Datacenter Security

 

 


Home » Datacenter Security » Authentisierung » mTAN

mTAN

Das mTAN Verfahren verzichtet auf die von iTAN und PIN-TAN genutzten TAN Listen. Der Anwender verfügt auch weiterhin über einen Nutzernamen und eine dazugehörigen PIN. Anstelle jedoch alle TANs in Form einer Liste auf ein Mal zu übermitteln, werden die technischen Möglichkeiten moderner Mobiltelefone zur Authentifizierung genutzt.

Sobald vom Benutzer eine Transaktion auf der Seite der Bank initiiert wird, sendet diese ihm eine speziell für diesen Vorgang generierte TAN per SMS zu. Die Kurzmitteilung enthält im Fall von Überweisungen neben der Transaktionsnummer auch die Kontonummer des Empfängers. Hierdurch kann Angriffen, welche die Kontonummer manipulieren, vorgebeugt werden. Da die Transaktionsnummern auf das Mobiltelefon des Kunden übertragen werden, spricht man von der „Mobile TAN“ oder „mTAN“.

Vorteile des mTAN Verfahrens

Das mTAN Verfahren macht TAN Listen überflüssig und das Ausspähen gültiger Transaktionsnummern somit praktisch unmöglich. Die generierten TANs verfügen nur über eine begrenzte Gültigkeitsdauer, was den Schutz weiter erhöht. Das Erraten gültiger Transaktionsnummern wird durch das mTAN Verfahren praktisch unmöglich gemacht.

Da bei Überweisungen auch die Kontonummer des Empfängers übertragen wird, kann ein Angreifer selbst mit vollständiger Kontrolle der vom Nutzer empfangenen und versandten Daten keine Transaktion mehr authentifizieren, da die Verbindung des Mobiltelefons vom Computer losgelöst ist.