Beide benutzen die selbe, fixe Tabelle. Also Bank und Tan-Generator.
"Ich frage mich seit geraumer Zeit..."
Da hast Du wohl den Falschen gefragt - 10 Sekunden im Netz:
"Der besondere Sicherheitsgewinn ergibt sich aus verschiedenen Faktoren. Jede dynamisch generierte TAN ist nur für einen kurzen Zeitraum gültig. Außerdem weist diese TAN eine Transaktionsbindung auf: Zunächst gibt der Bankkunde die Empfängerkontonummer in den TAN-Generator ein. Dieser berechnet sekundenschnell eine TAN, die nur für diese Kontonummer Gültigkeit besitzt. Bekannte Phishing- und Pharming-Attacken verpuffen, da die TAN nicht mehr universell für Überweisungen auf Betrüger-Konten eingesetzt werden kann."
Über was für einen TAN Generator sprechen wir hier?
Ich hab so was hier 
.
Das Teil ist auch weder per Internet, GPS,Satellit oder sonst wie verbunden...und es funktioniert.
Ist auch nicht eine bestimmte Überweisung an Max Mustermann KTN: 1234567 etc. gebunden.
Meine Vermutung:
Da ist ein Algorithmus eingespeichert, der nur in Verbindung mit meiner Bankkarte generiert wird und funktioniert.
Algorythmen kann man ja nachbauen. Dh. das Ding ist Potentiel unsicherer als eine Liste (itan)
Fixe Tabelle ist falsch, Algorithmus ist richtig.
Die TAN, die so ein Dongle generiert, berechnet sich aus der Uhrzeit und einem Random-Seed, der bei jedem Dongle unterschiedlich (eingebrannt) ist - so gibt es keine zwei Dongles, die zu einem und demselben Zeitpunkt die gleiche TAN ausspuckt (zumindest statistisch<1:1.000.000, denn die TANs sind in der Regel 6-stellig).
Im Unternehmensumfeld werden diese Dongles auch regelmässig für VPN-Zugänge verwendet, in der Regel zusätzlich zu PIN und/oder Passwörtern.
In der Wikipedia müsste man unter one-time-pad einen Artikel finden, in ct oder ix gab es auch einen Artikel dazu, wie man diese Technik nutzen kann, den heimischen Netzwerkfernzugriff per OTP und einem Generator auf Handy/Smartphone/PDA abzusichern.
Bei einem Schweizer Bekannten habe ich mal ein TAN-Gerät gesehen, das alle 60 Sekunden eine neue TAN aus vorher gespeicherten Liste anzeigt. Voraussetzung ist natürlich eine über die Lebensdauer des Geräts genau gehende Uhr, damit zu einem bestimmten Zeitpunkt genau die von der Bank geforderte TAN angezeigt wird. Scheint aber zu funktionieren, Interessant wäre mal ein Versuch, ob da eine gewisse Zeittoleranz eingebaut ist, um Gangungenauigkeiten der Uhr auszugleichen, d.h. ob über einen bestimmten Zeitraum auch eine eigentlich bereits verfallene oder noch nicht gültige TAN akzeptiert wird.
Fantomas, hast Du die Liste gesehen oder woher weisst Du daß es kein Algorithmus war? Überleg mal wieviel Speicher der Dongle haben müsste, bei 6stelligen TANs im 30-Sekunden-Takt, jahrelang. Da ist eine Rechenanweisung (die ebenso deterministisch eine wohldefinierte Liste von Nummern ausspuckt) doch etwas effizienter. Zumal der Algorithmus auf Serverseite ja genauso existiert - irgendwo müssen die Nummern ja mal erzeugt worden sein (und "echte" Zufallsgeneratoren-HW brauchts für sowas wirklich nicht).
Zum Zeitfenster: das braucht man nicht versuchen, das ist bekannt 
Wenn so ein Dongle alle 20-30 Sekunden eine neue TAN generiert, verfällt die Gültigkeit der alten nicht sofort. Üblich ist ein Zeitfenster von 1-2 Minuten. Wenn die Nummer wechselt, während man diese gerade eintippt, funktioniert die alte noch. Das ist natürlich auch deswegen so, um die Gangungenauigkeit der Uhren in den Dongles auszugleichen. Ich kenne das so, daß die Dongles nach spätestens 3 Jahren auch ausgetauscht werden (vermutlich genau deswegen).
Zum Sicherheitsaspekt: natürlich ist ein TAN-Dongle sicherer als eine TAN oder iTAN-Liste. Bei einer normalen TAN-Liste reicht es, eine einzige Nummer zu "verlieren", bei der iTAN den Zettel selbst - oder eben ihren Inhalt. In beiden Fällen hat der Angreifer viel Zeit für den Missbrauch - nämlich bis der geschädigte Nutzer den TAN-Block sperrt.
Beim Dongle nutzt eine "abgephishte" Nummer nix, weil sie ja nach kurzer Zeit verfällt. Die Wahrscheinlichkeit, daß man mal eben den Algorithmus und vor allem den Random-Seed genau seines Dongles knackt, ist gleich Null.
Ausserdem darf man nicht vergessen, daß die TAN, egal ob Dongle oder Zettel oder iTAN oder mTAN, niemals die alleine Überprüfung der Authentifikation ist: Login-ID, Passwort, PIN, das kommt in der Regel alles noch dazu.
Jemand, der auf postbank.bunterwebhoster.cz surft und da bereitwillig alle seine Zugangsdaten verrät, ist dann zumindest durch die zeitliche begrenzte Gültigkeit der TANs weniger gefährdet, weil die Daten zeitnah eingesetzt werden müssten. In der Regel sammeln Phishing-Sites die Daten ja nur, statt sie in einem synchronen Man-in-the-Middle-Angriff zu verwenden.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!