Bieten Sparkassen bereits Smart TAN an ?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 10
Dabei seit: 11 / 2004
Betreff:

Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 06.05.2005 - 10:41 Uhr  ·  #1
Tag,
wird bei den Sparkassen bereits Smart TAN angeboten ?
oder
befindet sich Smart TAN dort in der Entwicklung ?
oder
wird Smart TAN von den Sparkasssen gar nicht entwickelt ?
Vielen Dank für ein bischen INPUT.
fujitsu
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 06.05.2005 - 11:02 Uhr  ·  #2
Das kann ich nicht allgemein sagen,
die Sparkassen am RZ SI jedenfalls nicht in nächster Zeit. Das Projekt ist niedrig priorisiert, der Vorteil gegenüber den papierhaften TAN-Listen ist für uns nicht so groß.
Sicherheitstechnisch macht es keinen Unterschied, kostenseitig rechnet sich der Handleser erst ab geschätzten 10 Listen...
Die Karten sind aber seit einiger Zeit mit Generator ausgestattet.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 06.05.2005 - 11:24 Uhr  ·  #3
Wird wohl bei der SFit nicht anders gesehen, denn nur vom Papier wegkommen ist zu wenig um Smart-Tan einzuführen, dann bitte noch ein Sicherheitsplus durch Zweischrittverfahren wie bei mTan(IZB) oder Identifier (ABN Ambro) ;-)
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 06.05.2005 - 11:35 Uhr  ·  #4
Hallo Captain,

deinen Ausführungen muss ich doch etwas widersprechen!

Zitat geschrieben von Captain FRAG

Sicherheitstechnisch macht es keinen Unterschied,

Da alle vorherigen TANs unbrauchbar sein sollten, ist der Sicherheitsaspekt beim Smart TAN größer!

Zitat geschrieben von Captain FRAG

kostenseitig rechnet sich der Handleser erst ab geschätzten 10 Listen...

Das hängt davon ab, welchen Kostenfaktor für den Tanbogen angenommen wird. Hier kenne ich Werte zwischen 0,50 Euro (sicherlich keine Vollkostenrechnung) und knapp unter 10 Euro.
Realistisch gerechnet liegt der Wert, ab wann sich Smart TAN rechnet wohl eher zwischen einer und fünf Listen.

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 06.05.2005 - 11:41 Uhr  ·  #5
Zitat geschrieben von Holger Fischer
Hallo Captain,

deinen Ausführungen muss ich doch etwas widersprechen!

Zitat geschrieben von Captain FRAG

Sicherheitstechnisch macht es keinen Unterschied,

Da alle vorherigen TANs unbrauchbar sein sollten, ist der Sicherheitsaspekt beim Smart TAN größer!


Ich denke es ist allen klar, dass es lediglich ein zusätzlicher Zeitfaktor ist, wer es als zusätzliche Sicherheit verkaufen will ok, aber sollten ja alle wissen, dass es kein Problem darstellt, Daten schnell zu Gold zu machen...

Vielleicht wird es zur Zeit von den Phishern noch nicht so praktiziert, aber was sagst du einem Kunden, dem du das so als zusätzliche Sicherheit verkauft hast und wenn morgen in Echtzeit gephisht wird?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 06.05.2005 - 12:05 Uhr  ·  #6
Zusätzliche Sicherheit kann ich bei Papierlisten auch erreichen, z.B. durch das indizierte Verfahren das wir jetzt kriegen und die Postbank auch einsetzen möchte.

Bei den Kosten kann ich nur das ansetzen, was uns unser RZ in Rechnung stellt. Das werden sicherlich Vollkosten sein, denn geschenkt bekommen wir nix. Unser TAN Versand ist vollautomatisch, daher habe wir nur dann mit TAN-Listen zu tun wenn eine Adresse fehlerhaft ist und die Liste von der Post zu uns kommt.
Die Kosten sind etwa in Höhe des Portos, da wir ordentliche Mengenrabatte von der Post bekommen und die Druck- und Verpackungskosten damit abgedeckt werden können.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 11:35 Uhr  ·  #7
Mal ein Nachtrag zum Thema Sicherheit:

Die indizierte TAN Liste bietet sogar gegenüber der Smart-TAN gehörige Vorteile, von daher denke ICH Stand heute nicht, das die Smart-TAN bei uns je kommen wird. Das wäre vom Betrachtungswinkel Sicherheit her eher ein Rückschritt.

