Ich kapiere nicht, wie Online-Banking funktioniert

[Nilson]

Der Algorithmus ist kein Geheimnis. Die Banken, die diese Art von TAN-Generator nutzen, nutzen alle den gleichen Algorithmus. Und eben jener ist auf dem Generator gespeichert.

 

[0-8-15 User]

Aus den Daten berechnet dein Tan Generator eine Zahl.

Der "TAN-Generator" selber berechnet überhaupt nichts. Der dient allein der Ein- bzw. Ausgabe. Die TAN wird im Chip der Girokarte erzeugt, deshalb kann man ein und denselben TAN-Generator auch bei unterschiedlichen Banken und mit unterschiedlichen Karten verwenden.

zudem muss der Generator bei der Bank für das Konto frei geschaltet sein

Nein, die Karte muss freigeschaltet sein. Der Generator spielt keine Rolle, solange er kompatibel ist.

Hm, aber dann muss doch zumindest der Algorithmus auf dem TAN-Generator gespeichert sein?

Bank und Girokarte teilen sich ein Geheimnis. Verlierst du die Karte, ist das Geheimnis nicht mehr geheim und deine Sicherheit futsch. Neu ist im Vergleich zur iTan eigentlich nur, dass die TAN jetzt an Empfänger/Betrag gebunden ist und du dir sicher sein kannst, dass mit der erzeugten TAN kein Schindluder getrieben werden kann.

Es muss also ein Austausch auf Software-Ebene zwischen den Banken und ReinerSCT, die meinen Generator gemacht haben, stattgefunden haben.

Sowohl der Algorithmus als auch das gemeinsame Geheimnis sind auf der Girokarte und nicht im TAN-Generator.

 

[so_la_la]

Der "TAN-Generator" selber berechnet überhaupt nichts. Der dient allein der Ein- bzw. Ausgabe. Die TAN wird im Chip der Girokarte erzeugt, deshalb kann man ein und denselben TAN-Generator auch bei unterschiedlichen Banken und mit unterschiedlichen Karten verwenden.

Die Girokarte kann nicht rechnen oder erzeugen, weil sie keinen Stromanschluss hat. Meinetwegen kann etwas auf ihrem Chip gespeichert sein, aber sie kann nicht rechnen.

 

[0-8-15 User]

Die DKB schreibt (https://www.dkb.de/info/tan-verfahren/chipTAN/):

Danach wird die TAN auf dem Chip Ihrer Girokarte errechnet und durch den TAN-Generator von der Karte ausgelesen.

weil sie keinen Stromanschluss hat

Der nötige Strom kommt vom TAN-Generator.

 

[so_la_la]

Als Schutz vor Banking Trojanern, die sonst einfach im Hintergrund deine Überweisungsdaten (Empfänger und Betrag) manipulieren könnten.

Aber das verstehe ich nicht, weil ja keine Kontrolle im TAN-Generator (oder -Leser) stattfindet (und auch keine stattfinden kann), ob die Summe stimmt. Außer der Alogrithmus würde für jede bestimmte Summe zu jedem bestimmten Empfänger an jedem bestimmten Datum bei jeder bestimmten Bank etc. pp. genau ein bestimmtes Ergebnis liefern können.

wieso kauft man einen tan-generator bei MM? die erhält man doch von deiner Bank gegen ein geringes Entgeld. zudem muss der Generator bei der Bank für das Konto frei geschaltet sein, sonst wird das nix. der tan-generator geht nicht online. er ermittelt die tan aus den vorgegebenen Daten und der ec-karte. es wäre mal wissenswertes was das für ein Generator genau ist. zudem muss man sich bei der Bank erkundigen welche TAN-Verfahren dort unterstützt werden BEVOR man dich einfach was kauft.

Da es ein Gratiskonto bei der DKB ist, werden selbstverständlich keine Geräte gestellt. Die Eur 12,99 sind ein "kleines Entgelt" in dieser Hinsicht und DKB-konform.

 

[Nilson]

Außer der Alogrithmus würde für jede bestimmte Summe zu jedem bestimmten Empfänger an jedem bestimmten Datum bei jeder bestimmten Bank etc. pp. genau ein bestimmtes Ergebnis liefern können.

Genau das macht er. 3 + 4 + 5 ist immer 12. Wobei 3 dein Betrag, 4 die ID deiner Karte und 5 die IBAN ist. Das ist egal, das Ergebnis ist das gleiche. IBAN, Betrag und ID deiner Karte kennt auch die Bank und kann so zum gleichen Ergebnis kommen wie du.

 

[majusss]

Der Generator überträgt per Strom an die Karte und der enthaltene Chip kann dann rechnen und kommunizieren.

