Erfahrungen chipTAN-Verfahren
"G.Bräth"
chipTAN-Verfahren? Im speziellen mit dem Flickercode und Erkennungsrate.
Vordergründig ist ja alles so super einfach und toll, aber: Kartenleser,
Browser, Monitor etc. Da kommen doch einige Variablen zusammen und laut
Murphy ...
Auch eine Googlesuche ergibt merkwürdigerweise wenig Treffer zu dem
Thema. Normalerweise gibt es doch, egal bei welcher Soft- oder Hardware,
unter den Millionen von Nutzern immer eine gewisse Fehlerrate.
Jedenfalls hat bei mir Murphys Law gnadenlos zugeschlagen. Und wie
Banken und Hersteller reagieren? Na wie man's gewohnt ist, also nicht
gerade vertrauenserweckend.
Wenn man jetzt liest dass viel Banken zwangsweise von iTAN auf chipTAN
umstellen...
G.B.
Michael Hellwig
ich benutz es (hab den sogenannten "comfort"-Leser der Sparkasse) und
hab die Erfahrung gemacht, dass es zumindest mit meinem Laptop (der ein
nicht-spiegelndes(!) Display aufweist) fast immer funktioniert (wenn man
die Breite des Flimmer-Fensters korrekt einstellt natürlich).
Ich hab eigentlich nur dann Probleme gehabt, wenn ich in einem dunklen
Raum sitze und das dann versuche. I.e. es scheint so als würde das vom
Bildschirm selbst abgestrahlte Licht nicht so sehr den Effekt bringen
als eher das von der Raum-Lampe abgestrahlte Licht, das dann von den
weissen Flecken reflektiert wird in die Photodioden rein und von den
schwarzen eben weniger. So jedenfalls meine Theorie.
Weil in den Fällen wo's nicht funktionieren wollte gings dann doch
nachdem ich das Licht im Raum eingeschaltet hatte.
Shawn Keen
Ich habe einige Erfahrungen mit dem Gerät von der Sparkasse machen
können und bin positiv überrascht. Ausserdem ist die Flickermethode bei
der Sparkasse optional; man kann den Code vom Bildschrim ablesen und
manuell eingeben.
Gruss
Shawn
"G.Bräth"
> ich benutz es (hab den sogenannten "comfort"-Leser der Sparkasse) und
> hab die Erfahrung gemacht, dass es zumindest mit meinem Laptop (der ein
> nicht-spiegelndes(!) Display aufweist) fast immer funktioniert
Ja, den Digipass 835 haben wir (unter anderem ) auch:
Hier an einem Laptop ~ 0% Erkennungsrate und an meinem LCD-Monitor
zwischen 70 und 95% Erkennungsrate. Je nach Tagesform und dringlichkeit
der Überweisung wobei: Je dringlicher die Überweisung desto niedriger
die Erfolgsrate (rein subjektiv) ;-)
> (wenn man
> die Breite des Flimmer-Fensters korrekt einstellt natürlich).
Ich kenne da eigentlich nur zwei Einstellungen: etwas breiter als die
beiden Pfeile oder etwas schmaler... Wobei letzteres die Erfolgsrate um
ein paar Prozent erhöht.
> Ich hab eigentlich nur dann Probleme gehabt, wenn ich in einem dunklen
> Raum sitze und das dann versuche. I.e. es scheint so als würde das vom
> Bildschirm selbst abgestrahlte Licht nicht so sehr den Effekt bringen
> als eher das von der Raum-Lampe abgestrahlte Licht, das dann von den
> weissen Flecken reflektiert wird in die Photodioden rein und von den
> schwarzen eben weniger. So jedenfalls meine Theorie.
Deckt sich in etwa mit meinen Erfahrungen. Aber schon blöd und nicht
gerade Vertrauenserweckend wenn die Raumbeleuchtung Einfluß auf die
Erfolgsquote beim Onlinebanking hat.
Das Alternativgerät von Reiner-Sct scheint generell besser zu sein und
funktioniert auch auf dem Laptop. Es macht zwar einen billigeren
Eindruck und ist nicht so handlich, aber wenn's funktioniert...
Mit den guten alten Papierlisten hatte ich unabhängig von Gerät und
Beleuchtung immer eine Erfolgsrate von 100%. Soviel zu moderner Technik.
