Sofortüberweisung

PayPal, Vorkasse, Rechnung, Europaüberweisung - Erfahrungsaustausch für Verkäufer.
Benutzeravatar
d_r_m_s
Beiträge: 3570
Registriert: Do 27. Okt 2005, 11:54
Wohnort: Grossraum Karlsruhe

Re: Sofortüberweisung

Beitrag von d_r_m_s » Fr 26. Aug 2016, 14:35

williwu hat geschrieben:
abgesehen davon halte ich TAN-Listen je nach Anwendung nicht für unsicherer als Generatoren ...
Glaub mir, nach über 10 Jahren Gesprächen mit Bankkunden, die trotz Medienwarnungen und Bankinformation bereitwillig 10 und mehr TAN auf irgendwelchen Phishingseiten angeben, die ihre verloren gegangenen TAN-Listen, wenn sie es denn einen Monat später überhaupt bemerken, trotzdem nicht sperren lassen, die TAN-Liste mit Tesafilm am dienstl. Monitor für alle sichtbar ankleben, sich bis zu fünf TAN-Listen auf Vorrat schicken lassen oder ihre TAN-Listen mehrere Male kopieren, um sie an verschiedenen Orten zu deponieren und was weiß ich nicht noch alles damit anstellen, da würdest du das zumindest im Systemzusammenhang anders sehen.
nicht wesentlich, das liegt aber daran, dass diese Vorgänge sich offensichtlich zwischen verschiedenen Banken doch deutlich unterscheiden:
williwu hat geschrieben:
bis zur Aktivierung der nächsten Liste ... bis dahin muss der neue Besitzer den Zugang zum Konto haben, ansonsten helfen ihm die TAN wenig ...
Wieso? Die TAN werden nur durch Verbrauch oder durch Sperrung der Liste, nicht durch Erstellung einer neuen Liste deaktiviert.
meine damalige Info war, dass durch den Erstgebrauch einer neuen TAN-Liste (nicht durch die Erstellung) die alte TAN-Liste ungültig wird ... die alten TAN sind dann wertlos ...
williwu hat geschrieben:
meine letzten Erfahrungen mit TAN-Listen sahen so aus, dass mir die Bank jeweils mitgeteilt hat, welche der 100 nummerierten TAN ich eingeben sollte
Wo ist dann der Unterschied zu einem Verfahren, dass dir statt der Angabe, welche TAN du verbrauchen sollst gleich die TAN mitteilt? Das Abfangen der TAN beginnt sowieso erst, sobald du sie eingibst. Abgesehen davon: Nur das erste Mal sind es 100 TAN, dann 99, 98 usw.
der Unterschied ist, dass auf dem Hinweg eine Zahl übertragen wird, die mit der einzugebenden TAN nur über die Liste verbunden ist ... die bei mir auf dem Tisch lag, und bei der Bank im Computer gespeichert sein musste ... wer keinen Zugriff auf eine der beiden Tabellen hat kann damit nichts anfangen ...

und wenn man nicht manuell die verbrauchten TAN kennzeichnet, dann sieht die gedruckte Liste nach 99 Transaktionen immer noch so aus wie am ersten Tag ...
williwu hat geschrieben:
der Generator bleibt auch mindestens so lange gültig, bis man ihn verloren meldet oder den nächsten anmeldet ...
Der Generator ist eine Software, welche die TAN bankseitig auf Anforderung generiert. Ob die dir dann per SMS, über eine App oder ein spezielles Gerät, das du von deiner Bank erhältst, mitgeteilt wird, ist am Ende unerheblich.
mein Generator sieht so ähnlich aus wie ein Taschenrechner und generiert die TAN bei mir zu Hause ... der letzte hat etliche Jahre gehalten, bis ich dann einen neuen anfordern musste ...

