ChipTAN wird über den Smartcard Chip der girocard abgesichert.
Genauer durch das dieser Bankkarte zu Grunde liegende SECCOS Betriebssystem. Da aber selbst Banken, die ihre Kreditkarten mit dem SECCOS Betriebssystem ausstatten, chipTAN dort nicht implementiert haben, ist der Einsatz de facto auf die girocard begrenzt.
Aber da möchte ich mich auch gar nicht streiten.
Ziel meiner Antwort war, klare Worte zu senden, und zwar das chipTAN erstmal kein Bestandteil der Roadmap ist, auch wenn es theoretisch möglich wäre.
Und das sollte chipTAN in ferner Zukunft als Thema aufkommen, dann wohl eher in Verbindung mit der Herausgabe von girocards
Naja, es gibt schon zahlreiche Banken im europäischen Ausland, die Chip-TAN mit MC/Visa-Debitkarten einsetzten. Ich halte es nicht für sinnvoll, dass mit der Diskussion um die Girocard zu verknüpfen. Wenn man sich die technischen Vorteile von Chip-TAN ansieht und warum es denn überhaupt sichererer ist, dann kommt man schell auf eine Reihe von weiteren Technologien, die man alternativ anbieten kann. (Der Chip auf der Karte ist ja im Grunde nichts weiter als der private Schlüssel des Krypografie-Verfahrens, das kann z. B. auch ein Chip im Generator selbst erledigen.)
Der legitime Kundenwunsch nach einem sichereren TAN-Verfahen als SMS-TAN sollte von Tomorrow meines Erachtens ernst genommen werden. Es gibt viele Kunden bei anderen Banken, die für dieses Extra an Sicherheit auch bereit sind, z.B. die Kosten für den Generator selbst zu tragen.
Ja, NFC-TAN ist im Grunde Chip-TAN 2.0 – bei beiden Verfahren dient eine Applikation auf dem Chip der Karte als privater Schlüssel.
Die Benennung der Verfahren ist leider nicht besonders hilfreich. Manche Banken benennen das Verfahren nach der Übertragungsart, manche danach, was als Schlüsselelement zum Einsatz kommt. Auch Chip-TAN der Sparkassen ist Photo-TAN, weil auch hier per Photo die Datenübertragung auf den Generator stattfindet. Auch Photo-TAN der Comdirect ist irgendwie Chip-TAN, nur ist der Chip hier halt im Gerät verbaut.
NFC-TAN ist sicher eine interessante Option, weil es auch hier der Bank offen stünde, sowohl eine App dafür bereitzustellen wie auch externe Generatoren für Kunden mit höherem Sicherheitsbedürfnis anzubieten. Es kombiniert die Optionen, die man mit App- oder Chip-TAN hat.
Genau, das Prinzip ist das gleiche. Mehrere TAN-Verfahren bereitzustellen wäre natürlich super, damit würden dann auch keine potentiellen Kunden abgeschreckt werden, da sowohl die Sicherheitsliebenden (ChipTAN, NFC-TAN) als auch die Komfortliebenden (SMS-TAN) zufrieden gestellt werden können.
Da mit der Implementierung von anderen TAN-Verfahren auch ein großer Aufwand einher geht vertraue ich aktuell einfach darauf, dass Tomorrow das auf dem Schirm hat und das Portfolio mittelfristig erweitert wird.
Das Forum sollte gerade auch dazu dienen, dass Feature Requests von Nutzern diskutiert werden. Es ist in Tomorrows eigenem Interesse zu sehen, wie Nutzer zu bestimmten Themen stehen. Dass nicht alles, was hier angesprochen wird, kurzfristig umgesetzt wird, sollte jedem klar sein.
SMS-TAN ist aus vielerlei Gründen eines der anfälligsten TAN-Verfahren der Branche, und eine Diskussion zum Thema, auch aus Gründen der Aufklärung, meiner Meinung nach zu jedem Zeitpunkt sinnvoll, völlig unabhängig, wann Tomorrow alternative TAN-Verfahren anbieten wird.
ich möchte einmal ein +1 für chipTAN oder ähnliches geben.
Mir gefällt es sehr gut das @Frnk hier versucht die Sinnhaftigkeit der Diskussion zu untermauern.
Ich möchte wirklich gerne Tomorrow weiterhin nutzen, grundsätzlich ein tolles Projekt.
Mir würde es allerdings Zweifel bereiten, wenn von seiten Tomorrows, weitere TAN-Verfahren in Zukunft per se ausgeschlossen werden und es würde mich ein klares, aktuelles Tomorrow Statement zu dem Thema interessieren.
Es ist einfach quatsch 2-Faktoren auf einem Gerät zu haben und eine TAN per SMS zu versenden.
Außerdem hat es in meinen Augen überhaupt nichts mit “Uninnovation” zu tun, ein Verfahren bereitzustellen das die Mobilität etwas einschränkt.
Es hat etwas mit Innovation zu tun, wenn einem vielfältigere Optionen geboten werden, die das Vertrauen in mobiles Banking erhöhen.
