Wobei PhotoTAN ja schon versaubaselt ist, weil man nicht mehr einen ganz bestimmten Überweisungsbetrag auf ein ganz bestimmtes Zielkonto signiert, sondern nur eine Aktion bestätigt, deren Inhalt man nicht angezeigt bekommt oder signieren kann (“Bestätigen Sie für Start-Code 48346364567 mit der angezeigten TAN”). Und da ist man konzueptuell wieder auf dem Niveau der guten alten TAN-Liste auf Papier, die anfällig ist für Man-in-the-Middle bzw Man-in-the-Browser Attacken. Die Sicherheit bei ChipTAN kommt nämlich nicht allein vom elektronischen Gerät, sondern dass man auf dem sicheren Gerät angezeigt bekam, welche Kontobewegung genau man bestätigt!!
Mache ich auch so.
Wobei PhotoTAN ja schon versaubaselt ist, weil man nicht mehr einen ganz bestimmten Überweisungsbetrag auf ein ganz bestimmtes Zielkonto signiert, sondern nur eine Aktion bestätigt, deren Inhalt man nicht angezeigt bekommt oder signieren kann (“Bestätigen Sie für Start-Code 48346364567 mit der angezeigten TAN”). Und da ist man konzueptuell wieder auf dem Niveau der guten alten TAN-Liste auf Papier, die anfällig ist für Man-in-the-Middle bzw Man-in-the-Browser Attacken. Die Sicherheit bei ChipTAN kommt nämlich nicht allein vom elektronischen Gerät, sondern dass man auf dem sicheren Gerät angezeigt bekam, welche Kontobewegung genau man bestätigt!!