Sicherheit durch PIN und TAN
[!–T–]
Heute nutzen die meisten Online-Kunden immer noch das PIN-/ TAN-Verfahren. Hierzu erhalten die Kontoinhaber eine PIN-Nummer, mit der sie sich direkt auf der Homepage der Bank einloggen können.
Separat verschickt die Bank noch eine Liste mit Nummern, den so genannten TAN-Block. Für jede Transaktion müssen die Kunden neben der PIN zusätzlich eine TAN eingeben, die jeweils nur einmal gültig ist.
iTAN
Das iTAN-Verfahren geht noch einen Schritt weiter. iTAN steht für indizierte TAN. Der Bankkunde kann beim iTAN-Verfahren seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben.
So wird dem Password-Fishing ein Riegel vorgelegt, denn der Betrüger kann die passende TAN nicht ohne weiteres ergaunern, er bräuchte schon mehrere, unter denen auch zufällig die richtige TAN sein müsste.
eTAN
Das eTAN-Verfahren wird in der Zwischenzeit von den meisten Experten als uneingeschränkt sicher eingestuft. Zur Generierung einer eTAN erhält der Kontoinhaber von seiner Bank ein kleines elektronisches Gerät, den eTAN-Generator.
Bei jeder Überweisung erzeugt die Bank jetzt eine Kontrollnummer, die der Kunde in sein eTAN-Gerät eingeben muss, das dann eine Antwortnummer generiert. Mit der so erzeugten eTAN wird dann die Überweisung freigegeben.
eTAN plus
Hier übergibt die Bank dem Kunden sowohl einen Taschenkartenleser als auch eine eigene Kundenkarte für das Gerät. Wie beim eTAN-Verfahren wird dem Kunden auf der Webseite der Bank eine Kontrollnummer angezeigt, die nach der Eingabe in den Kartenleser eine TAN erzeugt.
Die eTAN wird dabei durch einen geheimen Schlüssel auf der Kundenkarte in Verbindung mit der Kontrollnummer erzeugt. Der Kunde kann dann mit der Antwortnummer seine Überweisung freischalten.
mTAN
Beim mobilen TAN-Verfahren erhält der Kunde für die Bestätigung eines Überweisungsauftrages eine TAN auf sein Handy per SMS. Bei der Kontoeröffnung legt der Kunde fest, auf welche Mobilfunknummer er die TAN geschickt bekommt.
Pingback: Geschenke aus dem Netz - Sicherheit beim Online-Shopping | Girokonten | Redaktion | www.forium.de
Ich benutze HBCI mit Software-Zertifikaten, benötige also kein Kartenlesegerät und kann damit theoretisch auch von anderen Rechnern aus auf mein Konto zugreifen.