H
Helmut Schellong
Guest
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.
Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.
Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.
Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
In _meinen_ Händen für nahezu vollkommen sicher (z.B. 99,99999%).
Definition: Mißbrauch einer meiner TANs in meinem Online-Banking.
Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.
Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.
Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!
photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.
Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.
SMS über Mobil-Telefon ist auch so eine Sache.
Für De-Mail mit Hoher Authentifikation muß man zusätzlich
zu name+pass eine mTAN-PIN (per Post) und eine mTAN-TAN (per SMS) eingeben.
SMS alleine fände ich auch zweifelhaft; mit der PIN zusammen bin ich besänftigt.
Man hat sich hier an den Mobil-Vertrag drangehängt, der seit einigen Jahren
nur mit Vorlage des Ausweises abgeschlossen werden kann.
--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.
Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.
Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.
In _meinen_ Händen für nahezu vollkommen sicher (z.B. 99,99999%).
Definition: Mißbrauch einer meiner TANs in meinem Online-Banking.
Die ING-Bank hatte schon immer einen zweiten Zugangsfaktor: den DiBa-Key.
Der besteht aus 6 Ziffern, von denen 2 zufällige beim Login _ohne_ Tastatur
korrekt eingegeben werden müssen.
Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.
Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!
photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.
Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.
SMS über Mobil-Telefon ist auch so eine Sache.
Für De-Mail mit Hoher Authentifikation muß man zusätzlich
zu name+pass eine mTAN-PIN (per Post) und eine mTAN-TAN (per SMS) eingeben.
SMS alleine fände ich auch zweifelhaft; mit der PIN zusammen bin ich besänftigt.
Man hat sich hier an den Mobil-Vertrag drangehängt, der seit einigen Jahren
nur mit Vorlage des Ausweises abgeschlossen werden kann.
--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html