Tan-Eingabe finAPI in Klaranzeige

Dementi.

Das ist mittlerweile üblich und auch notwendig. Hier von DATEV eine "Lockerung der allgemeinen Handhabung" zu erwarten ist unnötig. In 99 % der Fälle wird eine TAN richtig eingegeben. Und wenn man sich vertippt hat, gibt man die TAN eben beim zweiten Mal richtig ein.

Hallo @andreashofmeister ,

dass für die TAN-Eingabe ein Tastenfeld eingeblendet werden kann, damit die TAN nicht abgegriffen werden kann OK, aber weshalb die TAN nicht auf dem Bildschirm angezeigt werden darf, verstehe ich nicht. Und nach meiner Erinnerung machen die Banken in ihrem eigene Onlinebanking nicht so einen Schritt (Commerzbank, Deutsche Bank und Kreissparkasse).

Dementi auch von mir. Egal ob es Einmalpasswörter oder "andere" Dinge sind - das macht man nicht. 

Und: Wenn Sie das Problem öfter haben bzw. Ihre Mandanten, stellen Sie auf pushTAN um und brauchen nur am Smartphone den Auftrag freigeben. Ganz ohne TAN 😉. 

Hallo Datev,

auch wenn der Status weiter auf offen steht darf ich mich an dieser Stelle für die Umsetzung meines Anliegens bedanken. Jetzt wird die Tan in Klarzeichen angezeigt bei der Eingabe!

Viele Grüße

Alexander Sperber

Kann ich nur hoffen, dass es ein Bug ist 😲. Bestimmt von finAPI statt der DATEV 😄.

@a_sperber ,

wer sich nicht sicher ist, ob seine Tastatur (Groß/Klein-Schreibung, NUM-Taste etc) korrekt eingestellt ist, kann ja z.B. kurz per Notepad eine beliebige alphanumerische Eingabe testen.

Eine TAN am Monitor anzuzeigen, wäre auch aus meiner Sicht riskant

... nur eine kleine Anektote zur TAN-Eingabe

ein Bekannter wollte vor 2 Jahren kurz vor Weihnachten noch ein paar Überweisungen erledigen, bekam aber mehrere Meldungen, dass die jeweilige TAN ungültig sei, bis er nach mehreren Anläufen skeptisch wurde und in Panik ausbrach und über die Feiertage einige bange Stunden und hektische Telefonate wg. Kontosperrung usw. hatte.

Es war eine Malware im Spiel, ob Keylogger oder Screeenscraping weiß ich nicht mehr

Hallo @vogtsburger ,

danke für Ihre Anmerkung. Mein letzter Beitrag bezog sich darauf, dass in DUo die Tan jetzt tatsächtlich in Klartext angezeigt werden, mein Anliegen also inzwischen umgesetzt ist.

Bezüglich Ihrer Anektote wage ich übrigens zu bezweifeln, dass es z.B. bei einem Keylogger einen Unterschied machen würde, ob die Anzeige in Klartext oder Symbolen erfolgt.

Viele Grüße

Alexander Sperber

Hallo @a_sperber ,

Sie haben Recht, einem Keylogger ist die Anzeige auf dem Desktop vermutlich egal, weil er nur die Tastatureingabe aufzeichnet. Es gibt aber auch Software, die die gesamte 'Sitzung' (inkl der Desktopanzeige) mitschneiden und wieder wie ein Video abspielen kann, so wie z.B. auch Fernwartungssoftware (Teamviewer und andere).

Früher hatte ich mal ein Tool, das die Sternchen (bei der Passworteingabe) in Klartext anzeigen konnte (bei MouseOver über diesem Eingabefeld). 

Hallo @vogtsburger ,

ich kann deutlich die Bedenken bei Passwörtern etc. die für den Mehrfachgebrauch bestimmt sind nachvollziehen, bei einer Tan für den Einmalgebrauch bin ich da entspannte zumal bei einem infizierten System die Unterbindung der Klartextanzeige auch nichts nützen dürfte, aber ich bin kein EDVler. Mir ist es auf jeden Fall lieber, wie es die Datev (oder finAPI) neuerdings anzeigt, aber vielleicht bin ich in meinem Sicherheitsdenken auch einfach nur naiv.

