Smart Tan Verfahren (son Generator dingens)

[Getraenkeautomat]

Meine Bank hat mich angeschrieben ich solle doch bis spätestens Ende April auf das "Smartan verfahren" umstellen. Alternativ gebe es das mobileTan verfahren für gefühlte 5,40 € pro Tan. "Im Ausland können Sie das aber vergessen".
Bin also hin zur Bank und hab mir so ein "Generator" geholt für 8,99 €. Vorhin ausgepackt und den Registrationsprozess begonnen.


Möchten Sie mit der automatischen Registrierung beginnen?
Ja
Bitte halten Sie das Gerärt vor den Bildschirm. Auf dem Bildschirm gab es so eine Art schlechtes Flash mit einem "Barcode". Alles klar versucht, "Erkennung fehlgeschlagen".
Wollen Sie es manuell registireren?" "Ja"
Gerät spuckt eine Tan 59234 aus. Bitte geben Sie den Tan ein und bestätigen Sie "Fehlgeschlagen"
Wollen Sie zur Anleitungsvideos?
Ja. Klick
Plötzlich lande ich von meinem account in Demokunde mit Kontostand 23.034 Euro. Aber kein video/keine Anleitung. Meine persönliche Anmeldesession ist urplötzlich beendet.
Hab das ganze nochmal gestartet und irgendwie hat es dann mit etwas spielerei funktioniert.


Bin bei der Volksbank. Was mich interessieren würde habt ihr sowas bei euren Banken auch? Ist es dort seriöser gehandhabt?
Vor Ort wurde mir gesagt, dass dies eine Initiative sei um die Sicherheit zu erhöhen...

 

[Chnum]

Hab letztens auch ein Brief von der Sparkasse bekommen, dass das alte TAN-Verfahren eingestampft wird und stattdessen auf SMS oder diesen Generator umgestellt wird. Hab den Brief beiseite gelegt und mich nicht weiter drum gekümmert

Aber wenn das auch so toll funktioniert, dann freu ich mich jetzt schon...

 

[Btah]

mein Ex hatte auch diese Kästchen von der Volksbank und das dann auch nur unter Anleitung hingekriegt...deswegen hab ich mich dann doch lieber für TAN aufs Handy entschieden, aber bisher musste ich noch keine Überweisung damit machen

 

[Casual]

comdirect. haben ne tan liste. gescannt und ab in die dropbox. win

 

[zYkLuS]

Ja die Banken stellen jetzt alle nach und nach um.
TAN Liste wirds dann bald gar nicht mehr geben, ist also nicht die beste Methode es einfach zu ignorieren @ Chnum

 

[lemontree]

Ich hab auch son Ding von der Volksbank, hatte noch nie Probleme damit. Ausser, wenn ich das Gerät mal wieder verlegt habe, aber das würde mir bei ner Liste auch passieren.

 

[Utilitygott]

Diesen Drecksgenerator, ein Glück, dass ich den nicht habe... ich find auf meinem Schreibtisch ja nichtmal mehr den Taschenrechner
Wo zum Geier bist du denn? Bei mir (Sparkasse) kostet jede per sms zugeschickte TAN 9 Cent - da lohnt sich son Generatorteil erst, wenn man täglich nen Haufen Überweisungen raushauen muss.

€: Volksbank, Lesen sollte helfen

 

[Btah]

bei der Postbank kriegt man die SMS für lau ~~

 

[deleted_24196]

Habe auch so nen Generator von der Volksbank und hatte weder bei der Einrichtung noch bei der Benutzung irgendwelche Probleme. Läuft!

 

[parats']

Haspa und SMSTan, ist in meinem günstigsten Giro-Paket umsonst mit drin.

