Kaay Display-TAN
En

Display-TAN - 2-Faktor Mobile Banking - sicher und mobil

Display-TAN ist ein in die Bankkarte integrierter TAN-Generator, inkl. Display und Bluetooth

Display-TAN ist ein Mobile Banking Verfahren, das gleichzeitig sicher und mobil ist:

• Display-TAN ist sicher, denn die TAN wird auf der Bankkarte erzeugt - nicht auf dem Smartphone!

• Display-TAN ist mobil in dem Sinne, dass der Bankkunde für Mobile Banking nur das braucht, was er sowieso dabei hat: Smartphone und Bankkarte.

Außerdem ist Display-TAN bequem, denn es muss nichts getippt werden - Klicken reicht!

Motivation/Hintergrund: Warum Display-TAN?

Heutzutage werden viele finanzielle Transaktionen vom Smartphone aus ausgeführt, und zwar nur mit dem Smartphone, d.h. ohne TAN-Generator etc. Das Kunden-Smartphone könnte aber mit einem Trojaner infiziert sein, der die Transaktionen des Kunden manipuliert, denn der Trojaner kann auf dem Smartphone jedes dafür notwendige Credential des Kunden ausspionieren oder missbrauchen: Passwort, SMS, geheimer Schlüssel, Fingerprint, etc.

Smartphones sind also unsicher. Ausgehend von diesem Problem ist die Grundidee von Display-TAN die folgende: Der geheime Schlüssel und die TAN-Erzeugung wird vom Smartphone auf die Bankkarte ausgelagert. So ist der geheime Schlüssel und die TAN-Erzeugung sicher vor Smartphone-Trojanern.

Und warum Display und Bluetooth?

Basis Informationen

Hardware. Das wesentliche Element des Display-TAN Verfahrens ist eine Bankkarte, die ein Display und ein Bluetooth Modul hat, und trotzdem so dünn, flexibel, robust und haltbar ist wie eine übliche Bankkarte.

Sicherheit. Display-TAN ist deshalb besonders sicher, weil alles Sicherheitskritische auf der Karte stattfindet (und nicht auf einem potentiell unsicheren Endgerät wie PC, Laptop, Tablet oder Smartphone): 1. Der geheime Schlüssel der Bank wird auf der Karte gespeichert, 2. die Transaktionsdaten werden dort noch einmal manipulationssicher angezeigt, und 3. wird dort abschließend die TAN erzeugt. Die Bluetooth-Verbindung vom Smartphone zur Karte kann nicht abgehört und auch nicht manipuliert werden, denn es werden nur Daten übertragen, die vom Bankserver vorher verschlüsselt wurden, und zwar individuell für diese Karte.

Benutzerfreundlichkeit. Die besondere Benutzerfreundlichkeit von Display-TAN besteht darin, dass der Bankkunde keinen extra TAN-Generator braucht. Das ist vor allem bequem beim Mobile Banking, denn der Bankkunde braucht nichts anderes als das, was er sowieso dabei hat: Smartphone und Bankkarte. Außerdem muss der Bankkunde nichts tippen: keine TAN, keine Überweisungsdaten - das wird alles per Bluetooth übertragen, der Bankkunde muss nur prüfen und klicken. Sogar die langen IBANs können bequem zeilenweise mit ein paar OK Klicks bestätigt werden.

Online Payment. Weil mit GiroPay, Sofortüberweisung, etc. immer mehr Internet-Zahlungen als Überweisungen ausgeführt werden, ist Display-TAN automatisch auch ein Internet-Zahlungsverfahren - viel sicherer als z.B. PayPal oder Kreditkarte, und trotzdem praktisch genauso bequem (kein extra Gerät, kein Tippen außer Username/Passwort)

Kein Pairing. Es gibt keine Kopplung (Pairing) mit dem Smartphone. Das ist möglich, weil alles Sicherheitskritische sich auf der Karte abspielt, nicht auf dem Smartphone. Ohne Kopplung ist der Bankkunde nicht an ein Endgerät gebunden, d.h., er kann mehrere mobile Endgeräte abwechselnd für Mobile Banking nutzen, und noch weitere Endgeräte jederzeit hinzunehmen.

Eckdaten der Karte

Form. So dünn und flexibel wie eine übliche Bankkarte (ISO/IEC 7810).

Lebensdauer. 5 Jahre und 2000 Überweisungen.

Haltbarkeit. Der Kartenproduzent hat für seine Display-Karten eine nachgewiesene Ausfallquote von ≤ 1% über die gesamte Karten-Lebensdauer.

Verfügbarkeit. Lieferbar.

Funktionsweise

Mobile Banking. Das neue Verfahren ist oben im Video dargestellt. Im Bild unten wird es aus Benutzersicht für Mobile Banking skizziert - also für Überweisungen vom Smartphone oder Tablet aus, wofür das Display-TAN Verfahren besonders geeignet ist.

DisplayTAN

Der Bankkunde braucht für die TAN-Generierung nichts zu tippen - er muss nur prüfen und klicken.

Mehr Workflows für Online Banking und Payment sind auf der Seite Workflows zu finden.

Einzigartigkeit von Display-TAN

Display-TAN ist das erste und einzige Mobile Banking TAN-Verfahren, das trojanersicher UND mobil ist!

