Eberhard Karls Universität Tübingen
Wilhelm-Schickard-Institut für Informatik (WSI)
Arbeitsbereich für Theoretische Informatik/Formale Sprachen
Impressum | Intern
Home | Mitarbeiter | Bernd Borchert

Knick-und-Klick-TAN, oder Permutations-TAN (pTAN)

Sie wollen eine Überweisung ausführen. Sie haben dafür von der Bank diese Permutations-Liste zugeschickt bekommen (es ist die gleiche wie beim pPIN Verfahren). Ihre Bank fragt Sie als erstes nach der Kontonummer, auf die Sie überweisen wollen. Halten Sie die ausgedruckte Permutation mit der richtigen Nummer unter das Eingabefeld mit den 10 weissen Feldern unter dem Überweisung-Formular am Bildschirm (Papier knicken!). Für die Größen-Anpassung können Sie das graue Eingabefeld mit der Maus am kleinen gelben Quadrat ziehen. Geben Sie dann die Ziel-Kontonummer Ihrer Überweisung ein. Eine Korrektur ist aus Sicherheitsgründen nicht möglich - wenn Sie sich vertippt haben, brechen Sie ab und fangen Sie neu an! Nach der Eingabe der Zielkontonummer können Sie die weiteren Daten Ihrer Überweisung wie gehabt ganz offen eingeben.

Empfänger:
Konto-Nr.: Bild
BLZ:
Betrag:
Kommentar:

Bild

Mit dem pTAN Verfahren wird Online Banking relativ trojaner-sicher (im Vergleich zum iTAN Verfahren), d.h. ist es für einen Virus auf dem Computer, auf dem Sie arbeiten, nur in wenigen Ausnahmefällen möglich, die Überweisungsdaten heimlich zu manipulieren. Die Sicherheitslücke dieses Verfahrens liegt hier: angenommen, der Trojaner-Virus hat die Zielkontonummer 12345614 und Sie wollen auf ein Konto 123456789 überweisen. Dann wartet der Trojaner bis Sie die ersten Ziffern 123456 eingegeben haben, und schaltet sich dann ein: er schickt nicht Ihre weiteren Ziffern 789 zur Bank, sondern "klickt" selber die Eingabefelder für 1 und 4 an, die er ja jetzt kennt.

In dieser Demonstration wird nur die Ziel-Kontonummer sicher eingegeben, tatsächlich sollte aber auch die Bankleitzahl sicher eingegeben werden - mit einer weiteren Permutation. Damit dürfte das pTAN Verfahren praktisch trojanersicher sein. Die sichere Eingabe der Bankleitzahl verhindert ausserdem, dass ein Trojaner eine Zufalls-Überweisung ausfüllen und abschicken kann, denn der Trojaner wird es nicht schaffen, aus den 100 Millionen 8-stelligen Zahlen eine der wenigen Zehntausend zu raten, die überhaupt eine gültige Bankleitzahl darstellen.

Ebenfalls nur mit vorgeknicktem Papier arbeitet die indirekte iTAN (iiTAN).

Die links zur Permutations-PIN (pPIN) und zur Fotohandy-PIN.

Konzept: B.Borchert; Patentanmeldung DE-10-2007-034121.2. Programmierung: B.Borchert.