 |
Eberhard Karls Universität Tübingen Wilhelm-Schickard-Institut für Informatik (WSI) Arbeitsbereich für Theoretische Informatik/Formale Sprachen |
|
Eberhard Karls Universität Tübingen Wilhelm-Schickard-Institut für Informatik (WSI) Arbeitsbereich für Theoretische Informatik/Formale Sprachen |
Das indirekte iTAN Verfahren (iiTAN) ist eine Erweiterung des bekannten iTAN Verfahrens.
Der Unterschied ist - wie der Name schon sagt - dass die Transaktionsnummer (TAN) nicht direkt, sondern indirekt eingegeben wird.
Drucken Sie sich dafür diese iiTAN-Liste aus.
Füllen Sie wie beim iTAN Verfahren zuerst das gesamte Überweisungsformular aus - die voreingestellten Daten
im Formular unten können Sie ändern.
Mit der Zielkontonummer hat es eine besondere Bewandtnis, was Sie schon am Format erkennen können.
Auf dem Bildschirm wird rechts neben dem Überweisungsformular die Nr. einer TAN angegeben, die Sie auf Ihrer Liste finden. Halten Sie die
Leiste mit den 10 Buchstaben links neben dieser TAN unter die Zeile mit der Zielkontonummer am Bildschirm. Geben Sie für jede
Ziffer z der TAN einen Buchstaben-Code in das Eingabefeld rechts vom Formular ein: wenn diese Ziffer z nicht in der Zielkontonummer
auftaucht, geben Sie für die
Ziffer z nichts ein; andernfalls gehen Sie die Zielkontonummer von links nach rechts durch und geben Sie an jeder Stelle, an der die Kontonummer
die Ziffer z hat, den Buchstaben als Code ein, den Sie auf der Leiste mit den Buchstaben genau unterhalb dieser Position finden.
Machen Sie das für alle sechs Ziffern der TAN, von links nach rechts. Auf diese Weise wird die TAN also indirekt eingegeben.
Drücken Sie dann zur Bestätigung die OK-Taste. Ganz
unten auf dieser www-Seite ist ein Beispiel für die Eingabe des Bestätigungscodes angegeben.
Das Verfahren ist sicher gegen den Fälschungsversuch durch einen Man-in-the-Middle (Trojaner oder vorgetäuschte Bank-Webseite), weil in den Bestätigungscode die Zielkontonummer eingeht, was beim herkömmlichen iTAN Verfahren nicht der Fall ist.
Das Verfahren hält sich an das Prinzip What-you-see-is-what-you-confirm, d.h. es wird das bestätigt, was der Bankkunde eingegeben hat - eine zweite Überprüfung der Eingaben wie bei anderen Verfahren (SMS-TAN, Chip-TAN, Fotohandy-TAN) ist nicht nötig. Das bedeutet nicht nur weniger Aufwand für den Bankkunden, sondern ist auch ein Sicherheitsvorteil, denn ein Angreifer kann nicht - wie bei den anderen Verfahren - darauf spekulieren, dass der Bankkunde die Daten bei der zweiten Überprüfung nicht genau liest.
Natürlich sind anstatt 6-stelliger auch 4- bis 10-stellige TANs für das iiTAN Verfahren möglich: mit wachsender TAN-Länge nimmt die Sicherheit zu und die Benutzerfreundlichkeit ab.
Eventuell sollte der Benutzer - in einer späteren Version dieser Demonstration - graphische Unterstützung bekommen, um die verschiedenen Vorkommen einer Ziffer in der Zielkontonummer zu finden - z.B. könnten mehrere Vorkommen derselben Ziffer durch eine Verkettung mit Pfeilen angezeigt werden. Die Aufteilung der Kontonummer in zwei 5er-Blöcke hat übrigens keine weitere Bedeutung außer den Zweck, dass der Benutzer die Ziffern und Buchstaben besser zuordnen kann.
Eine Variante des Verfahrens, bei der anstatt für alle Vorkommen einer TAN-Ziffer nur für ein - vom Benutzer bestimmtes - Vorkommen der Buchstabencode eingegeben werden muss, ist möglich, aber etwas unsicherer. Eine Variante, bei der für jede Ziffer der TAN genau ein eindeutiger Code-Buchstabe eingegeben wird, ist das iiTAN Verfahren mit eindeutigen Positionen.
Ein TAN-Verfahren, das ebenfalls nur vorgeknicktes Papier benötigt, ist die Knick-und-Klick TAN.
Konzept: B.Borchert, Jan. 2009; Patentanmeldung DE-01-2009-007277.2; Programmierung: B.Borchert, Feb. 2009.
Auf dem Bild unten wird eine iiTAN Liste aus Papier gezeigt, die geknickt unter die Zielkontonummer am Bildschirm gehalten wird. Wie beim iTAN Verfahren steht am Bildschirm die Nummer der vom Bank-Server angeforderten TAN - in dem Fall Nr. 31. Die TAN steht auf der iiTAN Liste und lautet 89 74 15. Diese TAN wird jetzt indirekt eingegeben: Die erste Ziffer 8 kommt nicht in der Zielkontonummer vor, d.h. es wird nichts eingegeben. Die zweite Ziffer 9 ist einmal enthalten: es wird der unter der 9 stehende Buchstabe d eingegeben. Die dritte Ziffer 7 der TAN kommt zweimal vor: die unter den zwei 7en stehenden Buchstaben w und p werden eingegeben. Die vierte Ziffer 4 der TAN kommt einmal vor: es wird der Code s eingegeben. Die letzten zwei Ziffern 1 und 5 der TAN kommen nicht in der Zielkontonummer vor. Insgesamt ergibt sich der Bestätigungscode dwps.