Gründe:
-TAN verfällt ungenutzt nach Anforderung des Indexes in 7 Minuten (Leerverbrauch)
-Indizierte TAN ist nur innerhalb der aufgerufenen Browser-Session gültig, bei Beendigung der Session oder Abbruch der TAN Eingabe wird sie ebenfalls leer verbraucht, bei Nutzung in einer anderen Session wäre es ein Fehlversuch, da ja ein anderer Index angefordert werden würde
-Mehrfachanforderungen eines Indexes führen nach drei Versuchen zur (Index-) Sperre (neu) des Kunden

=> Phishing ist mit Index-TAN ziemlich unmöglich
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 11:57 Uhr  ·  #8
Hallo Captain,

eigentlich wollte ich das Thema uf siche beruhen lassen, aber so:
Deine Aussage bezüglich der Sicherheit ist schlicht falsch!

Das ganze Prozedre mit den indizierten TAN Listen kann ich auch mit Smart TAN nachstellen! Mit der zusätzliche Sicherheit, dass der TAN Generator nicht kopiert werden kann bzw.!

Es gibt beim papierhaften TAN Bogen keinen Sicherheitsvorteil, den ich mit einem TAN Generator nicht so oder besser nachbilden kann! (Klar für diverse Anforderungen würde ein anderer Leser benötigt werden, den es aber auch schon gibt!)

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 12:04 Uhr  ·  #9
Dann Frage ich mich allerdings warum es nicht gemacht wird. Sicherlich stehen Kostenaspekte dahinter, die bei papiergebunden Listen so nicht auftreten.

Sicher kann man den TAN-Generator nicht kopieren, so wie das bei Papier möglich ist. Dafür kann man die Karte einfacher klauen (Portemonaie) als die Liste, die sicherlich seltener "am Mann" geführt wird.
Aber eine generierte und erphiste TAN kann zumindest solange missbraucht werden, wie keine nachfolgende durch den Kunden selber eingesetzt wird. Das ist beim Index-Verfahren nicht mehr möglich. Dafür ist das System aber auch unbequemer.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 12:09 Uhr  ·  #10
Zitat geschrieben von Holger Fischer
Hallo Captain,

eigentlich wollte ich das Thema uf siche beruhen lassen, aber so:
Deine Aussage bezüglich der Sicherheit ist schlicht falsch!

Das ganze Prozedre mit den indizierten TAN Listen kann ich auch mit Smart TAN nachstellen! Mit der zusätzliche Sicherheit, dass der TAN Generator nicht kopiert werden kann bzw.!

Es gibt beim papierhaften TAN Bogen keinen Sicherheitsvorteil, den ich mit einem TAN Generator nicht so oder besser nachbilden kann! (Klar für diverse Anforderungen würde ein anderer Leser benötigt werden, den es aber auch schon gibt!)

Gruß

Holger


Aber wenn man von SmartTAN redet, ist damit das jetztige Verfahren gemeint und nicht was man irgendwann in der Zukunft machen könnte und der momentane Vorteil beschränkt sich auf die papierlose Lösung. Mit der indizierten TAN-Liste oder auch mTAN gibt es eine sessionbasierte TAN-Nr und dadurch ist Email-Phishing nicht mehr möglich.

Die eigentliche Sicherheitsdiskussion geht ja auch nicht um Smart-TAN vs indizierte TAN-Liste sondern "normal" vs "zweischritt" und der SmartTANgenerator repräsentiert das "normale" Verfahren nur eben als papierlose Lösung.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 12:18 Uhr  ·  #11
Hallo Stoney,

sorry, aber eine indizierte TAN gibt es aktuell auch nicht! Also wenn also vom Vorteil der indizierten TAN gesprochen wird, ist dies auch ganz deutlich mit einem Smart TAN möglich! Und beim Vergleich der Systeme Stand heute ist SmartTAN ganz klar sicherer als ein Papier Tanbogen.

