Vom Test des ReinerSCT tanJack optic CX zur Frage welches TAN-Verfahren sicher ist

9m 56sLänge

Die Zeit der TAN-Listen ist abgelaufen! Beim derzeit als sicher geltenden Verfahren chipTAN-optic braucht man jedoch einen Kartenleser. Ich habe mehrere chipTAN-Generatoren ausprobiert und der ReinerSCT tanJack optic CX (http://amzn.to/1I9v1Vy) ist nach meiner Erfahrung das mit Abstand beste Gerät derzeit. Das Gerät ist klein und handlich, entspricht der derzeit aktuellen HHD-Version 1.4 und funktioniert einwandfrei. Das eingebaute Display mit zwei Zeilen ist blickwinkelstabil und leicht abzulesen. Das Highlight ist die eingebaute Abdeckklappe, welche die im täglichen Gebrauch nicht benötigten Tasten abdeckt. Die Flicker-Erkennung ist besser als bei älteren bzw. anderen TAN-Generatoren. Auch wenn ich die Bildschirmhelligkeit von meinem Monitor komplett herunterregel erkennt das Gerät den Flicker-Code noch ohne Probleme. Während mir zwei Generatoren von Kobil nach kurzer Zeit ausgefallen sind, begleiten mich meine drei tanJack optic CX nun schon seit etwa einem halben Jahr ohne jegliche Probleme. Ihr könnt übrigens mehrere Generatoren nutzen, z.B. einen im Büro und einen Daheim – dann muss man nur die Bankkarte mit sich herumtragen. Warum überhaupt das chipTAN-Verfahren nutzen? Vorab dazu ein Exkurs zu den unsichere TAN-Verfahren: Am Anfang gab es nur einfache TAN-Listen und für jede Transaktion hat man eine beliebige TAN eingegeben. Nachdem Kriminelle das „Phishing“ für TAN entwickelten und Bankkonten plünderten, haben die Banken auf iTAN umgestellt. Dabei muss man eine ganz bestimmte TAN zur Autorisierung eingeben. Das Problem dabei ist, dass Kriminelle durch einen Man-in-the-middle-Angriff oder mittels eines Trojaners auf dem Computer von Bankkunden bei einer vom Anwender gewollten Überweisung eine bestimmte iTAN ergaunern können und dann damit in Wirklichkeit ihre Überweisung zur Plünderung des Kontos autorisieren können. Daher ist iTAN bereits seit Jahren unsicher. Daraufhin haben die Banken die mTAN bzw. smsTAN eingeführt. Dabei erhält der Anwender eine SMS mit den Überweisungsdaten zur Kontrolle und natürlich die TAN. Das Problem ist, Kriminelle können sich ohne Wissen des Mobiltelefoninhabers eine multiSIM besorgen oder die SMS mittels SS7-Intercept auf Netzebene abfangen und so an die TAN gelangen, ohne das der Bankkunde etwas bemerkt. Das gleiche Problem ergibt sich durch Trojaner auf Smartphones und betrifft natürlich auch das pushTAN-Verfahren auf Smartphones. Damit ist auch das smsTAN und das pushTAN-Verfahren „verbrannt“ bzw. unsicher. Als sicher gelten daher nur noch zwei Verfahren: Das HBCI/FinTS/Secoder Verfahren nutzt ein USB-Kartenlesegerät ähnlich den POS-Terminals im Einzelhandel. Dieses Verfahren prüft Karte und Pin, wobei die PIN im Lesegerät abgeglichen wird und somit unabhängig von einem möglichweise infizierten Computer geprüft wird. Für dieses Verfahren braucht es jedoch eine Banking Software auf dem Computer und rein theoretisch könnte ein Virus/Trojaner diese Software so manipulieren, dass die Überweisung umgeleitet wird. In der Praxis ist das bisher jedoch wohl noch nicht vorgekommen. Und es gibt das chipTAN-Verfahren, für das sich der TAN-Generator eignet, um den es hier geht. Wenn im Online-Banking etwas zu autorisieren ist, z.B. eine Überweisung, generiert das Online-Banking einen Flicker-Code und zeigt diesen an. Der Nutzer hält dann seinen chipTAN-Generator an den Computerbildschirm. Über den Flicker-Code erhält der TAN-Generator die Zielkontonummer und den Betrag mitgeteilt, so dass diese Daten nicht abgetippt werden müssen. Diese Daten werden dem Anwender im Display des TAN-Generators zur Kontrolle angezeigt. Bestätigt der Anwender Zielkontonummer und Betrag, werden diese Daten zusammen mit einem geheimen Schlüssel der eingelegten Bankkarte zu einer TAN gewürfelt. Diese angezeigte TAN gibt der Anwender im Online-Banking ein. Fällt diese erzeugte chipTAN einem Betrüger in die Hände, ist sie wertlos, denn sie gilt nur für die festgelegte Zielkontonummer über den festgelegten Betrag! Die Sicherheit steht und fällt jedoch mit der Kontrolle der im Display des TAN-Generators angezeigten und zu bestätigenden Daten. Der tanJack optic bei Amazon: http://amzn.to/1I9v1Vy Mir auf Twitter folgen: https://twitter.com/Lui_Kast LuiKast auf Facebook: https://www.facebook.com/luikast.de

