mikrocontroller.net

Forum: Offtopic TAN-Listen RIP


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Holger D. (hodoe)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
OMG. Nur noch 150 Tage. So viele Überweisungen bekomme ich ja nie weg. 
Was mache ich mit den übrigen Nummern???

https://www.golem.de/news/online-banking-in-150-tagen-verlieren-die-tan-zettel-ihre-gueltigkeit-1904-140739.html



Holger

Autor: Matthias S. (Firma: matzetronics) (mschoeldgen)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Überweise doch einfach alles zu mir. Gerne auch in kleinen nicht 
durchnumerierten Häppchen :-P
Oder du nutzt die Lösung, die Golem Artikel bildlich dargestellt ist. 
(Feuerzeug)
Mich ärgert bei der Nummer, das mein TAN Generator die Kontakte der 
Karte ganz schön stresst.

: Bearbeitet durch User
Autor: Bernd G. (Firma: LWL flex SSI) (berndg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Mich ärgert bei der Nummer, das mein TAN Generator die Kontakte der
> Karte ganz schön stresst.

Bank wechseln und Foto-TAN benutzen.

Autor: Matthias S. (Firma: matzetronics) (mschoeldgen)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Bernd G. schrieb:
> Bank wechseln und Foto-TAN benutzen.

Tolle Sache. Wird mein Telefon geklaut (was ja nie vorkommt) kann der 
Dieb gleich Überweisungen tätigen. Und ausserdem bräuchte ich neben 
einer neuen Bank auch gleich mal ein neues Smartphone, weil hier nur 
Android 4.4 läuft.

Autor: Claus M. (energy)
Datum:

Bewertung
-4 lesenswert
nicht lesenswert
Matthias S. schrieb:
> ein neues Smartphone, weil hier nur Android 4.4 läuft.

Wäre eh mal fällig.

Matthias S. schrieb:
> Wird mein Telefon geklaut (was ja nie vorkomm

Nein ein Android 4.4 Smartphone klaut wirklich niemand mehr. Das taugt 
nichtnal mehr als Spende an asylanten.

Autor: Bernd G. (Firma: LWL flex SSI) (berndg)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Das geht ohne Telefon, weil es ein extra Gerät ähnlich dem TAN-Generator 
ist.
Nix Android. Kostet allerdings irgendwas um die 10 €.
Beim Klauen dieses Gerätes kann allerdings dasselbe wie beim 
Geklautwerden deiner Girokarte passieren: der Klaubruder räumt dein 
Konto ab.
Du musst auf deine Girokarte aufpassen, ich auf das Fototandingens.
Mit einem fremden Fototangerät funktioniert der Kontenzugriff nicht, da 
der Name des Gerätes bei der Bank hinterlegt ist.

*Geht allerdings auch mit Smartphone (ohne Aufbau einer Verbindung)

: Bearbeitet durch User
Autor: Matthias S. (Firma: matzetronics) (mschoeldgen)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Claus M. schrieb:
> Wäre eh mal fällig.

Nicht für mich. Bin sehr zufrieden mit meiner Kiste. Ich nutze die 
Sachen eben länger.

Autor: Ralph B. (rberres)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bernd G. schrieb:
> Du musst auf deine Girokarte aufpassen, ich auf das Fototandingens.

naja selbst wenn du eine nicht rechtmäßig erworbene Girokarte hast, must 
du dich aber zunächst mal mit dessen Account bei der Bank anmelden.

Das heist du must sowohl den Accountnamen kennen ( das ist noch das 
kleiner Problem, da es meistens aber nicht immer die Kontonummer ist ) 
aber auch das Passwort kennen. Wenn man  dreimal mit dem falschen 
Passwort versucht, sich anzumelden, wird der Account gesperrt. Das 
Passort ist meist eine 5stellige Zahl sind also 99999 Möglichkeiten.

Man sollte aber keine Schadsoftware auf dem Rechner haben, welche die 
Tasteneingaben mitliest und an einen nicht autorisierten Rechner 
übermittelt.
Gegen sowas kann man sich nur schützen, wenn man persöhnlich zur Bank 
geht und der Bankmitarbeiter die Buchung händisch durchführt. Dafür 
sollte der Bankmitarbeiter aber einen kennen, oder sich den 
Personalausweis vorlegen lassen.

Erst wenn du dich erfolgreich mit dem richtigen Namen angemeldet hast, 
kannst du Überweisungen mit Hilfe der IC-Karte und des Tangenerators 
tätigen.