Und ja, ich wäre bereit Kosten zu übernehmen die durch solche Verfahren entstehen.
Und ja, es reicht ja auch ein sichereres TAN-Verfahren optional anzubieten, wer SMS-TAN nutzen will, sollte das auch weiterhin können. Es wäre bloß wichtig, die Risiken aufzuklären und dem Nutzer die Wahl zu lassen.
Es muss ja, wie gesagt, nicht Chip-TAN sein. Es gäbe da eine Reihe anderer Verfahren, man muss sich da nicht durchs Kartenportfolio blockieren lassen. Die Postbank mit Bestsign kann hier mal als Inspiration dienen. Kommt ja selten genug vor.
Aber: So vergleichsweise unsicher SMS-TAN auch ist, die Gerätebindung macht es schon weniger anfällig. Damit ist zumindest einer der beiden SCA-Faktoren nochmal zusätzlich abgesichert.
Ja, klar, andere Alternativen zu hören wäre natürlich auch super.
Mir persönlich gefällt Chip-TAN nur aktuell am besten, NFC-TAN kann ich gerade nicht so gut einschätzen, klingt nur als wäre da auch wieder eine Handy-Abhängigkeit.
Postbank Bestsign, das ist doch auch nur eine extra App???
Ja, das mag vielleicht sein, das es sicherer ist mit Gerätebindung. Sollte das Thema aber nicht verharmlosen (nett gemeint. )
Auch ich möchte hier nochmal um Kenntnisnahme seitens Tomorrow bitten @Ron@Vinz . mTan/SMSTan ist einfach ein sehr unsicheres Verfahren. Nicht nur um datenschutzsensible Nutzer nicht abzuschrecken, sondern gerade auch um unsensible Personen zu schützen, sollte Tomorrow hier einen Schritt weitergehen und ein modernes und sicheres Tan-Verfahren aussuchen und implementieren. Die bereits erwähnte Methode NFC-Tan, bei der die Debitkarte ans Smartphone gehalten werden muss, würde sich hier wunderbar anbieten, da kein zusätzliches Gerät benötigt wird, der zweite Faktor mit der Karte allerdings dennoch gegeben ist. Hier noch ein Interessanter Artikel zu generellen Risiken und Problemen bei Banking-Apps vom IT-Sicherheitsexperten und Mitarbeiter der Dienststelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
Aber Spaß macht er schon jedes Mal Ich muss mich auch immer zusammenreißen…
Ich finde die Idee der NFC-TAN extrem gut, muss ich sagen. Die Tatsache, dass Apple diese Lösung möglicherweise für iPhone-Nutzer unmöglich macht, zeigt (aus meiner Sicht), dass es einfach mehrere Lösungen geben sollte, die man als Nutzer frei wählen darf. TAN per SMS dürfte dabei die Backup-Lösung sein, denn die funktioniert quasi immer. NFC-TAN für Android (und irgendwann auch iOS, wenn sich da mal was ändern sollte), TAN-Generatoren für alle, die ein solides separates Gerät haben wollen und natürlich ein in der Tomorrow-App generierter TAN-Code für die Nutzer der (zukünftig hoffentlich existierenden) Web-Oberfläche.
Meine bisherige Bank fragt auch im Zuge der Überweisung, welches TAN-Verfahren man anwenden möchte. Zur Auswahl stehen nur die, die man auch tatsächlich aktiviert hat.
Ich bin skeptisch bei NFC-TAN, denn im Falle des Handyverlustes (Diebstahl, verloren, kaputt) dient es nicht als Backup. Im Zweifelsfall sind einziger Kontozugang und TAN-Medium durch das gleiche Ereignis futsch. Und einige Backup-Methoden beruhen darauf, dass man das eine beim Verlust mithilfe des noch vorhanden wiederherstellen kann.
Praktsich und sicher, ja. Aber mit ganz eigenen Nachteilen gegenüber Methoden mit eigenem Lesegerät.
(Apple erlaubt übriges bereits diesen Anwendungsfall. Siehe die App zum neuen Personalausweis. Hier kann das iPhone als Reader für den NFC-Chip des Persos dienen. Das kann man dann als Sicherheitsmedium für die Anmeldung z.B. bei Elster nutzen.)
Ich weiß nicht, ob ich eventuell einen Denkfehler habe, aber ist bei NFC-Tan (und auch chip-Tan) nicht die Karte das zweite Authentifizierungsmedium? Der Faktor wäre ja besitzen und dabei geht es um die Karte, die ich besitzen muss und nicht um das Tan-Gerät (da kann man ja ein x-beliebiges nehmen).
Wenn man also das Smartphone verliert, könnte man auf einem neuen Gerät die Anmeldung normal machen und genau wie aktuell auch die Gerätebindung des alten Geräts aufheben. NFC-Tan könnte hier sogar als zusätzlicher Schutz dienen, wenn sich ein neues Gerät nur durch Anhalten der Debitkarte aktivieren ließe.
hast du twitter würde dir sehr gene folgen
)
Ich muss mich auch immer zusammenreißen…