 

[0-8-15 User]

Aber das verstehe ich nicht, weil ja keine Kontrolle im TAN-Generator (oder -Leser) stattfindet (und auch keine stattfinden kann)

Die Kontrolle besteht darin, dass die Bank die generierte TAN nur dann akzeptiert, wenn sowohl die letzten 10 Ziffern der IBAN als auch der Betrag mit dem übereinstimmen, was zuvor am TAN-Generator per Flickercode, QR-Code, manuell, ... eingegeben wurde. Wenn du die Daten automatisch also per QR-Code, Flickercode, ... überträgst und danach nicht überprüfst, ob IBAN und Betrag stimmen, dann hast du keine zusätzliche Kontrolle.

wieso kauft man einen tan-generator bei MM? die erhält man doch von deiner Bank gegen ein geringes Entgeld.

Die die meine Bank verkauft kosten trotz Rabatt immer noch mehr als doppelt so viel, wie der TanJack Optic CX.

 

[so_la_la]

Der Algorithmus ist kein Geheimnis. Die Banken, die diese Art von TAN-Generator nutzen, nutzen alle den gleichen Algorithmus. Und eben jener ist auf dem Generator gespeichert.

Krass, oder? Wir kriegen nix davon mit, also ich zumindest.

Die DKB schreibt (https://www.dkb.de/info/tan-verfahren/chipTAN/): Der nötige Strom kommt vom TAN-Generator.

Der Generator überträgt per Strom an die Karte und der enthaltene Chip kann dann rechnen und kommunizieren.

Ah, wicked! Das würde bedeuten, dass sie schon vor 2 Jahren so genial waren, dass auf dem Chip zu speichern...
Tja, besser als Wikipedia hier!

 

[Nilson]

Krass, oder?

Find ich nicht. Die meisten Algorithmen zur Verschlüsselung/Authentifizierung sind offen einsehbar. Zum einen die Mathematische Grundlage als auch oft die Umsetzung, da viel davon open source ist (OpenSSL, VerayCrypt, KeePass um ein paar zu nennen)
Ansonsten, halten sich die Kartenleser einfach an Standards, wenn die Logik auf der Karte selbst ist.
Nennt sich übrigens ChipTAN, wenn du mehr lesen willst:
https://www.wikibanking.net/onlinebanking/verfahren/chiptan/

 

[so_la_la]

Immerhin weiß ich jetzt, warum die erstellten TANs dann doch nicht immer ganz unterschiedlich sind, sondern bspw. immer mit 42 anfangen...

 

[0-8-15 User]

Es wird jedes Mal eine komplett neue TAN generiert. Auch wenn du an das gleiche Konto den gleichen Betrag mehrfach überweist oder mehrere TANs generierst und dann nur die letzte eingibst, um die Überweisung freizugeben.

Aber ich verstehe nicht, auf welche Weise der von mir bei MM gekaufte TAN-Generator TANs generieren kann, die dann von der Bank-Homepage als 'richtig' oder 'falsch' erkannt werden.

Hier wird der ganze Vorgang durchgekaut: https://wiki.ccc-ffm.de/projekte:tangenerator:start

 

[Bart S.]

Es wird jedes Mal eine komplett neue TAN generiert. Auch wenn du an das gleiche Konto den gleichen Betrag mehrfach überweist

Also ich hatte mal zwei Überweisungen an das selbe Konto mit dem selben Betrag und Verwendungszweck probiert und da kam zweimal die selbe TAN bei raus, was dann nicht funktioniert hatte... Weiß aber nicht mehr ob es gereicht hat den Verwendungszweck zu ändern, oder ob ich einen anderen Betrag wählen musste..

 

[0-8-15 User]

Weder Verwendungszweck noch Datum spielen bei der TAN-Generierung eine Rolle.

 

[bisy]

Das würde bedeuten, dass sie schon vor 2 Jahren so genial waren, dass auf dem Chip zu speichern

das ist nicht erst seit zwei Jahren so. das gibt es schon ne Ewigkeit

 

[P220]

Deinem Tan generator gibst du mit dem einschieben der Karte alle relevanten Daten + den Betrag den du eingibst. Et voila korrekte Tan.

Lassen die sich somit nicht auch theoretisch abgreifen? ich mache immer einen weiten Bogen um solche Sachen und versuche nur das aller nötigste zu nutzen. Mein Gedanke: Für eine einmalige Sache, fordere ich Zugang (MFA), da kann nicht viel passieren. Aber bei Kartenlesegeräten (auch bei Perso) gebe ich ja direkt alle Infos raus.

 

[Smurfy1982]

Der Chip auf den Karten ist ein kleiner Computer, darauf läuft im Falle der Zahlungskarten SECCOS.

https://de.wikipedia.org/wiki/Chipkarte

Auch die SIM im Handy ist nichts anderes, gleiches Prinzip. Oder Krankenkassenkarte, Smartcard für PayTV, etc.

 

[bisy]

Lassen die sich somit nicht auch theoretisch abgreifen?

Dazu müssten die Diebe ja dann auch deine Karte besitzen.

ich mache immer einen weiten Bogen um solche Sachen und versuche nur das aller nötigste zu nutzen.

Und wie machst du Überweisungen oder prüfst dein Kontostand. Am Automaten können Diebe ja auch deine Daten abgreifen.

 

[0-8-15 User]

Lassen die sich somit nicht auch theoretisch abgreifen?

Welche Daten sollen sich wie abgreifen lassen?