eine gute Frage ist, ob der auch für andere Konten funktionieren würde ... duplizieren geht allerdings nicht so einfach ...
williwu hat geschrieben:
nö, bei meinem nicht ... bei mir ist es je nach Vorgang ein Teil der eigenen oder der Zielkontonummer
Dann wird es Zeit, das Onlinebankingsystem oder die Bank zu wechseln. Mindeststandard sollte sein, dass eigenes Konto, Datum, Uhrzeit, Empfänger und Betrag bestätigt werden. Egal, ob auf Handy oder anderem Gerät, nur eben nie auf dem PC, von dem aus die Transaktion vorgenommen wird.
müsste ich mal schauen, ob das möglich ist ... nachträglich ...
aber das alles einzutippen, um an eine TAN zu kommen, ist doch eine Menge Aufwand ... :wink:

williwu
Beiträge: 782
Registriert: Mi 18. Mai 2011, 01:11

Re: Sofortüberweisung

Beitrag von williwu » Fr 26. Aug 2016, 19:50

kalokalokairi hat geschrieben:Hoffe ich vergeblich, dass es sich um Einzelfälle handelte?
Es sind immer Einzelfälle, aber davon ganz schön viele. Und nein ...
d_r_m_s hat geschrieben:das liegt aber daran, dass diese Vorgänge sich offensichtlich zwischen verschiedenen Banken doch deutlich unterscheiden:
Es gibt zwischen den Onlinebankingberatern der Banken einen regen Austausch. Wenn überhaupt kann man sagen, dass die öffentlich-rechtlichen Banken sich mehr Mühe mit ihren Kunden geben, die Privatbanken sind in der (Privat-)Kundenberatung (solange es eben um so was wie Girokonto, Onlinebanking geht) hinterher. Aber grundsätzlich sind die Erfahrungen bei allen Bankberatern dieselben.
d_r_m_s hat geschrieben:meine damalige Info war, dass durch den Erstgebrauch einer neuen TAN-Liste (nicht durch die Erstellung) die alte TAN-Liste ungültig wird ... die alten TAN sind dann wertlos ...
Es mag sein, dass deine Bank das so handhabt, aber technisch findet das nicht statt. Es gibt ja auch Kunden, die ausdrücklich mehrere Listen wünschen.
d_r_m_s hat geschrieben:wer keinen Zugriff auf eine der beiden Tabellen hat kann damit nichts anfangen ...
Das Prinzip habe ich verstanden. Aber ich sehe immer noch nicht den Unterschied zu der Übersendung solch einer Nummer oder der einen TAN, die für diese spezielle Transaktion erst generiert wurde und dir auf einem anderen Gerät als deinem PC geliefert wird. So oder so muss die TAN irgendwann in den PC eingegeben werden, und das ist in der Regel der Augenblick, in dem ein Angriff stattfindet.
d_r_m_s hat geschrieben:mein Generator sieht so ähnlich aus wie ein Taschenrechner und generiert die TAN bei mir zu Hause ... der letzte hat etliche Jahre gehalten, bis ich dann einen neuen anfordern musste
So ein Gerät hatte ich auch mal, das Verfahren hieß bzw. heißt wohl noch SmartTAN und läut bei einigen Genossenschaftsbanken (womöglich auch bei anderen unter gleichem oder anderem NAmen, das weiß ich dann nicht). Sobald die Transaktion "abgeschickt" wird, erscheint ein "Flackercode" am Bildschirm, der vom Gerät gelesen werden kann. In diesem Flackercode überträgt das Rechenzentrum die Transaktionsdaten inkl. der TAN. Anders geht's ja gar nicht, wenn der Scanner (das ist es nämlich technisch) die TAN generieren würde, wie sollte denn das Rechenzentrum sie kennen? Am Scanner können dann die Transktionsdaten abgelesen und bestätigt werden, dann erst wird die TAN angezeigt.
d_r_m_s hat geschrieben:aber das alles einzutippen, um an eine TAN zu kommen, ist doch eine Menge Aufwand ...
Wieso eintippen? Die Daten werden dir angezeigt, du kontrollierst sie - eingetippt hast du sie doch im Überweisungsformular.