 

[Thiel]

Habe schon seit über einem Jahr TAN per SMS und will auch nichts anderes mehr. Bin bei www.donner.de

 

[Tomate]

TAN Liste @ Comdirect

Aber wenns soweit ist will ichbeides:
SMS und den Generator. Finde es beknackt mich für eins von beiden entscheiden zu müssen.
Generator kann ich auf arbeit im Büro nicht brauchen, da fordere ich dann gerne SMS an.
Zuhause, kann ich gern nen Generator nehmen.

 

[RambosDad]

Hier Smstan gratis dabei

Aut ftw

 

[Tomate]

Hier Smstan gratis dabei

Aut ftw

Hier ? welche Bank...

 

[Staddi]

Postbank, SMS Tan, kostenlos.

 

[HarryHard0]

Sparkasse und habe eine Tanliste per Brief zugeschickt bekommen. Zum glück habe ich keinen scheiß Generator. Bestimmt schon 100 per Tanliste gemacht und nie Probleme.

 

[Entelechy]

comdirect. haben ne tan liste. gescannt und ab in die dropbox. win

Ich habs mir als FB bild hochgeladen. Funzt auch total supi.
PWs fürs Onlinebanking in die Notes bei FB geschrieben, so vergess ich die nicht.

 

[RambosDad]

Hier ? welche Bank...

Steiermärkische Bank , Graz Österreich!

 

[Deleted_504925]

bin bei der volksbank, bisher hab ich noch die tan liste, mal schauen wann sie hier umstellen.

 

[EasyRider]

Sparkasse und habe eine Tanliste per Brief zugeschickt bekommen. Zum glück habe ich keinen scheiß Generator. Bestimmt schon 100 per Tanliste gemacht und nie Probleme.

Gibts aber bald auch nicht mehr bei der Sparkasse oder sonstwo. Wird aus sicherheitstechnischen Gründen umgestellt.

Habe smsTAN und bin damit zufrieden, bei 4-6 Überweisungen im Monat ist das auch völlig ausreichend für mich.

 

[Casual]

Ich habs mir als FB bild hochgeladen. Funzt auch total supi.
PWs fürs Onlinebanking in die Notes bei FB geschrieben, so vergess ich die nicht.

welche sau sollte bitte meine dropbox hacken. und dann weiß er noch ned mals meine benutzernummer, geschweige den mein 6 stelliges Passwort...
so ist die tan liste ein feuchten dreck wert.

 

[Entelechy]

welche sau sollte bitte meine dropbox hacken. und dann weiß er noch ned mals meine benutzernummer, geschweige den mein 6 stelliges Passwort...
so ist die tan liste ein feuchten dreck wert.

N guter Trojaner sollte eigentlich den tripple win aus TAN(bei dropbox)+Kontonummer+PW hinbekommen. Genau aus dem Grund gibt es ja TANs!

 

[Casual]

hab die tan liste mal in ein passwortgeschütztes rar gepackt.
ich hatte zwar noch nie ein keylogger oder ein trojaner, aber du hast schon nicht ganz unrecht.

 

[Steep]

nur weil zuviele leute zu behindert sind mit einem PC umzugehen muss ich mir also jetzt wieder umstände machen.

Sollen se es halt optional anbieten und es nur leuten vorschreiben die schonmal probleme hatten aufgrund ihrer dummheit.

Ich mach online banking via smartphone und da ist die tanliste die gewichts und platzsparend in meinem portmonaise ist einfach mal die beste methode.

 

[deleted_24196]

Denke mal das wird auch eine Art Selbstschutz für die Banken sein. Die Bank will wohl Klagen vorbeugen.

 

[RambosDad]

Und warum sollte ne Liste die man mit sich rum schleppt besser sein als eine SMS die man nur dann bekommt wenn man sie anfordert ?

 

[deleted_24196]

Weil die TANs auf der Liste für jede Überweisung gültig sind. Bei dem TAN-Generator muss man vorher noch zwei spezifische Dinge (Kto.-Nr. und BLZ) eingeben und daraus wird dann erst die passende TAN generiert*. Wie man das mit den SMS-TANs funktioniert weiß ich nicht.