Viele Grüße

Alexander Sperber

Hallo Community,

wie @a_sperber  bereits richtig erwähnt hat, wird die TAN nun in Klartext dargestellt. Der Wunsch ist damit umgesetzt 🙂

Bei der Generierung der TAN wird das sog. „Dynamic Linking“ eingesetzt. Das bedeutet so viel wie: die TAN wird aus den Angaben zu Zahlungsempfänger und Betrag generiert. Infolgedessen ist die TAN auch nur für diesen einen Zahlungsauftrag gültig.
Sollte die TAN abgefangen werden (als Klartext oder verschlüsselt) und man versucht diese für einen anderen Zahlungsauftrag zu nutzen, wird das nicht funktionieren. Die TAN passt dann nicht mehr zum Zahlungsauftrag und wird in Folge bei der Bank abgewiesen.
Genau aus diesem Grund wurde im Rahmen von PSD2 die iTAN-Liste (indizierte TAN-Liste) abgeschafft.

@Nina_Naßler: Dann sind diese News also alle technisch überholt und zu 100% ausgeschlossen?

TAN-SMS einfach umgeleitet: Konten zahlreicher Nutzer leergeräumt

SMS-TAN wurde bereits erfolgreich angegriffen

Hallo @Nina_Naßler ,

wenn jetzt auch noch endlich das Fenster mit der Flickergrafik und die Skalierung derselben so ausgestaltet werden, dass der zuletzt verwendete Zoom-/Größenfaktor beibehalten wird, dann kann man endlich auch mit diesem Verfahren ordentlich arbeiten.

In den Zeiten vor finAPI hatten wir das schon lange, aber irgendwie ist das mit der Umstellung verloren gegangen und niemand findet den notwendigen Quellcode mehr ...

Grüße

R. Hein

---

@rvh schrieb:

wenn jetzt auch noch endlich das Fenster mit der Flickergrafik und die Skalierung derselben so ausgestaltet werden, dass der zuletzt verwendete Zoom-/Größenfaktor beibehalten wird, dann kann man endlich auch mit diesem Verfahren ordentlich arbeiten.

---

Weil das TAN Verfahren überholt ist?! Sie müssen starke Armen haben 😄. Da gibt's bei der Bank mit Sicherheit ein andere, ebenfalls kostenloses TAN Verfahren, dass nicht an ein Smartphone gekoppelt ist. 

Mich würde ja die Fummelei und Geklicke wahnsinnig machen 😂. 

Hallo @metalposaunist, 

Das mTAN Verfahren bleibt weiterhin erlaubt, was eine zusätzliche Interpretation der europäischen Bankenaufsicht bestätigt hat. Das Verfahren erfüllt die beiden Grundvoraussetzungen der dynamischen Generierung ("Dynamic Linking") und der Möglichkeit, die Bankdaten und die TAN in einer Einheit zu kontrollieren. Wie sicher Sie das Verfahren auf Basis dieser Informationen einschätzen, liegt ganz bei Ihnen 😉

https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/SoFunktioniertDasOnlineBanking/Sicherheit/mTAN-Verfahren.html

Das liest sich nicht gerade wie eine Empfehlung für dieses Verfahren ...

---

@Nina_Naßler schrieb:

Wie sicher Sie das Verfahren auf Basis dieser Informationen einschätzen, liegt ganz bei Ihnen 

---

Das wollte @Nina_Naßler damit durch die Blume gesprochen wohl zum Ausdruck bringen 😉😋.

Wie mir die Worte hier im Mund verdreht werden 🤔

Ich möchte nochmal klarstellen, dass ich mit meinem Post nichts zum Ausdruck bringen möchte. 

Danke für den netten Austausch, ich verabschiede mich damit ins Wochenende 👋

---

@Nina_Naßler  schrieb:

... 

Wie mir die Worte hier im Mund verdreht werden 

 

Ich möchte nochmal klarstellen, dass ich mit meinem Post nichts zum Ausdruck bringen möchte. 

---

... das war jetzt aber keine 'Klaranzeige', sondern eine 'Klaransage' 😁

Hallo @Nina_Naßler ,

können Sie vielleicht noch etwas zu dem Thema "Fenstergröße/Flickergrafikgröße" (mein Beitrag vom 15.12.2020) sagen?

Herzlichen Dank und ein schönes Wochenende

R. Hein

Hallo @rvh ,

... sehen Sie tatsächlich keine Möglichkeit, das 'Dino'-Verfahren "Flickergrafik" durch ein modernes Verfahren zu ersetzen, z.B. PhotoTAN, QR-Code u.a. ?