Kommentare

vielen Dank, war sehr hilfreich
Ich verstehe immer noch nicht wieso viele ein sms tan haben die ist echt unsicher und wird heute immer noch als sicher hingestellt auch von banken schon krass^^ ich kenn mich gut aus mit computern und somit auch sicherheit! Ich habe vor kurzen auch chip tan mit diesem lesegerät find ich am besten wenns um sicherheit geht. Nix ist zu hundertprozent sicher grade systeme.
Aber einfach mal etwas selber schlau machen was sicherheit angeht und sich auch dementsprechänd verhalten!
Like^^
Virus gibt wie sand am Meer. Virenschutz und firewall ist wie anschnallen im Auto!! nur weil man angeschnallt ist heisst es nicht das dir nix passiert!!
Anfragender: "Eine sichere Methode für Onlinebanking?"
Ich: "Egal was, das Code-generierende Gerät darf keine Möglichkeit haben sich mit anderen Geräten zu verbinden bzw. das gleiche sein auf dem du Überweisungsdaten eingegeben hast."
Anfragender: "Das heißt?"
Ich: "chipTAN"

Das gleiche gilt übrigens mit Einmalpasswörtern. Google Authenticator und co ist alles nicht sicher, ebenso YubiKey den du per USB verbindest... Einzig und allein Symantec VIP finde ich halbwegs brauchbar.
Wenn das Smartphone nur zu Hause fürs Banking genutzt wird und sonst kein Internetgriff erlaubt wird, dürfte die SMS Tarn genauso sicher sein.
Geht das mit der DKB Bank und Linux?
Danke
Hallo zusammen, bin auch gerade auf der Suche nach einem TAN Generator. Auf http://tan-generator-test.de/tan-generator-test/ steht das es zwischen dem Reiner SCT CX und dem SR keine funktionellen Unterschiede gibt... Kann das jemand bestätigen? Denn auf die "Klappe" könnte ich eigentlich verzichten... Grüße
Ein ChipTan Generator reicht vollkommen aus ;) Die Dinger sind nicht relativ billig und gehen schnell kaputt...
Eine Frage zur Verwendung mehrerer Generatoren: Macht das keine Probleme, wenn man mehrere Geräte synchronisieren muss? Schließlich ist m. W. der ATC ein Zähler, und das eine Gerät bekommt nicht mit, wenn das andere Gerät einen ATC-Punkt verbraucht hat.
gutes Video. bzgl. "idiotensicher" (7:00) - leider ist die Anleitung an entscheidenen Punkten sogar falsch. Da steht, man müsse eine "T"-Taste drücken, in Wirklichkeit ist die mit "TAN" beschrifteteTaste gemeint. Außerdem liest man, dass bei der Synchronisierung des Generators das ensprechende TAN-ATC Paar angezeigt wird, man muss aber mit den Pfeiltasten scrollen, um auch den ATC Code zu sehen. Zur Ehrenrettung der Redakteure hoffe ich mal, dass man die Anleitung für mehrere Geräte schreiben musste bzw. diese nach einer Layoutänderung nicht angepasst hat.
Erstmal danke für das Video. Ich hab genau das gleiche Gerät von ReinerSCT. Dass diese Geräte zufällig sind kann ich allerdings gar nicht bestätigen. Es geht nämlich einfach nur kurz an und nach ca. 3 sec wieder aus.
Thank you so much for the detailed information!
richtiger Jochen xD
Danke! Dein Video hat mir weitergeholfen!
Hallo, Sie sprechen mir aus der Seele, wenn Sie SMS TAN und Push-TAN wg. Smartphone-Trojanern als unsicher ansehen. Beide Verfahren kann ein Smartphone-Trojaner allein aushebeln, und zwar heimlich, d.h. ohne Benutzerinvolvierung.
Damit Sie sich Ihre drei Chip-TAN sparen können, haben wir an der Uni Tuebingen zusammen mit einem Kartenhersteller aus Taiwan das hier entwickelt http://www.display-tan.com/
Was sagen Sie dazu?
Bernd Borchert
iTAN, mTAN, pushTAN oder doch besser chipTAN? Eine kleine Übersicht der bekannten Sicherheitslücken verbunden mit der Empfehlung für einen chipTAN-Generator von +REINER SCT -> https://www.youtube.com/watch?v=JBxwCGSkZFY

Vom Test des ReinerSCT tanJack optic CX zur Frage welches TAN-Verfahren sicher ist

wie Sie tun, machen, Film, Beispiel

Kommentare