Du redest Unsinn. TAN-Listen sind weit vor PSD2 verschwunden, und zwar weil die Menschen so doof waren, dass durch achtlosen Umgang mit TAN-Listen so viel Schaden entstanden ist, dass die Versicherungen angefangen haben herumzuzicken.
Google Helmut Kohl Datenautobahn. Wenn man die Frage nicht versteht sollte man nicht irgendwas antworten.
Eigentlich haben sie Girokonten getestet. Dabei wurden sowohl Chiptan als auch Phototan mit Sicherheit "sehr hoch" bewertet, das ist unter Berücksichtigung der Alternativen auch richtig.
Ich vergleiche Chiptan und Phototan miteinander und sage, dass Chiptan das bessere der beiden Verfahren ist und dass ich persönlich es obendrein auch noch als komfortabler empfinde, unter anderem weil das zu schützende Schlüsselmaterial auf einer Karte liegt. Smartcards sind um einen Faktor 1000 weiter verbreitet und obendrein hochgradig standardisiert. Eine Smartcard kannn ich viel einfacher bei mir haben als einen Phototanleser. Das macht die Nutzung und auch den Schutz des zweiten Faktors einfacher.
Chiptan gilt unter Fachleuten nicht ohne Grund als der Goldstandard der 2FA-Verfahren im Bankwesen. Phototan ist für die Bank im Wesentlichen billiger.
Grüße Marc
Am 13.04.24 um 16:07 schrieb Olaf Schultz:
Den dritten mit weder noch.
Hermann der alle "vier" Varianten hat.
p.s. Die vierte Variante ist smartphone app statt Photo TAN
Klarer Nachteil, da keine sichere Bindung an 2nd factor.
Vermeide ich, wo möglich da diese Platformen viel zu viel Angriffs- fläche bieten. Der ChipTan Leser (alt: Flackercode, neu: QR-Code) ist da wesentlich besser _und_ er ist nur Frontend zur eigentlichen Krypto-Hardware die im Chip der Bankkarte steckt.
ChipTan: Unbegrenzt viele Bankkarten ...
ChipTan QR ebenfalls, Flickercode wird mittlerweile kaum noch unterstützt.
Meh, ChipTan QR ist schnell genug - 1-2 Sekunden reicht.
Meh und de facto irrelevant.
Marketing-Blubber.
Das soll eine sehr kurze, alphanumerische Sequenz anzeigen, keine hochauflösenden Videos abspielen.
Das ist _kein_ Pluspunkt. Auth-devices sollten in der Handhabung so einfach wie möglich sein.
Marketing-Blubber.
Kein Menü notwendig ist besser ;-)
War das jetzt der Standardtext von der Marketingabteilung, den Du da gebracht hast?
Man liest sich, Alex.
Mit dem Unterschied dass den meisten Leuten sehr klar ist: "Bankkarte ist weg" == "oh, oh, nix gut". Während "TAN-Generator von kartenlosem Verfahren ist weg" eher "so ein Nerv, jetzt muss ich 'nen neuen bestellen" auslösen dürfte.
Man liest sich, Alex.
Nein. Sondern gefährlicher Unsinn. Übersetzt heißt diese Aneinanderreihung von Nebelkerzen-Latinismen nämlich: Wir können den Kunden Firlefanz aufdrücken, den wir uns selbst kostengünstig aus dem Arsch gezogen haben, um sie damit in unsere Abhängigkeit zu zwingen. Oder kurz: NIHS & Monopolismus & Security by Obscurity. Die häßlichen Drillinge der Kryptografie.
ChatGPT-CTRL-C-CTRL-V.
Volker
Diese Argumentation verstehe ich logisch und praktisch nicht. Bei ChipTAN brauche ich den Generator und die Karte. Bei PhotoTAN brauche ich den Generator und sonst nichts.
Weiterhin sagte ich doch, daß ich keine Karte erhalten kann, als Kunde ohne Girokonto. Die ING verwendet ebenfalls keine Karte für einen Girokontozugang - per PhotoTAN.