Die Chancen mit der IC-Karte an einen Bankautomaten Geld abzuheben, sind 
10 mal höher, da die Pinnummer meist nur 4 Stellig sind. Aber auch hier 
wird nach drei Fehlversuchen die Karte automatisch eingezogen.

Ralph Berres

Autor: Bernd G. (Firma: LWL flex SSI) (berndg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Das heist du must sowohl den Accountnamen kennen ( das ist noch das
> kleiner Problem, da es meistens aber nicht immer die Kontonummer ist )
> aber auch das Passwort kennen.

Das ist beim Fototanverfahren aber genauso.

Ich bin hier kein Beauftragter für TAN-Verfahren und will auch keines 
über den grünen Klee loben. Alle haben Macken. Ich benutze derzeit 
chipTAN (Sparkasse), FotoTAN und iTAN (Deutsche Bank) sowie iTAN (ING).
Wenn man seine iTAN-Zettel nicht massenweise kopiert und überall 
herumliegen lässt und sich nicht per Phishingmails die TAN abschöpfen 
lässt, dürfte das immer noch das sicherste Verfahren sein. Es scheitert 
aber offenbar am Störfaktor M.
Alle technischen Aufmotzereien sind hübsch ausgedachter Quark und 
erhöhen die Sicherheit nicht, sondern verlagern das Risiko nur an eine 
andere Stelle.

Hier noch eine Übersicht: 
http://www.wikibanking.net/onlinebanking/verfahren/

: Bearbeitet durch User
Autor: Cyblord -. (cyblord)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Matthias S. schrieb:
> Tolle Sache. Wird mein Telefon geklaut (was ja nie vorkommt) kann der
> Dieb gleich Überweisungen tätigen.

Nö weil es ja eben 2 Faktor Authentifizierung ist. Und die TAN Liste, 
genau so wie der TAN Generator, das Smartphone oder die Giro Karte (beim 
KSK Billig Tan Generator) sind nur ein Faktor. Und jetzt rechnen wir 
mal, also 2 Faktoren minus 1 Faktor = 1 Faktor übrig. Aha!

Autor: Matthias S. (da_user)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Claus M. schrieb:
> Nein ein Android 4.4 Smartphone klaut wirklich niemand mehr.

Ein Dieb sieht doch da nur: Smartphone! Das das Dingens nix mehr wert 
ist, merkt der doch erst hinterher.
Das gleiche gilt auch bei anderen Geräten, z.B. Laptops.

Und wenn man bedenkt, was man da teilweise für sensible Daten drauf hat, 
oder wo sich die Kisten etwa automatisch einloggen, da können auch total 
veraltete Geräte in den richtigen Händen richtig was wert sein...

Und wenn einem da eines der Geräte abhandenkommt, lässt man die 
betreffenden Zugangsdaten natürlich auch sofort sperren.

Autor: Michael L. (nanu)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Hallo

Bernd G. schrieb:

> Ich bin hier kein Beauftragter für TAN-Verfahren und will auch keines
> über den grünen Klee loben. Alle haben Macken. Ich benutze derzeit
> chipTAN (Sparkasse), FotoTAN und iTAN (Deutsche Bank) sowie iTAN (ING).
> Wenn man seine iTAN-Zettel nicht massenweise kopiert und überall
> herumliegen lässt und sich nicht per Phishingmails die TAN abschöpfen
> lässt, dürfte das immer noch das sicherste Verfahren sein. Es scheitert
> aber offenbar am Störfaktor M.

iTAN ist anfällig für Man-in-the-Middle Angriffe, da die jeweilig 
genutzte iTAN nicht an eine bestimmte Überweisung gebunden ist: Auf dem 
Weg vom Sender zur Bank könnten Zielkonto bzw. Betrag geändert werden, 
ohne daß der Sender es mitbekommt. Eine chipTAN dagegen funktioniert nur 
genau mit der Überweisung, für die sie generiert wurde und Zielkonto, 
sowie Betrag, für das/den genau die und nur diese TAN gilt, ist 
mindestens bei Einzelüberweisungen auf dem Generator nachlesbar und 
damit überprüfbar.

MfG

Autor: Bernd G. (Firma: LWL flex SSI) (berndg)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Auf dem
> Weg vom Sender zur Bank könnten Zielkonto bzw. Betrag geändert werden

Da ist allerdings was dran...

Autor: Rainer S. (rsonline)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Bernd G. schrieb:
> Du musst auf deine Girokarte aufpassen, ich auf das Fototandingens.