G.B.
"G.Bräth"
> Ausserdem ist die Flickermethode bei
> der Sparkasse optional; man kann den Code vom Bildschrim ablesen und
> manuell eingeben.
Das ist mir neu! Ich weiß zwar, dass man die wichtigsten
Transaktionsdaten (Kontonummer, Betrag) auch per Tastatur in den Leser
zur TAN-Berechnung eintippen kann, aber es ist ja echt doof die gleichen
Daten 2x in ein Gerät einzutippen.
Merkwürdigerweise gibt es -gerade auch bei der Sparkasse Ulm- sehr
wenige gründliche Anleitung und FAQs zu dem Thema (z.B. dass man auch
die Geschwindigkeit des Flickercodes ändern kann, oder welche
verschiedene Techniken hinter dem Flickercode stecken, Flash,
JavaScript, anim.Gif etc. etc. wär z.B. wichtig für die Browserwahl)
G.B.
Michael Hellwig
> Am 16.02.2011 18:56, schrieb Michael Hellwig:
>> ich benutz es (hab den sogenannten "comfort"-Leser der Sparkasse) und
>> hab die Erfahrung gemacht, dass es zumindest mit meinem Laptop (der ein
>> nicht-spiegelndes(!) Display aufweist) fast immer funktioniert
>
> Ja, den Digipass 835 haben wir (unter anderem ) auch:
> Hier an einem Laptop ~ 0% Erkennungsrate und an meinem LCD-Monitor
> zwischen 70 und 95% Erkennungsrate. Je nach Tagesform und dringlichkeit
> der Überweisung wobei: Je dringlicher die Überweisung desto niedriger
> die Erfolgsrate (rein subjektiv) ;-)
>
ah. uU relevant: ich hab von der Sparkasse ein als "Komfort-<irgendwas>"
Gerät beworbenes Dings bekommen, das ist aber ein Reiner SCT.
>> (wenn man
>> die Breite des Flimmer-Fensters korrekt einstellt natürlich).
>
> Ich kenne da eigentlich nur zwei Einstellungen: etwas breiter als die
> beiden Pfeile oder etwas schmaler... Wobei letzteres die Erfolgsrate um
> ein paar Prozent erhöht.
>
also ich habs sowohl auf den beiden Laptops (11 Zoll mit 1024x768, 13
Zoll mit 1024x768) als auch auf dem Büro-Monitor (21 Zoll mit 1280x1024)
jeweils ohne Problem hinbekommen dass die Pfeile aufeinanderliegen. I.e.
für mich war die Abstufung klein genug.
>> Ich hab eigentlich nur dann Probleme gehabt, wenn ich in einem dunklen
>> Raum sitze und das dann versuche. I.e. es scheint so als würde das vom
>> Bildschirm selbst abgestrahlte Licht nicht so sehr den Effekt bringen
>> als eher das von der Raum-Lampe abgestrahlte Licht, das dann von den
>> weissen Flecken reflektiert wird in die Photodioden rein und von den
>> schwarzen eben weniger. So jedenfalls meine Theorie.
>
> Deckt sich in etwa mit meinen Erfahrungen. Aber schon blöd und nicht
> gerade Vertrauenserweckend wenn die Raumbeleuchtung Einfluß auf die
> Erfolgsquote beim Onlinebanking hat.
>
> Das Alternativgerät von Reiner-Sct scheint generell besser zu sein und
> funktioniert auch auf dem Laptop. Es macht zwar einen billigeren
> Eindruck und ist nicht so handlich, aber wenn's funktioniert...
>
re Raumbeleuchtung: das ist wohl die einfachste und billigste Methode
(i.e. ein paar langsame Photodioden) die Daten in ein billigst-mögliches
Gerät zu bekommen. Wenn du so einen 2D-Strichcode (wie auch immer die
jetz genau heissen, Smartphone-Nutzer wissen was ich meine) einlesen
können willst brauchst du ja schon deutlich mehr Intelligenz im Gerät..
Kostet dann halt.
> Mit den guten alten Papierlisten hatte ich unabhängig von Gerät und
> Beleuchtung immer eine Erfolgsrate von 100%. Soviel zu moderner Technik.
>
ja aber. As in: klar, Papierlisten funktionieren immer. Sie bieten dir
aber keine vom PC unabhängige Möglichkeit, die Überweisungsdaten nochmal
zu prüfen, i.e. dass da kein Schadprogramm was geändert hat an den
Daten.
