abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

TAN Generator

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
Beiträge: 12
Registriert: 07.06.2015

Hallo,

wie wird bei dem TAN Generator die TAN generiert?

Ich habe eben bei einer Überweisung absichtlich eine falsche Kontonummer in den TAN Generator eingegeben, eine TAN wurde trotzdem generiert. Was, wenn ich die TAN angenommen hätte, wäre dann der Betrag aus der Überweisung auf das falsche Konto, welches ich in den TAN Generator eingegeben habe, gegangen.

Ich fand den TAN Generator der Sparkasse mit Flicker Grafik auf dem Screen sicherer. Der funktionierte nur mit der entsprechenden EC-Karte und zeigte automatisch die Kontonummer und sogar den Betrag an, nachdem man das Gerät in einem bestimmten Winkel an den Screen des PC gehalten hat. Müsste nicht eine Fehlermeldung kommen, wenn ich die falschen sechs Ziffern in den TAN-Generator eingebe???

0 Likes
11 Antworten 11

Regelmäßiger Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Top Kommentator
  • Community Beobachter
Beiträge: 59
Registriert: 04.10.2014

Die Fehlermeldung kommt, wenn du die falsche TAN dann ins System eingibst, daran ist nichts unsicher. Die Überweisung wird nicht ausgeführt.


Enthusiast
Beiträge: 790
Registriert: 08.12.2014

Hallo @Ernst56,

 

also ich hab' das Ding jetzt nicht programmiert, meine Beschreibung mag in Detail etwas von der Realität abweichen. Aber so ganz grundsätzlich kann ich Dir die Funktionsweise denke ich erklären.

 

Also der Consors TAN-Generator erzeugt regelmässig (alle 2-3 Minuten) immer wieder einen neuen kryptografischen Schlüssel (die TAN). Der Schlüssel beruht dabei auf gewissen mathematischen Formeln und ist deshalb nicht zufällig sondern hängt von den Parametern der Berechnungsformel ab. Die Parameter sind grundsätzlich die Zeit (bzw. die abgelaufenen Berechnungszyklen) im TAN-Generator und dessen Seriennummer. Wenn nun die Consorsbank die Seriennummer Deines TAN-Generators kennt (und das tut sie ja) kann deren Rechnenzentrum die Berechnung nachstellen und wenn beide Schlüssel gleich sind wird die Aktion durchgeführt. Also fürs Verständnis, deren Rechner kennt auch die abgelaufene Zeit/Zyklen Deines TAN-Generators.

 

Das raffinierte dabei, es hilft einem nichts den erzeugten Schlüssel/die TAN zu kennen, man kann z.B. die Seriennummer des TAN-Generators nicht einfach zurückrechnen. Hört jemand also die Leitung ab bzw. schaut Dir per Trojaner beim Eingeben zu hat er zwar den aktuellen Schlüssel, der ist aber nur 2-3 Minuten gültig und wird dann unbrauchbar. Einen neuen Schlüssel berechnen kann aber nur der TAN-Generator und die Bank. Das schränkt die Möglichkeiten des Missbrauchs schon stark ein.

 

Die Angriffe bei Online-Überweisungen laufen ja so ab das die sich zwischen Dich und die Bank in die Leitung schalten. Du gibst das gewünschte Konto an, das wird von den Angreifern aber abgefangen und die tragen bei der Bank Ihr Konto ein. Wenn die Bank dann nach der TAN fragt, fragen die Angreifer Dich und nutzen Deine Eingabe der TAN Ihre eigene Überweisung durchzuführen.

 

Darum wurden die neuen Verfahren entwickelt. Du gibst zusätzlich noch ein Teil der Kontonummer mit an und auch diese Zahl wird zusätzlich (zu Seriennummer und Zeit) für die Berechnung der TAN verwendet. Möchten die Angreifer nun auf ein anderes Konto überweisen würde der Rechner der Bank eine andere TAN generieren weil die Berechnungsgrundlage ja eine Anderen ist und das Ganze funktioniert nicht mehr.

 

Daher bekommst Du übrigens im TAN-Generator keine Fehlermeldung, denn es gibt kein richtig oder falsch. Das Ding berechnet Dir jede TAN die Du haben möchtest aus Zeit, Seriennummer und Endziffern der Kontonummer. Nur wenn der Rechner der Bank etwas Anderes berechnet dann bekommst Du Deine Fehlermeldung, denn die TANs werden unterschiedlich sein. Also erst nach Eingabe der TAN erfolgt die Prüfung.

 

Rein vom bauchgefühl halte ich übrigens die Geräte für die Flicker-Grafiken auch für sicherer. Da werden mehr Daten, wie z.B. die komplette Kontonummer und der Betrag für die TAN-Berechnung verwendet. Allerdings als ich gerade drüber nachgedacht habe, das man ja problemlos einfach Konten mit dem gleichen Endziffern bereit halten könnte ist mir aufgefallen wie unmöglich das wäre. Immerhin ergibt das bei einer 6-stelligen Zahl schon eine absurde Menge an Scheinkonten die notwendig wären. Ich denke nicht das das realistisch ist.

 

Ich hoffe ich konnte etwas Licht und Dunkel bringen. Wenn das jetzt zu kompliziert und unverständlich war, bitte einfach nochmal nachhaken. 🙂

 

Gruß

Myrddin


Aufsteiger
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 2
Registriert: 08.07.2016

sehr geehrte Damen und Herren,

ich habe mit meiner Frau drei TAN-Generatoren und bekomme keinen zum Laufen.