*So ist eine Überweisung mit der generierten TAN für Kto.-Nr. 1234 und BLZ 789 auf ein anderes Konto/andere Bank (BLZ) nicht möglich.

 

[Entelechy]

Ist halt auch mit timestamp und soll so leuten wie casual vorbeugen, die ihre tans aufm pc gespeichert haben.

 

[VoodooDog]

warum das alte tan verfahren verwerfen?
funktioniert super und ist, solange niemand in meine wohnung einbricht, das sicherste.

 

[HERR 2FICKENDEHUNDE]

woher beziehst du deine infomationen? das alte tan verfahren ist nicht sicher und dafür muss ich auch nicht in deine wohnung einbrechen.

 

[deleted_24196]

Dazu auch der tagesschau.de-Artikel:

Mehr Sicherheit beim Online-Banking: Die TAN kommt künftig per SMS
Sicherheit ist beim Online-Banking unerlässlich für das Vertrauen der Kunden. Banken und Sparkassen ersetzen das bisherige TAN-Verfahren mit Papierlisten deshalb in den nächsten Monaten. Künftig kommt die Transaktionsnummer aus einem kleinen Gerät oder per SMS aufs Handy. weiterlesen...

 

 

[Btah]

das alte tan verfahren ist nicht sicher und dafür muss ich auch nicht in deine wohnung einbrechen.

na das würd mich jetzt mal interessieren...wenn jemand nicht in meine Wohnung eingebrochen ist um an meine TAN-Liste zu kommen, inwieweit soll derjenige dann bessere Chancen gehabt haben ne Überweisung von meinem Konto zu tätigen als jetzt?

 

[HERR 2FICKENDEHUNDE]

na das würd mich jetzt mal interessieren...wenn jemand nicht in meine Wohnung eingebrochen ist um an meine TAN-Liste zu kommen, inwieweit soll derjenige dann bessere Chancen gehabt haben ne Überweisung von meinem Konto zu tätigen als jetzt?

Das iTAN Verfahren beim Online Banking ist nicht trojanersicher
So funktioniert der Man-in-the-Middle Angriff eines Trojaners auf das iTAN-Verfahren (nach dem Motto "tarnen, abhoeren, faelschen, taeuschen"):

Der Bankkunde gibt eine Ueberweisung ein, sagen wir 50 Euro an X. Das Formular wird vom Bankkunden abgeschickt, doch noch bevor es verschluesselt wird (SSL) und durch das Internet an die Bank geschickt wird, faengt der Trojaner es ab und macht daraus eine Ueberweisung von 5000 Euro an Y. Dieser manipulierte Ueberweisungsauftrag wird verschluesselt und an die Bank geschickt. Die Bank empfaengt den Auftrag und schickt die Rueckfrage "Bitte bestaetigen Sie die Ueberweisung von 5000 Euro an Y mit der iTAN Nr. 37!" an den Bankkunden. Nachdem die Nachricht beim Kunden-Rechner angekommen ist und entschluesselt worden ist, aber noch bevor sie auf dem Bildschirm des Bankkunden angezeigt wird, faengt der Trojaner sie ab und zeigt dann dem Bankkunden am Bildschirm anstattdessen an "Bitte bestaetigen Sie die Ueberweisung von 50 Euro an X mit der iTAN Nr. 37!". Ahnungslos gibt der Kunde seine iTAN Nr. 37 ein. Der Trojaner gibt die iTAN an die Bank weiter. Die Bank ueberweist 5000 Euro an Y. Weder der Kunde noch die Bank haben etwas von dem Betrug bemerkt. Wenn der Trojaner gut geschrieben ist, prueft er vor dem Angriff, wieviel der Bankkunde maximal ueberweisen kann, und zeigt nach dem Angriff dem Bankkunden noch ein paar Tage lang in der Konto-Uebersicht Daten an, die so aussehen, als wenn 50 Euro an X ueberwiesen worden waeren.

http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/
http://de.wikipedia.org/wiki/Transaktionsnummer

 

[VoodooDog]

woher beziehst du deine infomationen? das alte tan verfahren ist nicht sicher und dafür muss ich auch nicht in deine wohnung einbrechen.

transaktionen von meinem konto können nur mit der tanliste, die bei mir zuhause liegt, getätigt werden. was genau ist daran "nicht sicher"?


