comdirect

---

@Z4Devil  schrieb:

Bestreite ich nicht, hatte es aber vermutet. Frage: wieso funktioniert der Reiner SCT problemlos mit anderen Banken? Haben die unsichere Schlüssel? Glaube ich nicht.

---

Beim photoTAN-Vefahren wird dieser individuelle Schlüssel bei der Aktivierung von der comdirect an Dein Smartphone oder Lesegerät übermittelt. Die Sicherheit steht und fällt danach mit der physischen Zugriffsmöglichkeit Dritter auf das entsprechende Gerät.

Beim chipTAN-Verfahren benötigt man dagegen keinen individuellen Aktivierungsschlüssel, weil im Chip der Karte selbst ein individueller Code enthalten ist, auf den über das Lesegerät zugegriffen werden kann. Ich nehme an, das ist der Grund, weshalb sich bei chipTAN ein einheitliches Codierungsverfahren durchgesetzt hat, bei photoTAN wegen der unterschiedlichen Schlüssel dagegen jede Bank  ihr eigenes Süppchen kocht.

Viele Grüße

Weinlese

[...]

Beim photoTAN-Vefahren wird dieser individuelle Schlüssel bei der Aktivierung von der comdirect an Dein Smartphone oder Lesegerät übermittelt. Die Sicherheit steht und fällt danach mit der physischen Zugriffsmöglichkeit Dritter auf das entsprechende Gerät.

[...]

Ich danke Dir. Hatte ich beinahe schon vermutet, jedoch ist der Schlüssel ja in seinen Rechten beim Hersteller (hier comdirect) angelagert. Reiner SCT ist eigentlich das Flaggschiff bei den Lesern und Generatoren und in Sachen Kompatibilität ganz weit vorne. 

Auch die Genossenchaftsbanken und Sparkassen haben demzufolge beim PhotoTAN-Verfahren ihre eigenen Schlüssel, allerdings dann offenbar einen Deal mit SCT.

Ich vermute hier lizenzrechtliche Vereinbarungen bestimmter Hardwarehersteller und der jeweiligen Bank. Je nachdem, in welcher Bankengruppe man ist, benutzen die unterschiedliche FrontEnds, sprich unterschiedliche Bankensoftware. Kleinere Banken kaufen sich bei größeren ein, weil der Kauf der Software sehr teuer ist und sich erst ab einer bestimmten Anzahl Kunden rechnet. Die GLS beispielsweise macht das so.

Sagen wir es mal so: ich hoffe, dass der Hinweis von SCT, dass deren Leser "(noch) nicht mit der CoDi und CoBa funktionieren", ein bisschen Hoffnung lässt. 

Den Banken ist der Hersteller von Lesern eigentlich egal, er muss nur die Sicherheitsvorschriften einhalten. 🙂

[...]

Beim chipTAN-Verfahren benötigt man dagegen keinen individuellen Aktivierungsschlüssel, weil im Chip der Karte selbst ein individueller Code enthalten ist, auf den über das Lesegerät zugegriffen werden kann. Ich nehme an, das ist der Grund, weshalb sich bei chipTAN ein einheitliches Codierungsverfahren durchgesetzt hat, bei photoTAN wegen der unterschiedlichen Schlüssel dagegen jede Bank  ihr eigenes Süppchen kocht.

[...]

Siehste, genau das meinte ich. Und deshalb wäre ein einheitliches Angebot der Banken, mit ChipTAN zu arbeiten, doch erstrebenswert - was eine sehr große Anzahl von Kunden mitgetragen hätte, denn die brauchen keine 569.122 eigenen Schlüssel. 😉

PS: Dein Nickame ist klasse. Ich komme mal vorbei, trinke aber nur roten. 🙂

Vielen Dank nochmals.

LG

Verena

---

@Weinlese  schrieb:

 

Beim chipTAN-Verfahren benötigt man dagegen keinen individuellen Aktivierungsschlüssel, weil im Chip der Karte selbst ein individueller Code enthalten ist, auf den über das Lesegerät zugegriffen werden kann.

Jein, genauer gesagt ist das Lesegerät noch viel simpler aufgebaut. 

