Datacenter Security

 

 


Home » Datacenter Security » Authentisierung » iTAN

iTAN

Das iTAN Verfahren ähnelt dem klassischen PIN-TAN Verfahren stark. Auch bei diesem Ansatz verfügt der Anwender neben Nutzernamen und PIN über eine Liste von durch die Bank generierten TANs. Im Gegensatz zu den vom klassischen PIN-TAN Verfahren genutzten Listen, verfügt beim iTAN Verfahren jedoch jede TAN über eine ihr zugewiesene Folgenummer. Die gesamte Liste ist somit indiziert. Aus diesem Verfahren wird der Begriff „indizierte TAN“ abgeleitet, der sich zu „iTAN“ verkürzen lässt.

Der Benutzer meldet sich auch weiterhin mit seinem Nutzernamen und der dazugehörigen PIN an. Will er eine Transaktion durchführen, so fordert die Bank die Eingabe einer bestimmten TAN von der ihm vorliegenden Liste ein. Die einzugebende TAN wird im entsprechenden Moment zufällig ausgewählt. Wird auf diesem Wege beispielsweise die Transaktionsnummer mit dem Index 37 angefordert, so führt ausschließlich die Eingabe der TAN mit dem Index 37 zur erfolgreichen Authentifizierung der Transaktion. Alle anderen TANs sind für die spezielle Transaktion ungültig und führen zum Abbruch des Vorgangs.

Vorteile des iTAN Verfahrens

Das Verwenden indizierter TANs verringert die Wahrscheinlichkeit, eine gültige TAN zu erraten im Normalfall um den Faktor 50 und stellt somit einen wirksamen Schutz gegen derartige Angriffe dar. Weiterhin reicht das Erspähen einer zufälligen TAN nicht länger für den Missbrauch aus. Der Angreifer muss im Besitz der durch die Bank geforderten Transaktionsnummer sein, um eine Transaktion zu authentifizieren. Die Wahrscheinlichkeit, dass eine zufällig ausgespähte TAN von der Bank eingefordert wird, liegt bei lediglich 2%.