Benutzeravatar
d_r_m_s
Beiträge: 3570
Registriert: Do 27. Okt 2005, 11:54
Wohnort: Grossraum Karlsruhe

Re: Sofortüberweisung

Beitrag von d_r_m_s » Fr 26. Aug 2016, 20:31

williwu hat geschrieben:
d_r_m_s hat geschrieben:meine damalige Info war, dass durch den Erstgebrauch einer neuen TAN-Liste (nicht durch die Erstellung) die alte TAN-Liste ungültig wird ... die alten TAN sind dann wertlos ...
Es mag sein, dass deine Bank das so handhabt, aber technisch findet das nicht statt. Es gibt ja auch Kunden, die ausdrücklich mehrere Listen wünschen.
kennst du die IT-Seite?
mit TAN hatte ich nie zu tun, aber ich habe etliche Jahre Sonderwünsche für grosse Businesskunden umgesetzt ... da macht man sich eben Gedanken ...
williwu hat geschrieben:
d_r_m_s hat geschrieben:wer keinen Zugriff auf eine der beiden Tabellen hat kann damit nichts anfangen ...
Das Prinzip habe ich verstanden. Aber ich sehe immer noch nicht den Unterschied zu der Übersendung solch einer Nummer oder der einen TAN, die für diese spezielle Transaktion erst generiert wurde und dir auf einem anderen Gerät als deinem PC geliefert wird. So oder so muss die TAN irgendwann in den PC eingegeben werden, und das ist in der Regel der Augenblick, in dem ein Angriff stattfindet.
ich habe nur behauptet, dass das Verfahren mit nummerierten TAN nicht unsicherer ist als die Übertragung einer aktuell erzeugten ...
williwu hat geschrieben:
d_r_m_s hat geschrieben:mein Generator sieht so ähnlich aus wie ein Taschenrechner und generiert die TAN bei mir zu Hause ... der letzte hat etliche Jahre gehalten, bis ich dann einen neuen anfordern musste
So ein Gerät hatte ich auch mal, das Verfahren hieß bzw. heißt wohl noch SmartTAN und läut bei einigen Genossenschaftsbanken (womöglich auch bei anderen unter gleichem oder anderem NAmen, das weiß ich dann nicht). Sobald die Transaktion "abgeschickt" wird, erscheint ein "Flackercode" am Bildschirm, der vom Gerät gelesen werden kann. In diesem Flackercode überträgt das Rechenzentrum die Transaktionsdaten inkl. der TAN. Anders geht's ja gar nicht, wenn der Scanner (das ist es nämlich technisch) die TAN generieren würde, wie sollte denn das Rechenzentrum sie kennen? Am Scanner können dann die Transktionsdaten abgelesen und bestätigt werden, dann erst wird die TAN angezeigt.
sorry, ganz anders ... mein Bildschirm flackert nicht:

ich generiere die TAN, gebe sie ein und schicke die Transaktion ab ... das Rechenzentrum muss ja nur den angesprochenen Algorithmus kennen, mit dem die TAN generiert wird ...

anschliessend kann ich mir die Daten am Computer ausdrucken ...

ausserdem ist es möglich, sich per SMS über Überweisungen informieren zu lassen ...

williwu
Beiträge: 782
Registriert: Mi 18. Mai 2011, 01:11

Re: Sofortüberweisung

Beitrag von williwu » Fr 26. Aug 2016, 21:35

Ich kenne hunderte IT-Seiten. Vielleicht also auch die, vielleicht auch nicht.

