Kunden erhalten einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt.

 

 

So funktioniert das Verfahren

Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden.

Bei manchen Banken muss statt der Empfängerbankverbindung eine für die jeweilige Überweisung generierte Kontrollnummer (Startcode) eingegeben werden.

Einige TAN-Generatoren erstellen zeitlich begrenzt gültige TANs nur anhand eines individuellen geheimen Schlüssels und der Uhrzeit, ohne Eingabe einer Kontrollnummer oder eines Empfängerkontos.

 

Nützliche Hintergrundinformationen

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, sofern die korrekte Empfängerkontonummer eingegeben wird.

Die manuelle Eingabe der Kontonummer ist wenig komfortabel.

Bei einem Verlust des TAN-Generators können weiterhin TANs generiert werden.

Weil für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Bei weiteren Banken muss statt der Empfängerkontonummer eine für die jeweilige Überweisung generierte Kontrollnummer (Startcode) eingegeben werden.

Im Gegensatz zur Eingabe des Empfängerkontos ist dieses Verfahren für Man-in-the-middle-Angriffe anfällig, da die Empfängerkontonummer nicht kontrolliert wird.

Einige TAN-Generatoren anderer Banken erstellen zeitlich begrenzt gültige TANs nur anhand eines individuellen geheimen Schlüssels und der Uhrzeit, ohne Eingabe einer Kontrollnummer oder eines Empfängerkontos.

Hier ist weder Kartenlesegerät noch Tastatur am Generator erforderlich.

Da keinerlei Auftragsbezug besteht, ist das Verfahren ähnlich Phishing-anfällig wie das sm@rt-TAN-Verfahren.

Allerdings muss die unerwünschte Transaktion innerhalb des kurzen Gültigkeitszeitraums der TAN veranlasst werden.