... und auf deine Girokarte. Alleine, dass Du das so verniedlichst 
zeigt, dass Du das nicht so ganz ernst nimmst.

> Mit einem fremden Fototangerät funktioniert der Kontenzugriff nicht, da
> der Name des Gerätes bei der Bank hinterlegt ist.

Es gibt 2 Phototan Verfahren.
Bei der Deutschen Bank registriert man einmal den Phototanleser und 
braucht dann die Karte nicht mehr.

Ich konnte es nicht glauben, dass das so ist. Aber habe dann sofort 
meine Kontoanmeldung bei der DB storniert.

Die DB bietet jeden Scheiß an. Automatische Kontoabfrage von Konten 
anderer Banken und Anzeige auf der DB Seite. Schnellüberweisung für 10 
Euro Gebühr. Smartphoneapp. Und, und, und. Nur beim Phototanverfahren 
bekommen die eine 2 Faktor Authentifizierung nicht hin. Auch das ChipTan 
Verfahren bieten die (bewusst?) nicht an.

http://www.wikibanking.net/onlinebanking/verfahren/chiptan/

Bei der Volksbank geht Phototan nur in Verbindung mit der IC Karte (2 
Faktor)
https://www.vr-dienste.de/cms/sicherheit/sicherheitsverfahren/smarttan-photo.html

Hier gibt es auch das beste Geschäfts-Konto:
https://www.skatbank.de/geschaeftskunden/geschaeftskonto/kontomodelle/trumpfkonto_business.html

: Bearbeitet durch User
Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rainer S. schrieb:
> Hier gibt es auch das beste Geschäfts-Konto:
> 
https://www.skatbank.de/geschaeftskunden/geschaeftskonto/kontomodelle/trumpfkonto_business.html

Ich weiß, das die Skatbank damit nicht alleine ist, dennoch find ich die 
Preise pro Buchungsposten recht heftig.

Autor: Cyblord -. (cyblord)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Rainer S. schrieb:
> Und, und, und. Nur beim Phototanverfahren
> bekommen die eine 2 Faktor Authentifizierung nicht hin.

Warum ist das Verfahren der DB keine 2 Faktor Autentifizierung? Wo ist 
das Problem? Ob man nun die eine GiroKarte oder den einen Fototanleser 
braucht ist für die Sicherheit doch total egal. 2 Faktor bezieht sich 
auf das Passwort/Pin + Girocard/Lesegerät. Es bleiben 2 Faktoren.

: Bearbeitet durch User
Autor: Rainer S. (rsonline)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Reinhard S. schrieb:
> Ich weiß, das die Skatbank damit nicht alleine ist, dennoch find ich die
> Preise pro Buchungsposten recht heftig.

10 Cent pro Buchungsposten findest Du heftig?
Ich hab' noch nie so wenig Gebühren bezahlt wie dort.
Die örtlichen Banken liegen bei ca. 50 Cent pro Buchungsposten. 
Zuzüglich ca. 5 Euro Grundgebühr.
Was zahlst Du denn und wo?
Welche Bank bietet das denn noch an?

Cyblord -. schrieb:
> Warum ist das Verfahren der DB keine 2 Faktor Autentifizierung? Wo ist
> das Problem? Ob man nun die eine GiroKarte oder den einen Fototanleser
> braucht ist für die Sicherheit doch total egal. 2 Faktor bezieht sich
> auf das Passwort/Pin + Girocard/Lesegerät. Es bleiben 2 Faktoren.

Ok.
Bei der DB brauchst Du wie gesagt nur das Phototanlesegerät.
Das ist in meinen Augen unsicherer. Was ist, wenn das Gerät gehackt wird 
und jemand kopien anfertigen kann. Zwar sehr sehr unwahrscheinlich, aber 
ich fühl' mich unwohl dabei. Auch wenn man bei der DB ein 'Sparbuch' 
haben möchte geht das heute nur noch elektronisch über eine so genannte 
'Sparcard' was im Endeffekt eine normale Bank-Karte ist. Ohne Sparbuch.

Autor: Mw E. (Firma: fritzler-avr.de) (fritzler)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@ Rainer S
Wie jetz?
Man loggt sich beim Online Banling nicht mehr ein?
Wie muss ich mir das vorstellen?
Wenn man auf Login klickt soll man sofort das TAN Gerät ranhalten und 
dann is man eingeloggt?
Für eine Überweisung dann nochmal?

