Kaay Display-TAN
En

Display-TAN/soft

Es wird zusätzlich zu Display-TAN ein App-TAN Verfahren ''Display-TAN/soft'' angeboten. Das Verfahren wird geliefert als eine library, die die gleiche API und die gleiche Funktionalität wie die Display-TAN Karte hat. Die Display-TAN Karte steckt sozusagen ''soft'' im Smartphone.

Display-TAN/soft ist zwar Smartphone-Trojanern ausgesetzt, aber für kleine Überweisungen ist es OK - es kann kein großer Schaden entstehen und Betrüger sollten deshalb wenig daran interessiert sein.

Einsatzmöglichkeiten

Zielgruppe sind die Bankkunden, die keine Display-TAN Karte haben, oder auch die Bankkunden, die gern beide Versionen hätten - in dem Fall hat die Display-TAN/soft Anwendung natürlich einen anderen geheimen Schlüssel als die Display-TAN Karte.

Außerdem kann Display-TAN/soft mehr Text anzeigen als die Karte, denn es steht das Display des Smartphones zur Verfügung. Deshalb ist die API der Soft-Version erweitert auf mögliche längere Transaktionstexte. Damit können auch Transaktionen bestätigt werden, deren Texte zu lang für die Karte sind, z.B. eine Adressenänderung.

Eigenschaften

Display-TAN/soft hat praktisch die gleiche API wie die Display-TAN Karte, siehe Abschnitt Library unten. So muss die Bank auf Server- und auch auf Smartphone-Seite für Display-TAN/soft nicht viel ändern, bzw. es ergeben sich bei einer Display-TAN Erst-Implementierung große Synergie-Effekte.

Display-TAN/soft kann in die Bank-App integriert werden, oder auch eine eigene extra App werden.

Falls das Smartphone einen lokalen Fingerprintsensor hat (wie z.B. iPhone), dann wird dieser auch bei jeder Transaktionsbestätigung automatisch eingesetzt.

Display-TAN/soft wird gut lesbar als library im Quelltext geliefert, für iOS und Android. Härtungmaßnahmen sind nicht enthalten - die sollten anschließend von der Bank oder einem Drittanbieter durchgeführt werden.

Library

Library

Es gibt 2 Libraries LibDisplayTANsoftV1 und LibDisplayTANsoftV2, jeweils entsprechend der Version 1 bzw. der Version 2 der Hardware Karte. Beide Libraries sind verschieden voneinander und sind verschieden von der Hardware Library LibDisplayTAN.

Methoden

Es gibt in beiden Display-TAN/soft Libraries die folgende öffentliche Methode (in V2 ist es die einzige):

  • (byte*) sendChallenge:(byte*) Data;

Die Methode nimmt die gleichen Byte-Strings als Befehle an wie die gleichnamige Methode in der Display-TAN Hardware library LibDisplayTAN. Der Returnwert wird hier direkt zurückgegeben - der Control bleibt dabei solange bei der Methode.

Erweiterung: Die Transaktionstexte können beliebig lang sein (anstatt genau 10 Zeichen), und beliebige printable Buchstaben enthalten (außer Tilde ~ die fungiert als Trennzeichen). Sogar in Unicode oder UTF-8 Code: die Buchstaben werden entsprechend angezeigt, während sie für die OCRA-Berechnung mundgerecht in Bytes umgewandelt werden.

Rendering ist nur mit den Zeichen \n (neue Zeile) und \t (Tab) möglich (sind Teil des OCRA Input-Strings) - eine höhere Rendering-Sprache für die Darstellung des Transaktionstextes ist vorerst nicht vorgesehen. Falls der Transaktionstext dem Format des Hardware-Befehls entspricht, wird in V1 ergänzt mit Text ''Zielkontonummer:'' etc. (in der Sprache des Smartphones) und passend gerendert, in V2 werden die mit ~ separierten Strings zeilenweise dargestellt.

Beispiele:

  • Version 1
    • sendChallenge(''83507112 ~20,00~1399458665_G6HNVF'')
    • sendChallenge(''Bitte bestätigen Sie Ihre neue Adresse:\n\tBurgstraße 136\n\t30765 Hannover~~39731098738734'')
  • Version 2
    • sendChallenge(''OCRA~~123456abcXYZ~DE41~60391310 ~0757292001~EUR 8,20~ENDOCRA'')
    • sendChallenge(''OCRA~~2306261461032689~Bitte bestätigen Sie die Bestellung der Display-TAN Karte für Ihr Konto!\n\nKosten: 12,00 Euro~ENDOCRA'')

Credential-Verwaltung

Defaultwerte. Der Defaultwert für den Seed in beiden Versionen V1 und V2 ist ''12345678901234567890'', der Defaultwert für den AES128-Schlüssel (nur in V2) ist ''1234567890123456''.

Festlegen der Credentials. In V2 kann der Wert für Seed und Schlüssel mit dem Befehl PERSO_SETSEED~s~k~ENDPERSO (AES-verschlüsselt mit dem aktuellen Schlüssel), also via die Methode sendChallenge(), gesetzt werden. In V1 gibt es den Befehl nicht, deshalb die folgende öffentliche Methode für LibDisplayTANsoftV1:

  • (int) setSeed:(byte*) S;

Der 20-Byte String S wird mit der Ausführung der Methode zum neuen Seed, wobei die Methode nur dann ausgeführt wird, wenn der aktuelle Seed der Default Seed ist. Das bedeutet, dass der Seed nur einmal gesetzt werden kann, das gilt genauso für PERSO_SETSEED~s~k~ENDPERSO in V2. Die Returnwerte für setSeed() sind: 0 = Success, 1 = Failure - seed was already set, 2 = Other problem.

App-ID. In V2 wird beim ersten Aufruf eine 16-Byte Variable auf einem unabänderlichen Zufallswert gesetzt. Mit dieser zufälligen App-ID (in Hex) wird der Befehl PERSO_QUERYID beantwortet, falls er via sendChallenge() geschickt wird. So bekommt der Befehl PERSO_QUERYID eine der Hardware Version entsprechende Antwort.

Mehr InformationenDemo AppsAPIMehr FunktionaltätenLinksKontakt
Workflows
IBAN
Vergl. App-TAN
Weitere Informationen
Friendly Fraud
PSD2-Compliance
Business Partner
Android App
iOS App
Windows App
API Version 1
API Version 2
SDK/Library
Display-TAN/soft
Seed Perso
Display-PIN
Online Banking Demo
IoT Anwendungen
nfc-tan.com
smartdisplayer.com
borchert-it-sicherheit.com
YouTube Playlist ''Technology Cards''
Über uns
Kontakt
Impressum
Privacy Policy