Vielleich weil die Gültigkeit der Tan zeitlich begrenzt ist?

.. ich habe auf ChipTan (comfort) umgestellt.

Meine Bank stellt auch das Papiertanverfahren in Kürze ein.

Es gab als Alternative nur sms-Tan oder ChipTan.
Da war mir ChipTan sympatischer.

Grüße
Klaus

wäre eine Variante. Aber auch bei der Papiervariante muss ich die angeforderte Tan innerhalb weniger Minuten eingeben (mir wird zum Beispiel gesagt das ich für die Transaktion Tan Nr. 54 von 100 möglichen eingeben muss)

@Klaus: genau das hat mich zu diesem Thema veranlasst. Ich kann einfach nicht nachvollziehen warum das Papierferfahren dem sms-Verfahren weichen muss.

Weniger Bäume müssen sterben.
(ok, abgesehn von denen für die Herstellung des Handys, der Telefonmasten, des nötigen Stroms usw.)

Stichwort: Phishing-

Das ist für uns IT-Heinies, die ständig um Sicherheit bemüht sind vielleicht schwer nachzuvollziehen, aber es soll tatsächlich Deppen unbedarfte Nutzer geben, die auf die Anforderung "Bitte geben Sie zur Kontrolle 10 unverbrauchte TANs ein" reagieren.
Mach das mal, wenn du jeweils nur EINE TAN kriegst, wenn du eine Anfrage an deine Bank stellst.

Das SMS-Tan-Verfahren ist nicht umbedingt sicherer als andere Verfahren. Die Sicherheit kommt vor alllem daher, dass es eine zweistufige Authentifizierung ist. Erst muss man Benutzername und Passwort eingeben - danach kommt die TAN.

Das heisst, dass beim hypothetischen Handy-Klau erst einmal das Passwort bekannt sein muss, bevor überhaupt das geklaute Handy zum Zuge kommen kann. Zugegeben, es ist je nachdem gar noicht so schwer an das Passwort zu kommnem (z.B über einen Keylogger).

Insofern macht es auch keinen grossen Unterschied ob man eine Streichliste, ein RSA-Token oder ein Handy klaut... Zugegeben es ist wahrscheinlich einfacher an ein Handy eines bekannten ranzukommen, allerdings glaube ich nicht, dass ein Handyklau lange unbemerkt bleiben würde. Weil ja da die meisten Leute es in der Regel bei sich tragen und es bemerken würden wenn das Ding plötzlich nicht mehr da ist. Man sollte dann schnell genug reagieren die Bank bzw. das Unternehmen dann kontaktieren und den Zugang sperren lassen.

Auserdem müsste der hypotetische Verbrecher sehr vorsichtig sein weil das Handy geortet werden kann und weil auch das waschen des Geldes nicht umbedingt ganz einfach ist - man kann (also die Justiz) schliesslich zurückverfolgen wohin das Geld fliesst...

Das zur Zeit sicherste Online-Verfahren (absolut sicher gibt es eh nicht) ist und bleibt HBCI mit ChipCard und einem Class2/3 Lesegerät.

Alle anderen Verfahren mit TAN (wo auch immer die herkommen) sind anfällig für Phishing-Attacken (die wollen ja eine TAN haben).
Hat man keine TAN (bei HBCI mit ChipKarte gibt es keine TANs) kann man auch keine weitergeben

Jeder der etwas anderes benutzt soll bitte nicht nachher weinen, weil die Kohle flöten ist.
Und wenn meine Hausbank das nicht anbieten kann, dann muss ich mich fragen, warum ich bei denen bin.
(Ist für mich immer ein K.O.-Kriterium bei der Bank-Wahl gewesen, seit es HBCI mit ChipCard gibt)

Ausgenommen dem Pishing-Beitrag sind das alles keine Argumnente für die SMS-TAN. Meine TAN Liste liegt Zuhause gut verstaut, da kommt so leicht keiner dran.
Wenn ich mich als für klug genug halte um solche Pishingversuche zu erkennen und die Zettel-TAN eben gut verstaut bei mir aufbewahre, hat Sir Thornberry imho recht, wenn er behauptet die Zettel-TAN ist sicherer.

Zurückverfolgt werden, wo das Geld hingeht, kann die Justiz in beiden Fällen
Interessant ist das mit der Ortung: Wenn ich nur eine TAN-bekäme wenn mein Handy geortet werden kann und diese Ortung gespeichert würde / sich in einem definierten Radius um eine von mir vorgegebene GPS-Koordinate befindet, wäre das sicher noch ein sicherer Schritt, kollidiert da aber stark mit dem Datenschutz und hat den faden Beigeschmack dass ein Handy nunmal nicht immer ortbar ist, auch wenn gps aktiv ist....

[Edit] ODer halt direkt die bessere Variante ohne TAN


Gruß
Ansgar

Öh..HBCI mit Chipcard? Sind damit die verfahren gemeint, bei denen ich onlinen einen zahlencode bekomme(nach dem einloggen), bei mir vorm monitor die karte in ein offline lesegerät einstecke und den code eingebe um den zeitlich beschränkten Tan zu bekommen o.O(wäre dass was ich habe)

Handy + Kontonummer != Kontozugang

Da fehlt noch mindestens das Passwort zum Einloggen. Bei meiner Bank ist es sogar so, daß man sich nicht mit der Kontonummer anmeldet, sondern mit einem Usernamen. Was ich an dem SMS-Verfahren nicht so doll finde ist die Usability. Chipkarte/Lesegerät finde ich zu teuer, und ganz ehrlich, für den Privatgebrauch zu unhandlich/aufgeplustert. Ich hab doch mehrere Wochen Zeit unlautere Buchungen zu stornieren. Verantwortungsvollen Umgang mit dem eigenen Konto sollte man schon pflegen, dann kann in der Regel kaum was schief gehen.

Sherlock