Autor: Rainer S. (rsonline)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mw E. schrieb:
> @ Rainer S
> Wie jetz?
> Man loggt sich beim Online Banling nicht mehr ein?
Doch, das ist ja bei allen Systemen so.
> Wie muss ich mir das vorstellen?
Du brauchst bei einer Überweisung nur das Phototangerät für die TAN 
Generierung, ohne die IC Karte, die das ganze in meinen Augen sicherer 
macht.
> Wenn man auf Login klickt soll man sofort das TAN Gerät ranhalten und
> dann is man eingeloggt?
Nein, nein, da ist weiterhin auch bei der DB eine Pin erforderlich.
> Für eine Überweisung dann nochmal?
Nur für die Überweisung.

Also, wenn jemand die Einlog-Pin hat und das einmal freigeschaltete 
Phototangerät hat kann er frei Schalten und Walten.

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rainer S. schrieb:
> Reinhard S. schrieb:
>> Ich weiß, das die Skatbank damit nicht alleine ist, dennoch find ich die
>> Preise pro Buchungsposten recht heftig.
>
> 10 Cent pro Buchungsposten findest Du heftig?
> Ich hab' noch nie so wenig Gebühren bezahlt wie dort.
> Die örtlichen Banken liegen bei ca. 50 Cent pro Buchungsposten.
> Zuzüglich ca. 5 Euro Grundgebühr.
> Was zahlst Du denn und wo?

Ich zahl seit einiger Zeit 3,50€/Monat und keine Gebühren bei 
Buchungsposten. Liegt aber daran, das es ein Privatkonto bei der lokalen 
RVB ist und ich bisher nie mehr als 40 Posten/Monat hatte, weil jeder 
weitere 0,20€ kostet.

Die RVB wollte mich eigentlich mal auf ein Geschäftskonto umstellen, 
deshalb war ich bei deiner Aussage jetzt etwas überrascht :) Aber das 
mit den Buchungsposten scheint sich wirklich ausgebreitet zu haben :-/

Autor: Jens P. (picler)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Rainer S. schrieb:
> Also, wenn jemand die Einlog-Pin hat und das einmal freigeschaltete
> Phototangerät hat kann er frei Schalten und Walten.

Er braucht dann aber zwei unabhängige Dinge. Die Pin zum Einloggen ins 
Online-Banking und das Smartphone oder den PhotoTan-Reader. Die meisten 
Smartphones sind mit Pin, Muster oder Fingerabdruck geschützt, was eine 
zusätzliche Hürde ist.

Wie das bei anderen Banken ist, weiß ich nicht. Die Deutsche Bank bietet 
jedoch eine Online-Sicherheitsgarantie an, welche Schäden durch 
unberechtigte Nutzung der Sicherheitsverfahren erstattet.

https://www.deutsche-bank.de/pk/digital-banking/sicherheit/sicherheitsverfahren.html

Autor: Rainer S. (rsonline)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jens P. schrieb:
> Wie das bei anderen Banken ist, weiß ich nicht. Die Deutsche Bank bietet
> jedoch eine Online-Sicherheitsgarantie an, welche Schäden durch
> unberechtigte Nutzung der Sicherheitsverfahren erstattet.

Ja.
Das Kleingedruckte steht da aber nicht.
Mag sein, dass die da kulant sind.

Autor: Cyblord -. (cyblord)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Rainer S. schrieb:
> Ok.
> Bei der DB brauchst Du wie gesagt nur das Phototanlesegerät.

Plus dein Password/Pin. Sind 2 Faktoren. Damit ausreichend sicher. Wie 
soll da jemand an beides gleichzeitig und unbemerkt rankommen?

Der Punkt bei 2 Faktor ist, dass man zwei unterschiedliche Arten von 
Dingen braucht: Etwas das man WEIß und etwas das man HAT.
Zwei Dinge die man haben muss erhöhen die Sicherheit nicht automatisch, 
weil wenn ich das eine stehlen kann, warum dann nicht gleich das andere 
mitstehlen?

Und wenn jemand bei dir einbricht und dein Passwort und deinen Tanleser 
aus dir rausprügelt, dann wird er auch deine Girocard noch dazu 
bekommen.


> Also, wenn jemand die Einlog-Pin hat und das einmal freigeschaltete
> Phototangerät hat kann er frei Schalten und Walten.

Ungefähr so wie früher, wenn jemand deinen Pin und deine Tan Liste hat, 
kann er schalten und walten. Was für eine Überraschung.

: Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.