Kaay Display-TAN
En

Display-TAN Mobile Banking: sicher und mobil

Display-TAN ist ein in die Bankkarte integrierter TAN-Generator, inkl. Display und Bluetooth

Display-TAN ist ein Mobile Banking Verfahren, das gleichzeitig sicher und mobil ist:

• Display-TAN ist sicher, denn die TAN wird auf der Bankkarte erzeugt - nicht auf dem Smartphone!

• Display-TAN ist mobil in dem Sinne, dass der Bankkunde für Mobile Banking nur das braucht, was er sowieso dabei hat: Smartphone und Bankkarte.

Außerdem ist Display-TAN bequem, denn es muss nichts getippt werden - Klicken reicht!

Motivation/Hintergrund: Warum Display-TAN?

Heutzutage werden viele finanzielle Transaktionen vom Smartphone aus ausgeführt, und zwar nur mit dem Smartphone, d.h. ohne TAN-Generator etc. Das Kunden-Smartphone könnte aber mit einem Trojaner infiziert sein, der die Transaktionen des Kunden manipuliert, denn der Trojaner kann auf dem Smartphone jedes dafür notwendige Credential des Kunden ausspionieren oder missbrauchen: Passwort, SMS, geheimer Schlüssel, Fingerprint, etc.

Smartphones sind also unsicher. Ausgehend von diesem Problem ist die Grundidee von Display-TAN die folgende: Der geheime Schlüssel und die TAN-Erzeugung wird vom Smartphone auf die Bankkarte ausgelagert. So ist der geheime Schlüssel und die TAN-Erzeugung sicher vor Smartphone-Trojanern.

Und warum Display und Bluetooth?

Basis Informationen

Hardware. Das wesentliche Element des Display-TAN Verfahrens ist eine Bankkarte, die ein Display und ein Bluetooth Modul hat, und trotzdem so dünn, flexibel, robust und haltbar ist wie eine übliche Bankkarte.

Sicherheit. Display-TAN ist deshalb besonders sicher, weil alles Sicherheitskritische auf der Karte stattfindet (und nicht auf einem potentiell unsicheren Endgerät wie PC, Laptop, Tablet oder Smartphone): 1. Der geheime Schlüssel der Bank wird auf der Karte gespeichert, 2. die Transaktionsdaten werden dort noch einmal manipulationssicher angezeigt, und 3. wird dort abschließend die TAN erzeugt. Die Bluetooth-Verbindung vom Smartphone zur Karte kann nicht abgehört und auch nicht manipuliert werden, denn es werden nur Daten übertragen, die vom Bankserver vorher verschlüsselt wurden, und zwar individuell für diese Karte.

Benutzerfreundlichkeit. Die besondere Benutzerfreundlichkeit von Display-TAN besteht darin, dass der Bankkunde keinen extra TAN-Generator braucht. Das ist vor allem bequem beim Mobile Banking, denn der Bankkunde braucht nichts anderes als das, was er sowieso dabei hat: Smartphone und Bankkarte. Außerdem muss der Bankkunde nichts tippen: keine TAN, keine Überweisungsdaten - das wird alles per Bluetooth übertragen, der Bankkunde muss nur prüfen und klicken. Sogar die langen IBANs können bequem zeilenweise mit ein paar OK Klicks bestätigt werden.

Online Payment. Weil mit GiroPay, Sofortüberweisung, etc. immer mehr Internet-Zahlungen als Überweisungen ausgeführt werden, ist Display-TAN automatisch auch ein Internet-Zahlungsverfahren - viel sicherer als z.B. PayPal oder Kreditkarte, und trotzdem praktisch genauso bequem (kein extra Gerät, kein Tippen außer Username/Passwort)

Kein Pairing. Es gibt keine Kopplung (Pairing) mit dem Smartphone. Das ist möglich, weil alles Sicherheitskritische sich auf der Karte abspielt, nicht auf dem Smartphone. Ohne Kopplung ist der Bankkunde nicht an ein Endgerät gebunden, d.h., er kann mehrere mobile Endgeräte abwechselnd für Mobile Banking nutzen, und noch weitere Endgeräte jederzeit hinzunehmen.