Die mTAN halte ich mal aussen vor, da Sie zwar durch die Zwei Wege Autorisierung deutlich sicherer als die Papier TAN ist, aber Aufgrund der praktischen Nutzung und der verbundenen Kosten wohl eher eine Rand Lösung.

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 12:27 Uhr  ·  #12
Zitat geschrieben von Holger Fischer
Hallo Stoney,

sorry, aber eine indizierte TAN gibt es aktuell auch nicht! Also wenn also vom Vorteil der indizierten TAN gesprochen wird, ist dies auch ganz deutlich mit einem Smart TAN möglich! Und beim Vergleich der Systeme Stand heute ist SmartTAN ganz klar sicherer als ein Papier Tanbogen.


Aber der SmartTANGenerator repräsentiert eindeutig ein "ein Weg" Verfahren, die indizierte TAN-Liste wie auch mTan eine 2-Weg-Autorisierung. Das ein Generator sicherer ist als Papier sehe ich nicht so, auch einen Generator kann ich entwenden etc, dort gibt es keine Unterschiede...

Zitat
Die mTAN halte ich mal aussen vor, da Sie zwar durch die Zwei Wege Autorisierung deutlich sicherer als die Papier TAN ist, aber Aufgrund der praktischen Nutzung und der verbundenen Kosten wohl eher eine Rand Lösung.


Was für großartige Kosten? Keine zusätzliche Hardware, nur kleine Software aufs Handy und schon kann man offline seine sessionbasierte, zahlungsgebundene TAN generieren.

Cya

Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 12:58 Uhr  ·  #13
Es hat aber nicht jeder ein Java Händie, und selbst wenn: Wer kann ihm/ihr die Software installieren (Wap / GRPS konfigurieren, Bluetooth, IR usw..) und die Bedienung erklären?
Für Tanja Musterfrau und Fritz Senior sowie Dennis Junior ist das nix. Ein Zweischrittverfahren bringt nur was, wenn es jeder nutzem kann, bzw. ist gerde da notwendig wo eben nicht soviel Wissen vorhanden ist!

Die Schnittmenge aus den Kunden die ohne Probleme ihr GRPS konfigurieren oder das Java Progrämmchen via BT aus Mobile schieben sind andereseite jede eMail ungelesen öffnen bzw. in schlechtem Deutsch verfasste TAN-Eingabe HTML-Vergewaltigungen ausfüllen dürfte recht klein sein.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 13:13 Uhr  ·  #14
Hallo Stoney,
sorry, nur die mTan ist eine eindeutige zwei Wege Authorisierung, da hier die TAN zu einem Auftrag über einen zweiten unabhängigen Kanal mitgeteilt wird .
Die indizierte TAN ist nichts anderes als eine bestimmte TAN vorzugeben, die der Anwender zu wählen hat. Das funktioniert problemlos auch mit Smart TAN.
Bei Verlust sind TAN-Bogen und Smart TAN gleich angreifbar. Es sei denn, beim SmartTAn wird zum "scharf schalten" auch vorher jedesmal eine PIN abgefragt. Auch das wäre problemlos möglich! Wie gesagt ich kenne kein Szenario, das ich mit einer papierhaften TAN abbilden kann und mit einer Smart TAN nicht.

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 13:15 Uhr  ·  #15
Zitat geschrieben von Captain FRAG
Es hat aber nicht jeder ein Java Händie, und selbst wenn:

Das mit der Hardware erledigt sich ja kurzfristig von alleine...

Zitat
Wer kann ihm/ihr die Software installieren (Wap / GRPS konfigurieren, Bluetooth, IR usw..) und die Bedienung erklären?
Für Tanja Musterfrau und Fritz Senior sowie Dennis Junior ist das nix. Ein Zweischrittverfahren bringt nur was, wenn es jeder nutzem kann, bzw. ist gerde da notwendig wo eben nicht soviel Wissen vorhanden ist!