Die bloße Anwesenheit einer Alternative ist der Vorteil. Hier eine Alternative - dort nicht. Die Qualität der Alternative ist schlechter, aber hier ohne Betrachtung. Viele sind total geil auf die unsicherere Alternative, weil sie ohnehin smartphone-krank sind. Der Kunde ist König.
Die Möglichkeit von 8 verschiedenen konfigurierbaren Kontozugängen ist eindeutig besser als nur ein einziger Kontozugang. Alternativ müßten ja 8 Generatoren betrieben werden. Hier wird auch klar, warum es definierbare Konto-PINs gibt.
Hier werden jedoch PhotoTAN und ChipTAN gegenübergestellt.
Hier werden jedoch PhotoTAN und ChipTAN gegenübergestellt.
Es liegen 10 Mio verschiedene Werte vor, anstatt 1 Mio verschiedene Werte. Die Frage beantwortet sich daher ganz klar.
Hier werden jedoch PhotoTAN und ChipTAN gegenübergestellt. Die Datenmenge von 100 Byte ist in Bezug auf Buffer-Overflows harmlos.
ChipTAN liest einen 8-stelligen Startcode per Flickern mit 5 LEDs. Demgegenüber ist die statische PhotoTAN-Grafik 25x25 haushoch überlegen.
Ein QR-code mit 25x25 Quadraten kann grob überschlagen 20..28 Byte kodieren.
Natürlich lassen sich eine Menge Vorteile gut vermarkten. Du verdrehst jedoch die Vorteile ins Gegenteil - allerdings ohne Wirkung auf intelligente Personen.
Eine Liste mit 100 TANs enthält 100 TANs in Klarschrift. Mein PhotoTAN-Generator enthält gar keine TAN und keinen Bezug zum Konto, obwohl er mit dem betreffenden Konto 'verheiratet' wurde. Außerdem ist die Konto-PIN unbekannt.
Die Verfahren sind heutzutage derartig sicher, so daß die Kriminellen dazu übergegangen sind, eine Überweisung zu erbitten.
|Aufgrund der europäischen Zweiten Zahlungsdiensterichtlinie (Payment Service Directive 2, kurz PSD 2) |mussten die Banken die Papier-TAN bis zum 14. September 2019 für Zahlungsverkehrskonten abschaffen.
Ich brauche EINEN Generator und die Karte. Notfalls kann ich mir einen beim Zimmernachbarn leihen. An Orten an denen ich mich häufiger aufhalte kann ich einen hinterlegen.
Das Verfahren kommt ohne Karte aus und ist somit für die Bank billiger. Das habe ic nicht bestritten.
Eben nicht, man sollte ihn davon abhalten Dummheiten zu machen. Wäre der Kunde König könnte man sich das AUthentifizierungsverfahren frei aussuchen. Das ist nicht der Fall, weil in der Praxis eben doch der Controller König ist.
Nein, müssten nicht. Ich habe für jede Bank eine Karte. Jede Karte funktioniert in jedem Kartenleser.
ChipTAN QR ist ein Teil von ChipTAN. Alle mir bekannten Banken die das Verfahren anbieten unterstützen alle drei Unterverfahren. Mit derselben Karte kann man jeweils die Unterverfahren verwenden die der Kartenleser anbietet. Das System ist außerordentlich flexibel.
Tut sie nicht. Gegen welche Bedrohung soll das schützen?
Du weißt gar nicht was Chiptan ist und wie es funktioniert.
Das ist in dieser Allgemeinheit nicht richtig.
Es gibt kein Verfahren das QR-TAN heißt.
Du bist nicht intelligent, sondern das gegenteil.
Das ist kein Widerspruch.
*kicher* *prust* *gacker* Du hast "ich verstehe das Problem bei Buffer-Overflows nicht" sehr lustig ausgedrückt.
