Kaay Display-TAN
En

Display-TAN - Mobile Banking wie es sein soll: sicher und mobil

Display-TAN ist ein in die Bankkarte integrierter TAN-Generator, inkl. Display und Bluetooth

Display-TAN ist ein Mobile Banking Verfahren, das gleichzeitig sicher und mobil ist:

• Display-TAN ist sicher, denn die TAN (Transaction Authentication Number) wird auf der Bankkarte erzeugt - nicht auf dem Smartphone!

• Display-TAN ist mobil in dem Sinne, dass der Bankkunde für Mobile Banking nur das braucht, was er sowieso dabei hat: Smartphone und Bankkarte.

Außerdem ist Display-TAN bequem, denn es muss nichts getippt werden - Klicken reicht!

Motivation/Hintergrund: Warum Display-TAN?

Heutzutage werden viele finanzielle Transaktionen vom Smartphone aus ausgeführt, und zwar nur mit dem Smartphone, d.h. ohne TAN-Generator etc. Das Kunden-Smartphone könnte aber mit einem Trojaner infiziert sein, der die Transaktionen des Kunden manipuliert, denn der Trojaner kann auf dem Smartphone jedes dafür notwendige Credential des Kunden ausspionieren oder missbrauchen: Passwort, SMS, geheimer Schlüssel, Fingerprint, etc.

Die Grundidee von Display-TAN ist also folgende: Der geheime Schlüssel und die TAN-Erzeugung wird vom Smartphone auf die Bankkarte ausgelagert. So ist der geheime Schlüssel und die TAN-Erzeugung sicher vor Smartphone-Trojanern.

Bluetooth wird gebraucht, um die Transaktionsdaten auf die Karte zu transportieren (verschlüsselt).

Basis Informationen

Hardware. Das wesentliche Element des Display-TAN Verfahrens ist eine Bankkarte, die ein Display und ein Bluetooth Modul hat, und trotzdem so dünn, flexibel, robust und haltbar ist wie eine übliche Bankkarte.

Sicherheit. Display-TAN ist deshalb besonders sicher, weil alles Sicherheitskritische auf der Karte stattfindet (und nicht auf einem potentiell unsicheren Endgerät wie PC, Laptop, Tablet oder Smartphone): 1. Der geheime Schlüssel der Bank wird auf der Karte gespeichert, 2. die Transaktionsdaten werden dort noch einmal manipulationssicher angezeigt, und 3. wird dort abschließend die TAN erzeugt. Die Bluetooth-Verbindung zwischen Smartphone und Karte überträgt nur Daten, die vom Bankserver vorher verschlüsselt wurden, und zwar individuell für diese Karte.

Benutzerfreundlichkeit. Die besondere Benutzerfreundlichkeit von Display-TAN besteht darin, dass der Bankkunde keinen extra TAN-Generator braucht. Das ist vor allem bequem beim Mobile Banking, denn der Bankkunde braucht nichts anderes als das, was er sowieso dabei hat: Smartphone und Bankkarte. Außerdem muss der Bankkunde nichts tippen: keine TAN, keine Überweisungsdaten - das wird alles per Bluetooth übertragen, der Bankkunde muss nur prüfen und klicken. Sogar die langen IBANs können bequem zeilenweise mit ein paar OK Klicks bestätigt werden.

Online Payment. Weil mit GiroPay, Sofortüberweisung, etc. immer mehr Internet-Zahlungen als Überweisungen ausgeführt werden, ist Display-TAN automatisch auch ein Internet-Zahlungsverfahren - viel sicherer als z.B. PayPal oder Kreditkarte, und trotzdem praktisch genauso bequem (kein extra Gerät, kein Tippen außer Username/Passwort)

Kein Pairing. Es gibt keine Kopplung (Pairing) mit dem Smartphone. Das ist möglich, weil alles Sicherheitskritische sich auf der Karte abspielt, nicht auf dem Smartphone. Ohne Kopplung ist der Bankkunde nicht an ein Endgerät gebunden, d.h., er kann mehrere mobile Endgeräte abwechselnd für Mobile Banking nutzen, und noch weitere Endgeräte jederzeit hinzunehmen.

Eckdaten der Karte

Form. So dünn und flexibel wie eine übliche Bankkarte (ISO/IEC 7810).

Lebensdauer. 5 Jahre und 2000 Überweisungen.

Haltbarkeit. Der Kartenproduzent hat für seine Display-Karten eine nachgewiesene Ausfallquote von ≤ 1% über die gesamte Karten-Lebensdauer.

Verfügbarkeit. Lieferbar.

Einzigartigkeit von Display-TAN

Display-TAN ist das erste und einzige Mobile Banking TAN-Verfahren, das trojanersicher UND mobil ist!

Aus dem gleichen Grund ist Display-TAN auch das einzige Mobile Banking TAN-Verfahren, das gleichzeitig mobil ist UND sicher gegen Friendly Fraud.

Funktionsweise

Mobile Banking. Das neue Verfahren ist oben im Video dargestellt. Im Bild unten wird es aus Benutzersicht für Mobile Banking skizziert - also für Überweisungen vom Smartphone oder Tablet aus, wofür das Display-TAN Verfahren besonders geeignet ist.

DisplayTAN

Der Bankkunde braucht für die TAN-Generierung nichts zu tippen - er muss nur prüfen und klicken.

DisplayTAN
IBAN

Mehr Workflows für Online Banking und Payment sind auf der Seite Workflows zu finden.

