Wobei PhotoTAN ja schon versaubaselt ist, weil man nicht mehr einen ganz bestimmten Überweisungsbetrag auf ein ganz bestimmtes Zielkonto signiert, sondern nur eine Aktion bestätigt, deren Inhalt man nicht angezeigt bekommt oder signieren kann (“Bestätigen Sie für Start-Code 48346364567 mit der angezeigten TAN”). Und da ist man konzueptuell wieder auf dem Niveau der guten alten TAN-Liste auf Papier, die anfällig ist für Man-in-the-Middle bzw Man-in-the-Browser Attacken. Die Sicherheit bei ChipTAN kommt nämlich nicht allein vom elektronischen Gerät, sondern dass man auf dem sicheren Gerät angezeigt bekam, welche Kontobewegung genau man bestätigt!!
Valider Punkt, absolut. Da ich aber meine Umgebung fürs Banking relativ gut abgesichert hab, habe ich dieses Risiko als geringer bewertet. Es ist ja alles eine Abwägung. Aber eben Banking und Authentifizierung auf dem gleichen Gerät, welches ich auch noch überall mit hin nehme, zu haben, erscheint mir anfälliger.
Mache ich auch so.
Wobei PhotoTAN ja schon versaubaselt ist, weil man nicht mehr einen ganz bestimmten Überweisungsbetrag auf ein ganz bestimmtes Zielkonto signiert, sondern nur eine Aktion bestätigt, deren Inhalt man nicht angezeigt bekommt oder signieren kann (“Bestätigen Sie für Start-Code 48346364567 mit der angezeigten TAN”). Und da ist man konzueptuell wieder auf dem Niveau der guten alten TAN-Liste auf Papier, die anfällig ist für Man-in-the-Middle bzw Man-in-the-Browser Attacken. Die Sicherheit bei ChipTAN kommt nämlich nicht allein vom elektronischen Gerät, sondern dass man auf dem sicheren Gerät angezeigt bekam, welche Kontobewegung genau man bestätigt!!
Valider Punkt, absolut. Da ich aber meine Umgebung fürs Banking relativ gut abgesichert hab, habe ich dieses Risiko als geringer bewertet. Es ist ja alles eine Abwägung. Aber eben Banking und Authentifizierung auf dem gleichen Gerät, welches ich auch noch überall mit hin nehme, zu haben, erscheint mir anfälliger.