Die Schnittmenge aus den Kunden die ohne Probleme ihr GRPS konfigurieren oder das Java Progrämmchen via BT aus Mobile schieben sind andereseite jede eMail ungelesen öffnen bzw. in schlechtem Deutsch verfasste TAN-Eingabe HTML-Vergewaltigungen ausfüllen dürfte recht klein sein.


Das man z.Z. mTan als alleiniges Sicherheitsmedium nicht anbieten kann, ist schon klar, aber wenn man indizierte TAN-Liste und mTan anbieten könnte, hat man alles abgedeckt. Optimal wären dann natürlich für Kunden die kein entsprechendes Handy haben, ein TAN-Generator der genauso funktioniert, um denen auch eine papierlose Möglichkeit zu geben.

Aber wie schon gesagt, jedes Verfahren repräsentiert eine grobe Richtung, eben folgende 5:

papierhaft ein-Schritt -> normale TAN-Liste
papierhaft 2-Schritt -> indizierte TAN-Liste
papierlos ein-Schritt -> SmartTan
papierlos 2-Schritt -> mTan
papierlos 2-Schritt/2-Weg -> mobile TAN

Meiner Meinung nach kann man nicht nur papierlos anbieten, sollte auf der anderen Seite aber die 2-Weg Verfahren ermöglichen. Papierlose Lösungen sind ein "nice to have", müssen aber nicht zwingend Angeboten werden und wenn sollte der Endkunde die Hardwarekosten tragen. Daher ist mTan eine elegante Lösung, natürlich kann man den Generator auch mit einer extra Hardware realisieren.

Zitat geschrieben von Holger Fischer
Hallo Stoney,
sorry, nur die mTan ist eine eindeutige zwei Wege Authorisierung, da hier die TAN zu einem Auftrag über einen zweiten unabhängigen Kanal mitgeteilt wird .
Die indizierte TAN ist nichts anderes als eine bestimmte TAN vorzugeben, die der Anwender zu wählen hat. Das funktioniert problemlos auch mit Smart TAN.
Bei Verlust sind TAN-Bogen und Smart TAN gleich angreifbar. Es sei denn, beim SmartTAn wird zum "scharf schalten" auch vorher jedesmal eine PIN abgefragt. Auch das wäre problemlos möglich! Wie gesagt ich kenne kein Szenario, das ich mit einer papierhaften TAN abbilden kann und mit einer Smart TAN nicht.

Gruß

Holger


Ok, dann müssen wir noch 2-Weg und 2-Schritt Verfahren unterscheiden... Es geht doch auch nicht gegen hardwarebasierende TanGeneratoren, sondern lediglich darum, dass der jetzige Smart-TAN keinen Sicherheitsgewinn gegenüber der normalen TAN-Liste bringt. Bei beiden Verfahren kann ich mit Email-Phishing erfolgreich sein, mit der indizierten TAN-Liste ist es nicht möglich.

Der große Unterschied liegt doch in der Gültigkeit der TAN:

Bei dem jetzigen SmartTan ist eine TAN bis zum Verbrauch der nächsten TAN gültig. Verbrauche ich keine weitere TAN, wie lange ist die TAN dann gültig - unbegrenzt? Bei der indizierten TAN-Liste ist, eine TAN immer nur für die jeweilige Session gültig.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 13:26 Uhr  ·  #16
Hallo Stoney,

wenn Du vergleichst, dann vrgleiche bitte aktuelle Realisierung mit aktueller Realisierung.
In den aktuellen Umsetzungen gilt sehr wohl, dass Smart TAn ein plus an Sicherheit gegenüber der normalen PapierTAN (nicht die indiziert TAN, die gibt es noch nicht!) hat.
Beim Phishen einer TAN aus dem Smart TAN ist diese TAN nur solange gültig, bis eine weiter TAN genutzt wurde. Beim PapierTAN ist diese TAN solange gültig bis diese eine gephischte TAN verbraucht wurde.
Neben diesem Faktor gibt es noch ein paar kleinere andere Punkte hierzu, die beim SmartTAN eine höhere Sicherheit zeigen, als bei der klassischen Papier TAN.(Das wächst übrigens auch nicht so einfach auf meinem Mist, sondern hierzu gibt es entsprechende unabhängige Untersuchungen!)