€: wenn ich die tan per sms bekomme wird das trojaner problem aber nicht gelöst, oder?

 

[Entelechy]

na das würd mich jetzt mal interessieren...wenn jemand nicht in meine Wohnung eingebrochen ist um an meine TAN-Liste zu kommen, inwieweit soll derjenige dann bessere Chancen gehabt haben ne Überweisung von meinem Konto zu tätigen als jetzt?

vorher konnte man deine tan "abfischen" über ne gefakede Eingabemaske ("Wichtige Email von ihrem Sparkkassen Kundenserwice"). Jetzt funktioniert das nicht mehr, da die Tan an das Empfängerkonto gebunden ist.

Unglaublich wie viele Leute auf phishing Emails reinfallen, wird dem durchschnittlichen bw.deler wahrscheinlich weniger passieren (wobei hier auch einige Hirnakrobaten rumrennen - ich sag nur blauer Hund *hust*, muss man nur manche Threads im Technik oder Comm anschaun), aber in der Gesamtbevölkerung ist dieses Problem weitaus größer.

 

[HERR 2FICKENDEHUNDE]

transaktionen von meinem konto können nur mit der tanliste, die bei mir zuhause liegt, getätigt werden. was genau ist daran "nicht sicher"?

dein aberglaube.

siehe die links die ich gepostet habe. darüber hinaus sind mitm und phishing natürlich weitere potentielle kandidaten.

 

[FORYOUITERRA]

lol. wie hier ernsthaft und ohne mit der wimper zu zucken über sicherheit diskutiert wird.
der grund, warum es den kartenleser gibt ist, dass damit enorm viele kosten auf seiten der bank eingespart werden. nicht mehr und nicht weniger.

 

[Entelechy]

lol. wie hier ernsthaft und ohne mit der wimper zu zucken über sicherheit diskutiert wird.
der grund, warum es den kartenleser gibt ist, dass damit enorm viele kosten auf seiten der bank eingespart werden. nicht mehr und nicht weniger.

schließt deiner meinung nach das eine das andere aus?

 

[matze]

seit Anfang des Jahres SMS Tan bei der Sparkasse weil ich viel unterwegs bin und das Dingens nicht immer mitschleppen wollte. Ich hab meinen Sparkassen Mensch nur was vorgeheult das alles jetzt schlechter ist das neue System so hackanfällig ist und bla bla. Dann noch kurz erwähnt das es bei unserer 2ten Bank am Ort noch das alte System gibt und das ja besser wäre wenn man über die Bank alles abwickelt und bam keine Kosten für mich.

SMS Tan passt schon, auch nicht unsicherer als die alte Variante und ist mit weniger Aufwand verbunden. Das flash-dingens hat mein Bruder und der braucht jetzt für ne Online-Überweisung mindestens doppelt so lange wie früher

 

[zerg123]

vorher konnte man deine tan "abfischen" über ne gefakede Eingabemaske ("Wichtige Email von ihrem Sparkkassen Kundenserwice"). Jetzt funktioniert das nicht mehr, da die Tan an das Empfängerkonto gebunden ist.

Ja toll, in Zukunft sagt dann der Trojaner wahrscheinlich sowas wie:


Achtung, sie wollen auf das Konto ABC überweisen, die Firma XYZ hat das Konto gewechselt, die neue Kontonummer lautet blablablub.

Oder ähnliches.