Eckdaten der Karte

Form. So dünn und flexibel wie eine übliche Bankkarte (ISO/IEC 7810).

Lebensdauer. 5 Jahre und 2000 Überweisungen.

Haltbarkeit. Der Kartenproduzent hat für seine Display-Karten eine nachgewiesene Ausfallquote von ≤ 1% über die gesamte Karten-Lebensdauer.

Verfügbarkeit. Lieferbar.

Funktionsweise

Mobile Banking. Das neue Verfahren ist oben im Video dargestellt. Im Bild unten wird es aus Benutzersicht für Mobile Banking skizziert - also für Überweisungen vom Smartphone oder Tablet aus, wofür das Display-TAN Verfahren besonders geeignet ist.

DisplayTAN

Der Bankkunde braucht für die TAN-Generierung nichts zu tippen - er muss nur prüfen und klicken.

Mehr Workflows für Online Banking und Payment sind auf der Seite Workflows zu finden.

Besonderheit von Display-TAN

Display-TAN ist das erste und einzige Mobile Banking TAN-Verfahren, das trojanersicher UND mobil ist!

Aus dem gleichen Grund ist Display-TAN auch das einzige Mobile Banking TAN-Verfahren, das gleichzeitig mobil ist UND sicher gegen Friendly Fraud.

DisplayTAN
IBAN

IBAN

Display-TAN ist auch für IBANs ideal geeignet, denn die langen IBAN Zielkontonummern können mit 3 oder 4 Klicks bequem vom Bankkunden bestätigt werden, augengerecht Zeile für Zeile, siehe das Beispiel rechts und die IBAN Seite.

Weitere Informationen

Weitere Details zum Verfahren sind auf der Seite Weitere Informationen zu finden, zu den Themen Sicherheit, Usability, Integration von Display-TAN in die Bankkarte, Buttons auf der Karte, Display-TAN als Erweiterung von NFC-TAN TAN-Erzeugungs-Algorithmus.

Für einen Vergleich von Display-TAN mit Smartphone-TAN (= App-TAN) hinsichtlich Sicherheit/Usability/Kosten siehe diese extra Seite.

Anforderung an das Endgerät: Bluetooth Smart (BLE)

Praktisch alle Smartphone und Tablet Modelle seit 2013 haben Bluetooth Smart (auch Bluetooth Low Energy BLE genannt) eingebaut: ab iPhone 4s, ab iPad 3, ab Android 4.3. Fast alle neueren Laptops und einige PCs sind ebenfalls BLE-fähig, d.h. sie können direkt mit der Karte kommunizieren.

Warum Bluetooth, und nicht NFC?

iPhone/iPads. Der Hauptgrund für die Wahl von Bluetooth anstatt NFC sind iPhones und iPads: die iOS Geräte haben keine ausreichende NFC-Schnittstelle - die seit Mai 2017 bestehende NFC-tag Schnittstelle reicht nicht aus.

Stabilität. Außerdem ist Bluetooth in der Karten-Handhabung viel komfortabler und stabiler: Bei NFC muss man die Karte fest an das Smartphone halten, während bei Bluetooth der Abstand bis zu einem Meter sein kann und die Verbindung auch bei Bewegung völlig stabil ist.

Sicherheit. Alle per Bluetooth an die Karte übertragenen Daten sind vom Bankserver mit dem individuellen geheimen Schlüssel der Karte verschlüsselt, d.h., Abhören oder Manipulieren ist nicht möglich.