Was kann ich tun um einen Verkaufsauftrag zu geben?

Mit freundlichen Grüßen

E.R.Hennigs 

0 Likes

Community Manager
Beiträge: 1768
Registriert: 13.01.2014

Hallo @Illermaus,

 

da Ihnen bislang noch kein anderes Community Mitglied geantwortet hat, würde ich Ihnen empfehlen, sich direkt an Ihr persönliches Betreuungsteam bzw. den technischen Support zu wenden:

 

Technischer Support

Tel.: 0911 / 369-30 00

Servicezeiten

Mo - Fr: 8:00 - 19:00 Uhr

 

Als Community Moderator kann ich leider nicht selbst überprüfen, warum die TAN Generatoren nicht funktionieren - die Kollegen sehen sich das aber gerne gemeinsam mit Ihnen an!

 

Viele Grüße aus Nürnberg,

Sonja

Community Moderator

0 Likes

Aufsteiger
  • Community Junior
  • Community Junior
  • Community Beobachter
  • Community Junior
Beiträge: 5
Registriert: 12.01.2017
 
 
 

Ich habe erst nach der Antwort gemerkt, dass der Beitrag  alt ist, deshalb kommt die Antwort trotzdem.

 

Es bleibt der Angriffsvektor, dass der Angreifer die Kontonummer unterschiebt.

 

Beispiel: Dein Computer wurde attackiert ("Man in the Browser" Angriff). Du benutzt ihn, um auf einer Verkaufs-Plattform eine Kleinigkeit zu suchen (z.B. ein Spielzeugauto.) Der Angreifer schiebt Dir über den korrumpierten Browser eine gefälschte Seite mit dem Objekt Deiner Begierde unter, und er verlangt einen 1,50 Euro für Deinen Traum. Vorkasse gewünscht. Jetzt erzeugst Du eine Tan für die Kontonummer des Verkäufers. Der Angreifer fängt sie (im Browser) ab und benutzt sie, um eine Überweisung mit einem höheren Betrag auf sein Konto zu tätigen.

 

Erst mit der Rückmeldung der Bank erfährst Du von der Betragsänderung. Also ist eine Übertragung der Überweisungsdaten aufs Mobiltelefon (als zweitem, vom Computer unabhängigen Faktor) zur sofortigen Kontrolle zwingend erforderlich.

Die Informationen auf der Bankseite sind  bei diesem Angriff nicht zuverlässig, auch die könnten gefälscht sein. 

 

Wenn etwas faul ist, muss man sich jetzt sofort mit der Bank in Verbindung setzen, damit

man die Überweisung noch stoppen kann. (Per Computer wird das nicht mehr gehen; das verhindert der Angreifer)

 

Bei den Flackersignalen der anderen Generatoren wird auf dem Display des TAN Generators vor der Erzeugung der TAN Betrag und Konto angezeigt. Die Kommunikation zur Übertragung der Daten erfolgt verschlüsselt  mit Schlüsseln die bei der Bank und auf der Karte gespeichert sind. Daher kann auch bei einem gekaperten Computer diese Kommunikation nicht manipuliert werden.

 

Auch bei der M-Tan erhält man die Daten zur Kontrolle, bevor man die TAN eingibt.

Hier bestehen dafür andere Gefahren:

1.) Die Mögllichkeit, dass sich der Angreifer eine SIM-Karte zu Deiner Telefonnummer beschafft.

2.) Das er Mobiltelefon und Komputer in seine Kontrolle bringt.

Letzters kann man wirkungsvoll mit einem "Dummen" Telefon verhindern.

 

Richard

 
 
0 Likes

Aufsteiger
  • Community Junior
  • Community Junior
Beiträge: 1
Registriert: 12.07.2017

wie bekomme ich den TAN-Generator in mein Bankprogramme, Synchronisieren des Zugang hilft nicht, es wird nur das Einschrittverfahren angezeigt, DDBAC 5.6.40.0 oder SMB8.0, oder kann hier jetzt auch auf mTAN zugegriffen werden?

0 Likes

Aufsteiger
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 2
Registriert: 08.07.2016

vielen Dank! Meine Umstelltaste hat eine Macke,deswegen habe ich immer Schwierigkeiten mit dem Einloggen. Muß mir einen neuen Laptop zulegen.

Mit freundlichen Grüßen

E.R.Hennigs

0 Likes

Aufsteiger
Beiträge: 3
Registriert: 13.03.2020

Bei meinem Tan Generator wird plötzlich beim scannen von QR-Codes bei Überweisungen und Co. angezeigt das es nicht registriert sei. Darauf hin habe ich es im OB deaktiviert und wieder aktiviert, leider nur mit hilfe meiner Bankapp auf Handy möglich, da er die 2 scan-Tan nicht annahm und immer den Fehler brachte "Tan ist ungültig oder abgelaufen, probieren Sie es nochmal.

 

Wenn ich eine Tan generiere nimmt das OB es an, wenn ich scanne nicht.

 

Woran könnte das wohl liegen und wie kann ich das Problem beheben?

 

Vielen Dank schon mal im Voraus.

0 Likes

Autorität
Beiträge: 2092
Registriert: 12.01.2019

Hallo @Draco ,

1) Vielleicht mal die Bildschirmhelligkeit des PC für den QR-Scan erhöhen.

2) Wenn du mit dem "Terminator" noch im Garantiezeitraum bist, dann mit Begründung Garantieansprüche stellen und um schnelle Zusendung eines neuen TAN-Generators bitten.

 

LG

onra

Antworten