Das iTAN-Verfahren mit der Nummerübersendung mag relativ sicher sein (wobei die Chance 1 zu 100, wenn der Angreifer die Liste kennt, oder 1:10.000 wenn er sie nicht kennt, im Gegensatz zu 1 zu 1.000.000 bei der Direkt-TAN-Übertragung steht, das ist ein stochastischer Vorteil). Die iTAN ist anfällig für Phishing und Trojaner. Da magst du dich sicher fühlen dürfen, aber von Seiten der Bank macht ein zuverlässiger Kunde noch keine IT-Sicherheit als Ganzes.

Ich habe noch mal zu den autonomen TAN-Generatoren nachgelesen. Sicherer als das iTAN-Verfahren, aber mit einem Risiko für mitm-Angriffe behaftet, da nicht an eine spezielle Transaktion gebunden und somit der direkten Kontrolle entzogen.

Das mobile-TAN-Verfahren wäre dann vielleicht auch nicht ganz sicher, wenn es dem Angreifer gelingt, auch die App auf deine Rechner zu kapern und dir den ganzen Vorgang (Überweisungsformular auf dem Rechner und TAN-Generierung auf App) vorzugaukeln. Das wäre ein extrem hoher in Echtzeit durchzuführender Aufwand, da muss sich das schon lohnen. Kein Professioneller riskiert das auf die Gefahr hin, ein Konto mit vielleicht 1.000 oder 2.000 EUR leerzuräumen. Und die, bei denen es sich lohnt, machen in der Regel kein PIN/TAN-Verfahren.

Das SmartTAN-Verfahren mit dem Flickercode (Flickering, ist tatsächlich der Fachbegriff) ist auch kaum nachzubauen. Da müsste ein Angreifer in Echtzeit die gerade abgefischten Daten per Flickercode übertragen. Ich hatte vergessen zu erwähnen, dass das Gerät nur bei eingeschobener Bankcard funktioniert - ein zusätzlicher Sicherheitsaspekt.

Also ich bleibe dabei: Wenn schon TANs, dann entweder mit mTAN oder noch besser pushTAN oder der Scanner mit Flickering. Oder das neueste TAN-Verfahren mit QR-Code. Das größte Risiko beim Onlinebanking ist sowieso der DAU.

Benutzeravatar
d_r_m_s
Beiträge: 3570
Registriert: Do 27. Okt 2005, 11:54
Wohnort: Grossraum Karlsruhe

Re: Sofortüberweisung

Beitrag von d_r_m_s » Sa 27. Aug 2016, 08:20

williwu hat geschrieben:Ich kenne hunderte IT-Seiten. Vielleicht also auch die, vielleicht auch nicht.
eigentlich dachte ich mehr an explizite Kenntnisse dessen, was die Klickerei auf dem Bildschirm im Hintergrund auslöst ...

die meisten Kreditberater haben z.B. mit Sicherheit keine Ahnung, was bei einer Kreditvergabe im Hintergrund passiert ...
williwu hat geschrieben:Das iTAN-Verfahren mit der Nummerübersendung mag relativ sicher sein (wobei die Chance 1 zu 100, wenn der Angreifer die Liste kennt, oder 1:10.000 wenn er sie nicht kennt, im Gegensatz zu 1 zu 1.000.000 bei der Direkt-TAN-Übertragung steht, das ist ein stochastischer Vorteil)
wie kommst du auf 1:10.000, wenn man keinerlei Daten hat?

die 1:100 ist richtig, und vermutlich i.d.R. ca. 1:33 dafür, dass es klappt, bevor die Liste gesperrt wird ...
williwu hat geschrieben:Ich hatte vergessen zu erwähnen, dass das Gerät nur bei eingeschobener Bankcard funktioniert - ein zusätzlicher Sicherheitsaspekt.
zweifellos ... und noch ein Gadget zum anschliessen und auf den Tisch stellen ... :roll:
williwu hat geschrieben:Das größte Risiko beim Onlinebanking ist sowieso der DAU.
und der kann zu Hause oder in der Bank sitzen, wie man an den immer wieder auftretenden 'Glitches' auch bei deutschen Finanzhäusern sieht ... :mrgreen:

Antworten