Presse

30. August 2017. Netknights/Koelbel: Securing Bank Transactions

1. Juni 2017. Fraunhofer SIT, Darmstadt, Workshop Mobile und Embedded Security, Vortragsfolien: Die Sicherheit von Smartphones als IoT Fernsteuerungsgeräte

1. Dez. 2016, Stuttgarter Zeitung: Fintech-Event - Abschnitt über Display-TAN

Ältere Presse

Artikel zum Thema

23. 11. 2018, NOZ: BSI Chef: Schadprogramme auf jedem Gerät

15. 11. 2018, Heise: PSD2 - Was passiert mit unseren Bankkonten

6. 9. 2018, Computerwoche: Voice/Video Kloning als Gefahr für biometrische Lösungen

19. 6. 2018, Mennes/Vasco, IT-Finanzmagazin: PSD2/RTS Definition SEE

12. 4. 2018, IT-Finanzmagazin: Vorbehalte mobiles Bezahlen

8. 4. 2018, IT-Finanzmagazin: FaceID für Online Banking

29. 3. 2018, Vasco Blog: PSD2 - Dynamic Linking

9. 2. 2018, Handelsblatt: Amazon stoppt Kontozugriff per Alexa

29. 1. 2018, Security Intelligence: Consumer Study Authentication

8. 1. 2018, Focus Online: PDS2

29. 12. 2017, RT: ,

28. 12. 2017, Heise/CCC/Haupert: Aushebeln der Härtungs-Software für Banking Apps, Interview netzpolitik.org, Video CCC Vortrag

7. 12. 2017, Trustonic, R. Dyke: Unwrapping PSD2 RTS

14. 12. 2017, Samsung: Device-side Security: Samsung Pay, TrustZone, and the TEE

13. 12. 2017, IT-Finanzmagazin: Banking-Sicherheit: Mobile Apps, APIs und die PSD2

12. 12. 2017, IT-Finanzmagazin: PSD2: Die finalen RTS – was bedeuten sie für Banken?

27. 11. 2017, IT-Finanzmagazin: PSD2-RTS zu X2A veröffentlicht

24. 11. 2017, Computerbild: Instant Payment kommt

23. 11. 2017, Süddeutsche: Online Banking Apps sind anfällig für Hacker (FAZ dazu, Reaktion DK)

20. 11. 2017, Trustonic, R. Dyke: In the Game of Trusts, Verify is the King

17. 11. 2017, HBR: Hackers are targeting your mobile phone

3. 11. 2017, BILD (Schlagzeile): Neue EU-Richtlinie für Banken - Warum Ihre Kontodaten in höchster Gefahr sind! (Version Computerbild)

22. 10. 2017, GS1: Mobile-in-Retail Studie

17. 10. 2017, IT-Finanzmagazin/BSI: BSI rät von WLAN Nutzung beim Online Banking ab

Ältere Artikel

Umfragen 2017: Der Mehrheit der Deutschen ist Mobile Banking zu unsicher

17. 10. 2017, GFT Technologies (56% Ablehnung, Seite 12): Mobile Payment Marktanalyse 2017

26. 9. 2017, VISA (59% Ablehnung): Studie Digitales Bezahlen

31. 5. 2017, ING-Diba (68% Ablehnung, Seite 4): Die Vertrauensfrage

Display-TAN Apps

Android App. Demo Apps für Display-TAN gibt es für

SDK. Libraries/SDKs mit der Kern-Funktionalität der Display-TAN App, die in bestehende Bank-Apps eingebaut werden können, gibt es für Android, iOS und Windows.

Display-TAN Projekt

Display-TAN ist ein gemeinsames Projekt von

Die Hardware, also die Karten und die Soft-/Firmware darauf, wird von SmartDisplayer produziert. Für das Gesamtverfahren und die Software auf den Endgeräten ist Borchert IT-Sicherheit UG zuständig.

Kommende Events

Mehr Informationen

Flyer, Folien, Zeitschriftenartikel, etc.:


Mehr Informationen Demo Apps API Mehr Funktionaltäten Links Kontakt
Workflows
IBAN
Vergl. App-TAN
Weitere Informationen
Friendly Fraud
PSD2-Compliance
Business Partner
Android App
iOS App
Windows App
API Version 1
API Version 2
SDK/Library
Display-TAN/soft
Seed Perso
Display-PIN
Online Banking Demo
IoT Anwendungen
nfc-tan.com
smartdisplayer.com
borchert-it-sicherheit.com
Über uns
Kontakt
Impressum
Privacy Policy