Du schmeisst hier interne Verarbeitung (ChipTan mit Krypto im secure element der Bankkarte vs. PhotoTan ohne secure element auf dem Telefon) und optische Datentransfermethode (Flickercode vs. 2D Barcode) durch- einander. ChipTan funktioniert sowohl mit Flickercode (allerdings mittlerweile zunehmend nicht mehr unterstützt von den Banken) als auch mit 2D Barcode (mittlerweile als neuer Standard etabliert).
Flickercode verliert primär wegen der nervigen Handhabung, nicht sehr ergonomisch, klar - aber einfacher mit simpler Hardware zu implementieren, daher war es das erste der beiden Systeme.
"Mehr bunt, mehr besser" - schon klar. Du hast ganz klar nicht verstanden, warum der QR-Code so entwickelt wurde und warum der so aussieht. Der wurde u.a. auf Robustheit und Datendichte (im Vergleich zu Barcodes) ausgelegt. Nur schwarz-weiss und klare Kästchenstruktur heisst u.a.: - Erfassung mit einfacher, niedrig auflösender Monochrom-Kamera bei Beleuchtung mit (fast) beliebiger Lichtquelle (u.a. billige rote LED) möglich - klare Differenzierung auch bei (leichter) Verschmutzung oder schlechter Druckqualität - Erkennung & Korrektur von Rotation - das alles bedeutet, dass auch einfachere und billigere Hardware reicht
Da, wo es auf Robustheit und schnelle Verarbeitung ankommt (z.B. Barcodes oder 2D Codes auf Paketen) findet man auch heute noch praktisch nur schwarz-weiss - u.a. weil das eine komplette Fehlerklasse (Pixelfarbe wegen Beleuchtungs- oder Kameraproblemen falsch erkannt) automatisch ausschliesst.
Man liest sich, Alex.
Oder (hier) mir den Generator meiner Frau borgen, obwohl die ihr Konto bei einer ganz anderen Bank hat.
Man liest sich, Alex.
Ja, das hat es in Gesetzesform gegossen. De facto haben aber Banken schon sehr lange vorher TAN-Listen abgeschafft - die letzte TAN-Liste bei der Volksbank die ich im Einsatz hatte ist IIRC _mindestens_ 12 Jahre her. Und zwar aus den oben genannten Gründen. Wurde durch ChipTAN mit Flicker- Code ersetzt.
Man liest sich, Alex.
Diese Bedarfe habe ich alle nicht. Im Notfall kann ich bei der ING auch schriftlich oder telefonisch Banking vornehmen. Und die ING ist nicht meine einzige Bank.
Es ist billiger, technisch robuster und komfortabler. Da sind kein Einschieberahmen und keine mechanischen Kontakte notwendig. (Hier schrieb doch jemand über ein Verkratzen.) Ausgerechnet solche Feinmechanik will man doch tunlichst vermeiden!
Du hast hier erneut meinen Anlaß für einen meiner Sätze gelöscht und Dir einen anderen Anlaß ausgedacht und mir untergeschoben.
Mein Anlaß war die Alternative zum TAN-Generator: Smartphone+App. In genau diesem Zusammenhang schrieb ich "Der Kunde ist König.". Eben weil er auswählen kann, was er verwenden will.
Ich rede vom PhotoTAN-Verfahren bei der ING - ohne Karte. Das ist mein Kontext.
Und wie nennt sich derjenige Teil von ChipTAN, der das Flickern verwendet?
Als ich das Flickerverfahren erhielt, gab es keine ChipTAN-Familie. Das war OpticalTAN oder ähnlich.
Eine weitere Beantwortungs-Variante werde ich nicht ausarbeiten.
Es kommt auf die betrachteten Ebenen an. Sämtliche Ebenen kenne ich nicht.
Das ING-PhotoTAN-Verfahren kennt niemand Außenstehender auf allen Ebenen. Das ist doch Firmengeheimnis.
Und wie nennt sich derjenige Teil von ChipTAN, der das Flickern verwendet? Offenbar gibt es hier einen Definitionsmangel.
Doch:
Ich schrieb doch vorstehend "ohne Wirkung". "das gegenteil" hat ja auch keine Wirkung auf mich.