IBAN

Display-TAN ist auch für IBANs ideal geeignet, denn die langen IBAN Zielkontonummern können mit 3 oder 4 Klicks bequem vom Bankkunden bestätigt werden, augengerecht Zeile für Zeile, siehe das Beispiel rechts und die IBAN Seite.

Weitere Informationen

Weitere Details zum Verfahren sind auf der Seite Weitere Informationen zu finden, zu den Themen Sicherheit, Usability, Integration von Display-TAN in die Bankkarte, Buttons auf der Karte, Display-TAN als Erweiterung von NFC-TAN TAN-Erzeugungs-Algorithmus.

Für einen Vergleich von Display-TAN mit Smartphone-TAN (= App-TAN) hinsichtlich Sicherheit/Usability/Kosten siehe diese extra Seite.

Smartphones, Tablets, Laptops, PCs für Display-TAN

Praktisch haben alle Smartphone und Tablet Modelle seit 2013 haben Bluetooth Smart (auch Bluetooth Low Energy BLE genannt) eingebaut: ab iPhone 4s, ab iPad 3, ab Android 4.3. Fast alle neueren Laptops und einige PCs sind ebenfalls BLE-fähig, d.h. sie können direkt mit der Karte kommunizieren.

Warum Bluetooth, und nicht NFC?

iPhone/iPads. Der Hauptgrund für die Wahl von Bluetooth anstatt NFC sind iPhones und iPads: die neuen iOS Geräte sind zwar technisch mit NFC ausgestattet, haben aber keine ansprechbare NFC-Schnittstelle: die ist nur für Apple Pay ansprechbar, und seit Mai 2017 für NFC-tags.

Stabilität. Außerdem ist Bluetooth in der Karten-Handhabung viel komfortabler und stabiler: Bei NFC muss man die Karte fest an das Smartphone halten, während bei Bluetooth der Abstand bis zu einem Meter sein kann und die Verbindung auch bei Bewegung völlig stabil ist.

Sicherheit. Alle per Bluetooth an die Karte übertragenen Daten sind vom Bankserver mit dem individuellen geheimen Schlüssel der Karte verschlüsselt, d.h., Abhören oder Manipulieren ist nicht möglich.



Presse

26. Mai 2017: Display-TAN Demo-App for Microsoft Windows, incl. Laptops etc.

1. Juni 2017. Fraunhofer SIT, Darmstadt, Workshop Mobile und Embedded Security, Vortragsfolien: Die Sicherheit von Smartphones als IoT Fernsteuerungsgeräte

23. März 2017, van den Berg Forum, Vortragsfolien: Mobile Banking Sicherheit

1. Dez. 2016, Stuttgarter Zeitung: Fintech-Event - Abschnitt über Display-TAN

Ältere Presse

Artikel zum Thema

26. 6. 2017, NTTData Video: PSD2 X2A

23. 6. 2017: Cashkurs Video: Bundestrojaner technisch möglich?

9. 6. 2017, Vasco-Blog/Mennes: EU Commission Amendments to Final Draft RTS

8. 6. 2017, Linsenbarth: Apple öffnet die NFC-Schnittstelle - ein bisschen.

1. 6. 2017, IT-Finanzmagazin: ING-Diba Studie Mobile Banking, ING-Diba Studie: BBC fools HSBC voice recognition security system

24. 5. 2017, EU Commission: Revised RTS with the Commission's suggested changes

19. 5. 2017, BBC News: BBC fools HSBC voice recognition security system

9. 5. 2017, IT-Finanzmagazin: Kritik an PSD2-RTS wg. Direct Access

4. 5. 2017, Verbraucherzentrale: Wenn möglich, nutzen Sie einen TAN-Generator!

3. 5. 2017, Spiegel: Online Banking Verfahren

3. 5. 2017, SZ: SMS-TAN Hack, Sicherheit Online Banking

3. 5. 2017, Handelsblatt The Battle for the Wallet

20. 4. 2017, engadget: Mastercard mit Fingerprint

Ältere Artikel

Neue Unterseiten Display-TAN

26. Juni 2017: Windows App

26. Mai 2017: Display-TAN/soft

23. Mai 2017: IoT Anwendungen

19. Mai 2017: Checklist PSD2-Compliance

17. Mai 2017: Friendly Fraud

Display-TAN Apps

Android App. Demo Apps für Display-TAN gibt es für Android, iOS und Windows, siehe footer unten.

SDK. Libraries/SDKs mit der Kern-Funktionalität der Display-TAN App, die in bestehende Bank-Apps eingebaut werden können, gibt es für Android, iOS und Windows.

Display-TAN Projekt

Display-TAN ist ein gemeinsames Projekt von

Die Hardware, also die Karten und die Soft-/Firmware darauf, wird von SmartDisplayer produziert. Für das Gesamtverfahren und die Software auf den Endgeräten ist Borchert IT-Sicherheit UG zuständig.

Kommende Events

Mehr Informationen

Flyer, Folien, Zeitschriftenartikel, etc.:


Mehr InformationenDemo AppsAPIMehr FunktionaltätenLinksKontakt
Workflows
IBAN
Vergl. App-TAN
Weitere Informationen
Friendly Fraud
PSD2-Compliance
Business Partner
Android App
iOS App
Windows App
API Version 1
API Version 2
SDK/Library
Display-TAN/soft
Seed Perso
Display-PIN
Online Banking Demo
IoT Anwendungen
nfc-tan.com
smartdisplayer.com
borchert-it-sicherheit.com
YouTube Playlist ''Technology Cards''
Über uns
Kontakt
Impressum
Privacy Policy