheinlicher sind...

Zitat

Original geschrieben von Nokiahandyfan
Ich habe so schon genug Schlüssel, EC-Karten, etc. bei mir, da trage ich auch noch den TAN-Generator mit mir rum ... ich glaub es hackt ...

Vielleicht kannst du eines der anderen unnoetigen Dinge einsparen und so Platz fuer den TAN-Generator schaffen?

Zitat

beim TAN-Generator Verfahren braucht der "Dieb", welche an meine EC-Karte kommt, nur meine Logindaten zu kennen und schon kann er mit jedem TAN-Generator der Welt überweisen.

Er braucht deine Zugangsdaten zum Online-Banking, deine EC-Karte und die PIN zur EC-Karte. Das sind 3 bzw. 4 Dinge, die man tunlichst unabhaengig von einander aufbewahrt. Dass alle diese zusammen in fremde Haende fallen ist schon unwahrscheinlich, es sei denn man stellt sich doof dran (z.B. PIN auf der Karte notiert). Aber solche Leute fuehren sicher auch die iTAN-Liste zusammen mit der EC-Karte mit sich, weil's so praktisch ist...

Zitat

Original geschrieben von BornToRun
Ich verstehe auch ehrlich gesagt dieses Argument gar nicht.

Ich auch nicht. So kann man immer dann Ueberweisungen durchfuehren, wenn man die EC-Karte bei sich hat. Die braucht man i.d.R. haeufiger als eine TAN-Liste, die nur zuhause aufbewahrt wird.

mTAN finde ich persoenlich sogar noch komfortabler als die iTAN, da ich nicht immer erst die TAN-Liste der passenden Bank raussuchen muss.