iTAN

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

iTAN steht für indizierte TAN. Hierbei erhält der (Bank)-Kunde von seiner Bank eine Liste mit TANs. Jede TAN ist zusätzlich noch mit einer fortlaufenden Nummer indexiert. Zur Authentifizierung einer Transaktion fragt die Bank nun durch Angabe des Index eine ganz bestimmte TAN aus der TAN-Liste ab.

Aus Sicherheitssicht reduzierte diese Weiterentwicklung der TAN-Idee die Erfolgsaussichten eines Angriffs schon beträchtlich. Allerdings bestand weiterhin die Möglichkeit der Durchführung von MitM/MitB-Angriffen, um beispielsweise entweder direkt auf dem Computer des (Bank)-Kunden nach iTAN-Eingabe eine Überweisung auf ein geändertes Konto zu veranlassen oder über gefälschte Bank-Webseiten die iTAN in veränderte Transaktion einzubauen. Im Endeffekt wurde ein Angreifer gezwungen, zeitkritische Online-Angriffe zu realisieren. Gängige Hacker-Tools beherrschten aber bald solche Angriffsmethoden.

Auf Grund des Inkrafttretens der Zweiten EU-Zahlungsdiensterichtlinie (PSD2) werden iTANs abgeschafft. Der Stichtag für Banken und Kunden ist der 14. September 2019, danach [1] werden iTANs nicht mehr akzeptiert.

Eine Weiterentwicklung ist das als chipTAN oder smartTAN bezeichnete Verfahren, bei dem mit einem handlichen Gerät (TAN-Generator) und einem bei den neusten Versionen angewendeten optischen Verfahren (Flickering) auch Empfängerkonto und Betrag rückbestätigt werden, so dass mit der erzeugten TAN keine Überweisung mit anderen Daten erfolgen kann. Die Methode "Man-In-the-Middle" ist damit zunächst nicht mehr möglich.


Einzelnachweis

  1. Chip: 2019 verschwindet ein beliebtes TAN-Verfahren


Siehe auch



Diese Seite wurde zuletzt am 17. Juli 2019 um 13:14 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Admin.