Vor Gericht wäre es ein Widerspruch.
Dann haben andere in dieser NG ebenfalls Unsinn geredet, so wie ich es haben soll.
Ich habe durch entsprechende Programmierung bereits tausende Male Buffer-Overflows blockiert. Du bist grenzenlos naiv, zu behaupten, ich verstünde Buffer-Overflows nicht.
Mein Satz war eine Reaktion auf Marc Haber, der schrieb, daß größere Datenmengen die Wahrscheinlichkeit für Buffer-Overflows erhöhten. Bei meinen eigenen Programmierungen gibt es solch eine Wahrscheinlichkeit sowieso gar nicht.
Der Satz "ChipTAN liest einen 8-stelligen Startcode per Flickern mit 5 LEDs" ist doch ein ganz einfacher Fakt. Ich habe solch ein Gerät und benutze es seit vielen Jahren. Es macht genau das, was ich schrieb. Ich sehe das doch bei jeder Benutzung. Ich werfe da gar nichts durcheinander.
Willst Du behaupten, ChipTAN könne nicht per Flickern mit 5 LEDs lesen?
Meinst Du, ich sei ein Klicki-Bunti-Idiot?
4 Zustände sind besser als 2 - das ist einfach Fakt. Jedoch Fakten scheinen in dieser NG manchmal störend zu sein.Du lehnst Dich sehr weit aus dem Fenster, dauernd zu behaupten, ich würde dieses oder jenes nicht verstehen. Ich verstehe den QR-Code, seit es ihn gibt. Informationen darüber gibt es in Hülle und Fülle.
Gegen den vorstehenden Text will ich nichts sagen. Die Technik ist allerdings so weit fortgeschritten, daß PhotoTAN am PC heute problemlos ist. Es erscheint bei mir seit Jahren stabil, makellos und sicher. Schwarz-Weiß-Monitore habe ich allerdings schon seit Ewigkeiten nicht mehr.
"Helmut Schellong" schrieb am 15.04.2024 um 22:31:31:
Dieser Satz ist vor allem extrem missverständlich formuliert, zumindest für die, die ChipTAN nicht kennen. Und speziell in einer Elektronik-Gruppe ist er sogar schlicht blamabel.
Man könnte den Satz nämlich auch so interpretieren, dass zum Lesen (!) des Flickerns LEDs zum Einsatz kommen. LEDs können aber nichts lesen. Allenfalls können LEDs das Flickern erzeugen. Aber selbst das ist üblicherweise nicht der Fall: das Flickern wird nämlich normalerweise auf einem Computer-Display angezeigt. Das ist zwar meist von LEDs hinterleuchtet, aber das Flickern selbst erzeugen nicht diese Backlight-LEDs, sondern das (LCD-)Panel. Ausnahmen wie z. B. OLED-Bildschirme bestätigen die Regel. Bei denen sind es dann aber auch erheblich mehr als nur 5 LEDs, die das Flickern erzeugen.
Korrekt müsste es also heißen: "ChipTAN liest einen 8-stelligen Startcode aus einem Flickermuster auf dem Bildschirm". Das würde den Vorgang weniger missverständlich beschreiben und sowohl LCD- als auch OLED-Bildschirme berücksichtigen. Sogar Röhren-Bildschirme wären berücksichtigt.
Deutsche Sprach, schwere Sprach...
Gruß
Michael
Und vor allen Dingen ist das nicht richtig. Manchmal wird ein Startcode verwendet, bei Überweisungen werden mehr Daten übertragen. Sonst könnte das Gerät weder den Betrag noch (Teile der) Zielkontonummer anzeigen.
Grüße Marc
Und überdies gehts sogar ganz ohne die Flickerei, da man die damit übertragenen Daten notfalls (schlechter Bildschirm, helles Umgebungslicht oder so) auch manuell, über die Tastatur des TAN-Generators, eingeben kann (bzw. konnte)...
MfG Rupert
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.