Bei meiner anderen Bank (aus dem Heimatland) hab ich SMStan, das ist
halt auch nicht sooo sicher mehr heutzutage, vA bei Smartphones gibts da
ja scheints auch schon Trojaner die spezifische genau darauf abzielen,
SMStan auszuhebeln ..
Wobei, lustiger Unterschied: als ich damals schaute wollten deutsche
Banken eine extra-Gebühr für jede SMS mit TAN, die sie einem schicken.
Meine österreichische Bank hat kein Problem damit, mir die SMS ohne
Kosten für mich auf ein deutsches Handy zu schicken. Naja. Deutschland
ist Steinzeit, was Handytarife betrifft, leider immer noch.
Shawn Keen
> Am 18.02.2011 22:42, schrieb Shawn Keen:
>
> > Ausserdem ist die Flickermethode bei
> > der Sparkasse optional; man kann den Code vom Bildschrim ablesen und
> > manuell eingeben.
>
> Das ist mir neu! Ich weiß zwar, dass man die wichtigsten
> Transaktionsdaten (Kontonummer, Betrag) auch per Tastatur in den
> Leser zur TAN-Berechnung eintippen kann, aber es ist ja echt doof die
> gleichen Daten 2x in ein Gerät einzutippen.
Bevor hier Missverständnisse aufkommen: Entweder man hält das Gerät ans
Flickerfeld _oder_ man gibt die Daten (die sonst per Flimmern
übertragen worden wären) manuell ein.
> Merkwürdigerweise gibt es -gerade auch bei der Sparkasse Ulm- sehr
> wenige gründliche Anleitung und FAQs zu dem Thema (z.B. dass man auch
> die Geschwindigkeit des Flickercodes ändern kann, oder welche
> verschiedene Techniken hinter dem Flickercode stecken, Flash,
> JavaScript, anim.Gif etc. etc. wär z.B. wichtig für die Browserwahl)
Durch Geheimnistuerei wird es automatisch und wie von Geisterhand noch
sicherer!
Von der Flimmerei und ihrer Technik würde ich mich nicht abschrecken
lassen. Für mich ist der kleine Komfort, den Code nicht abtippen zu
müssen nur ein Bonus. Ich habe es noch nicht ausprobiert, aber mit
einem Textbrowser wie elinks o.ä. könnte Onlinebanking mit Chiptan auch
klappen (halt ohne Flimmern).
Wichtig ist dabei ja eigentlich, dass die TAN aus Daten der Überweisung
ermittelt wird. Eine abgeschnorchelte TAN also nicht einfach für eine
untergeschobene Überweisung missbraucht werden kann.
Das Flimmern ist nur der Versuch, den Kram einigermassen
benutzerfreundich beim Kunden aufschlagen zu lassen. Und wir leben ja
schliesslich in der Zukunft, nicht wahr?
Gruss
Shawn
"G.Bräth"
> Durch Geheimnistuerei wird es automatisch und wie von Geisterhand noch
> sicherer!
Ähh.. Hast Du hier den Smiley vergessen?
Nichts wird dadurch sicherer wenn man dem Kunden eine
"Gebrauchsanleitung" oder Möglichkeiten zur Problemlösung vorenthält!
Ich erwarte keine technische Beschreibung z.B. der TAN-Berechnung,
sondern eine FAQ was man tun kann oder wo man drehen kann, wenn's eben
mal nicht funktioniert!
Warum kann man z.B. die Flickergeschwindigkeit verändern wenn diese
Funktion im Prinzip (für den normalen Kunden) nicht dokumentiert ist?
Und was die Kundenfreundlichkeit angeht: Auf zwei Anfragen ans
eelctronicbanking Team gab es keine Antwort, nur eines Tages lag ein
Kuvert mit einem alternativen Leser im Briefkasten und einem
nichtssagenden Anschreiben: "vielen Dank dass Sie sich fürs EB
entschieden haben".
Um Dich nochmal zu zitieren:
> Durch Geheimnistuerei wird es automatisch und wie von Geisterhand noch
> sicherer!
Bedeutet wohl auch:
Wenn man alle Hinweise vermeidet, dass es mit schönen neuen Technik auch
mal Probleme geben könnte, dann werden die Kunden nicht unnötig
verunsichert.