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 13:31 Uhr  ·  #17
Zitat geschrieben von Holger Fischer
Hallo Stoney,

wenn Du vergleichst, dann vrgleiche bitte aktuelle Realisierung mit aktueller Realisierung.
In den aktuellen Umsetzungen gilt sehr wohl, dass Smart TAn ein plus an Sicherheit gegenüber der normalen PapierTAN (nicht die indiziert TAN, die gibt es noch nicht!) hat.
Beim Phishen einer TAN aus dem Smart TAN ist diese TAN nur solange gültig, bis eine weiter TAN genutzt wurde. Beim PapierTAN ist diese TAN solange gültig bis diese eine gephischte TAN verbraucht wurde.
Neben diesem Faktor gibt es noch ein paar kleinere andere Punkte hierzu, die beim SmartTAN eine höhere Sicherheit zeigen, als bei der klassischen Papier TAN.(Das wächst übrigens auch nicht so einfach auf meinem Mist, sondern hierzu gibt es entsprechende unabhängige Untersuchungen!)

Gruß

Holger


Aber in der Ausgangsposition kann man doch nur vergleichen, was habe ich, was gibt es oder ist schon in Planung und diese Dinge kann ich dann gegenüberstellen. Wie soll ich es noch erklären?

Wenn ich nun normale TAN-Liste dem jetzigen SmartTan gegenüberstelle, gibt es für mich keinen Unterschied, da eine TAN erst ungültig ist, wenn eine neu generiert und verbraucht wurde, dass kann unter Umständen gar nicht erfolgen und so sind beide Sicherheitsmedien gleichwertig, die eine papierhaft, die andere papierlos.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 14:04 Uhr  ·  #18
Zitat geschrieben von Holger Fischer
Die indizierte TAN ist nichts anderes als eine bestimmte TAN vorzugeben, die der Anwender zu wählen hat. Das funktioniert problemlos auch mit Smart TAN.


Nicht ganz. Du übersiehst das was ich oben erwähnte, nämlich das Binden einer TAN an eine Session und die zeitliche Beschränkung der Gültigkeit der TAN.
Wie das mit dem TAN-Generator technisch darstellbar sein soll ist mir noch schleierhaft. Dazu bräuchte man einen echten Token Generator, also ein One Time Pad.
Aber du hast recht, wir vergleichen Jetzt mit Morgen (oder auch Nie). Sollte das aus der PN eintreffen, bin ich mal gespannt was passiert. Die Umsetzung im IB wäre trotzdem möglich bzw. ist ja schon längst fertig und kommt definitiv. Nur die Software-Schnittstelle wäre dann erstmal aussen vor, da muss dann was anderes her.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 13.05.2005 - 14:48 Uhr  ·  #19
Zitat geschrieben von Captain FRAG
Nicht ganz. Du übersiehst das was ich oben erwähnte, nämlich das Binden einer TAN an eine Session und die zeitliche Beschränkung der Gültigkeit der TAN.
Wie das mit dem TAN-Generator technisch darstellbar sein soll ist mir noch schleierhaft. Dazu bräuchte man einen echten Token Generator, also ein One Time Pad.


Warum, die TAN muß sich doch nur aus einem Hashwert der ÜW, Sessiondaten und Geheimnis errechnen und schon habe ich einen solchen TAN-Generator (siehe mTAN :lol:, ob die Hardware nun ein Handy sein muß ist ja was anderes). Natürlich benötigt der TAN-Generator eine Eingabemöglichkeit, aber die Hardware dafür gibt es doch schon.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Bieten Sparkassen bereits Smart TAN an ?

 · 
Gepostet: 17.05.2005 - 11:57 Uhr  ·  #20
Gewählte Zitate für Mehrfachzitierung:   0