Der Chip auf der Karte ist für sich genommen ein eigener, vollständiger Rechner mit CPU, RAM, Software usw. Das Lesegerät versorgt diesen zunächst mit dem nötigen Strom. Auf dem Chip befindet sich eine Anwendung zur Generierung der TANs (weitere Anwendungen auf dem Chip gibt es z.B. für die GiroCard-Funktion, für die GeldKarten-Funktion, und noch ein paar andere je nach Kartentyp). Die Sensoren bzw. Tasten des ChipTAN-Generators dienen nur als Medium zur Kommunikation mit dem Chip. Der Leser verfügt also so gut wie gar nicht über eigene Intelligenz.

Grüße

baha

[...]

Der Chip auf der Karte ist für sich genommen ein eigener, vollständiger Rechner mit CPU, RAM, Software usw.

[...]

Erwiesen nicht. Er hat ein sehr strukturiertes Dateinmanagement und kann nur binär, per BCD oder EBCDIC kodieren.

Wenn man überhaupt von Applikation sprechen kann, dann in zweierlei Hinsicht:

- Dedicated File (oder Verzeichnis, kann sogar Root sein) und

- Elementary File (Datenfeld)

Er liefert "nur" Informationen, aber ganz sicher kein eigenes System. Dann würde kein einziger Leser und Generator funktionieren.

Das NFC Field allerdings benutzt ein relativ offenes Skript und macht den Chip zu einer Art Allround-Waffe.

Hätte er ein eigenes (geschlossenes) Rechnersystem, würde NFC & Co. keine Sekunde funktionieren.

Ich möchte an dieser Stelle Mal eine Lanze für die photoTAN-App brechen. Ich verstehe ja, dass nicht jeder einer App zur TAN-Generierung Vertrauen schenkt (Gründe hat sicherlich jeder Kunde selbst). Durch die App auf dem Smartphone habe ich allerdings dir Möglichkeit jederzeit eine Tan zu generieren, ohne Tag und Nacht ein Lesegerät mit mir herumzuschleppen. Das ist für mich persönlich ein riesiger Vorteil. Wahrscheinlich auch für viele andere Kunden. Diese Möglichkeit habe ich bei der hiesigen Sparkasse, die auf chipTAN setzt, nicht. Ich fände es dementsprechend nicht schön, wenn die Codi auf einmal dieses Verfahren verwenden wollen würde. 

Man sollte immer versuchen, auch die Argumente der Gegenseite in eine solche Diskussion aufzunehmen 😉

Sämtliche von deutschen Banken ausgegebene GiroCards jüngeren Datums (spätestens 2010 und danach, der Großteil auch schon deutlich früher) sind Prozessorchipkarten (Stichwort EMV).

Selbstverständlich können viele Daten aus der Karte ohne großartigen Schutz ausgelesen werden. Das passiert z.B. an jedem Zigarettenautomaten und auch der TAN-Generator macht davon Gebrauch.

Der entscheidende Teil der TAN-Erzeugung erfolgt jedoch innerhalb der Karte.

Ich habe jetzt wegen deines Einspruchs mal etwas geforscht und eine genaue Beschreibung des Verfahren gefunden. Meine Aussage von oben muss ich insoweit korrigieren, dass demnach der TAN-Generator doch auch an der Errechnung der TAN beteiligt ist. Das war mir vor der Lektüre oben nicht bewusst.

(falls es interessiert, hier der Link zur besagten Beschreibung: https://wiki.ccc-ffm.de/projekte:tangenerator:start)

Grüße

baha

Jetzt habe ich mich durch diesen Faden gewühlt in der Hoffnung etwas grundlegend Interessantes zum Lesegerät zu erfahren weil ich die Sache gern vom Schmartphone runter hätte. Schon wegen der "Arbeit"die man hat wenn man selbiges wechselt.

Aber es war eine "Zeitreise" in die jüngere Vergangenheit die mir vermittelt hat das eine zufriedenstellende Lösung des Problems immer noch nicht in Aussicht steht. Von daher lasse ich erstmal alles wie es ist und warte wann das Schmartphone mir die Entscheidung wieder näherbringt. Allen noch einen schönen Abend