G.B.
Shawn Keen
> Am 21.02.2011 18:22, schrieb Shawn Keen:
>
> > Durch Geheimnistuerei wird es automatisch und wie von Geisterhand
> > noch sicherer!
>
> Ähh.. Hast Du hier den Smiley vergessen?
> Nichts wird dadurch sicherer wenn man dem Kunden eine
> "Gebrauchsanleitung" oder Möglichkeiten zur Problemlösung vorenthält!
Ich hatte angenommen, dass man meine Ironie auch ohne Smiley
erkennt. ;-)
> Ich erwarte keine technische Beschreibung z.B. der TAN-Berechnung,
> sondern eine FAQ was man tun kann oder wo man drehen kann, wenn's
> eben mal nicht funktioniert!
Schön wäre eine Broschüre mit minimaler Information (das ist wohl
vorhanden) und wahlweise etwas handbuchähnliches für geneigte
Technikkenner. Aber halt! Das kann man ja dann nicht mehr so ohne
weiteres supporten, wenn man davon ausgehen muss, dass da jeder an der
Konfiguration rumfingert. ("Removing seal voids warranty")
> Warum kann man z.B. die Flickergeschwindigkeit verändern wenn diese
> Funktion im Prinzip (für den normalen Kunden) nicht dokumentiert ist?
Das kann man? Das ist bestimmt ein böser Hack deinerseits oder der
Knopf war noch aus der Testphase übrig und man hat ihn vergessen. ;-)
> Und was die Kundenfreundlichkeit angeht: Auf zwei Anfragen ans
> eelctronicbanking Team gab es keine Antwort, nur eines Tages lag ein
> Kuvert mit einem alternativen Leser im Briefkasten und einem
> nichtssagenden Anschreiben: "vielen Dank dass Sie sich fürs EB
> entschieden haben".
>
> Um Dich nochmal zu zitieren:
>
> > Durch Geheimnistuerei wird es automatisch und wie von Geisterhand
> > noch sicherer!
>
> Bedeutet wohl auch:
> Wenn man alle Hinweise vermeidet, dass es mit schönen neuen Technik
> auch mal Probleme geben könnte, dann werden die Kunden nicht unnötig
> verunsichert.
Natürlich. Wissen macht Angst. (ich weiss nicht so recht ob ich hier
wirklich einen Zwinkersmiley hinsetzen sollte ...)
Fazit:
1. Security through obscurity.
2. Je weniger Schrauben vom dummen Kunden verstellt werden können,
desto besser ist das Produkt supportbar.
3. Sprechen Sie mir nach: Das Produkt ist elegant und perfekt.
Gruss
Shawn
P.S.: Ich versuche hier die Gegebenheiten nur zu erklären, nicht zu
entschuldigen.
"G.Bräth"
> Ich hatte angenommen, dass man meine Ironie auch ohne Smiley
> erkennt. ;-)
> Natürlich. Wissen macht Angst. (ich weiss nicht so recht ob ich hier
> wirklich einen Zwinkersmiley hinsetzen sollte ...)
> P.S.: Ich versuche hier die Gegebenheiten nur zu erklären, nicht zu
> entschuldigen.
Ok - Ich glaube wir sind uns im Grunde einig ;-)
G.B.
"G.Bräth"
Am 22.02.2011 17:46, schrieb "G.Bräth":
> Und was die Kundenfreundlichkeit angeht: Auf zwei Anfragen ans
> eelctronicbanking Team gab es keine Antwort, nur eines Tages lag ein
> Kuvert mit einem alternativen Leser im Briefkasten und einem
> nichtssagenden Anschreiben: "vielen Dank dass Sie sich fürs EB
> entschieden haben".
Zur Ehrenrettung der Sparkasse:
Peinlicherweise sind die Emails der Sparkasse vom Provider als
"Spamverdächtig" eingestuft worden...
Darin wird festgestellt das es durchaus öfter Probleme gibt, eine
bestimmte Marke Laptops bekanntermaßen häufiger Probleme macht und man
z.B. beim Digipassleser auf die nächste Generation wartet.
Ich habe einige Verbesserungsvorschläge (z.B. eine FAQ für deren
Homepage) gemacht und hoffe auf Gehör.
G.B.