Aus dem gleichen Grund ist Display-TAN auch das einzige Mobile Banking TAN-Verfahren, das gleichzeitig mobil ist UND sicher gegen Friendly Fraud.

DisplayTAN
IBAN

IBAN

Display-TAN ist auch für IBANs ideal geeignet, denn die langen IBAN Zielkontonummern können mit 3 oder 4 Klicks bequem vom Bankkunden bestätigt werden, augengerecht Zeile für Zeile, siehe das Beispiel rechts und die IBAN Seite.

Weitere Informationen

Weitere Details zum Verfahren sind auf der Seite Weitere Informationen zu finden, zu den Themen Sicherheit, Usability, Integration von Display-TAN in die Bankkarte, Buttons auf der Karte, Display-TAN als Erweiterung von NFC-TAN TAN-Erzeugungs-Algorithmus.

Für einen Vergleich von Display-TAN mit Smartphone-TAN (= App-TAN) hinsichtlich Sicherheit/Usability/Kosten siehe diese extra Seite.

Anforderung an das Endgerät: Bluetooth Smart (BLE)

Praktisch alle Smartphone und Tablet Modelle seit 2013 haben Bluetooth Smart (auch Bluetooth Low Energy BLE genannt) eingebaut: ab iPhone 4s, ab iPad 3, ab Android 4.3. Fast alle neueren Laptops und einige PCs sind ebenfalls BLE-fähig, d.h. sie können direkt mit der Karte kommunizieren.

Warum Bluetooth, und nicht NFC?

iPhone/iPads. Der Hauptgrund für die Wahl von Bluetooth anstatt NFC sind iPhones und iPads: die iOS Geräte haben keine ausreichende NFC-Schnittstelle - die seit Mai 2017 bestehende NFC-tag Schnittstelle reicht nicht aus.

Stabilität. Außerdem ist Bluetooth in der Karten-Handhabung viel komfortabler und stabiler: Bei NFC muss man die Karte fest an das Smartphone halten, während bei Bluetooth der Abstand bis zu einem Meter sein kann und die Verbindung auch bei Bewegung völlig stabil ist.

Sicherheit. Alle per Bluetooth an die Karte übertragenen Daten sind vom Bankserver mit dem individuellen geheimen Schlüssel der Karte verschlüsselt, d.h., Abhören oder Manipulieren ist nicht möglich.


Presse

5. Oktober 2017. Ruhruniv. Bochum, IT-Security-Pitch Bochum 2017, Vortragsfolien: Display-TAN - Secure Mobile Banking

1. September 2017. Display-TAN member of Frankfurt FinTech Community TechQuartier

30. August 2017. Netknights/Koelbel: Securing Bank Transactions

1. Juni 2017. Fraunhofer SIT, Darmstadt, Workshop Mobile und Embedded Security, Vortragsfolien: Die Sicherheit von Smartphones als IoT Fernsteuerungsgeräte

1. Dez. 2016, Stuttgarter Zeitung: Fintech-Event - Abschnitt über Display-TAN

Ältere Presse

Artikel zum Thema

3. 10. 2017, FAZ: Digitales Bezahlen auf dem Vormarsch in Schwellenländern

3. 10. 2017, VISA/Omnisecure: Studie Digitales Bezahlen

3. 10. 2017, Gemalto: eBanking & eCommerce Security

19. 9. 2017, Noris Bank: Online Banking Nutzung

12. 9. 2017, Süddeutsche: Staatstrojaner-Behörde Zitis nimmt Betrieb auf

7. 9. 2017, Payments and Cards: Mobile Wallet Security

6. 9. 2017, Mastercard: Android Pay in Belgium

24. 8. 2017, Trustonic: Trusted Execution Environment TAP

23. 8. 2017, IT-Finanzmagazin/HID: PSD2 SCA

23. 8. 2017, Assecco/Erste: Kontaktloser Geldautomat

23. 8. 2017, IT-Finanzmagazin: Mobile Banking Apps als Bankfiliale

17. 8. 2017, NZZ: P!=NP und Veschlüsselung/Online Banking

16. 8. 2017, Postbank: Studie zum Bargeld

2. 8. 2017, Sueddeutsche: Wie der Staatstrojaner eine Demokratie aushöhlt

2. 8. 2017, Focus (mit Video): So schützen Sie sich vor dem mobilen Banking-Trojaner Svpeng

28. 7. 2017, Embedded Security News: What is a Fingerprint Card?

10. 7. 2017, Vasco-Blog/Mennes: Simplifying the Debate on PSD2 RTS

4. 7. 2017, IT-Finanzmagazin: Smartphone-only Konto

26. 6. 2017, Video Cyberpeace statt Cyberwar

26. 6. 2017, IT-Finanzmagazin: 1822mobile

26. 6. 2017, NTTData Video: PSD2 X2A

23. 6. 2017: Cashkurs Video: Bundestrojaner technisch möglich?

9. 6. 2017, Vasco-Blog/Mennes: EU Commission Amendments to Final Draft RTS

8. 6. 2017, Linsenbarth: Apple öffnet die NFC-Schnittstelle - ein bisschen.

1. 6. 2017, IT-Finanzmagazin: ING-Diba Studie Mobile Banking, ING-Diba Studie: Deutschen Bankkunden: vertrauen Bank, aber misstrauen Mobile Banking

24. 5. 2017, EU Commission: Revised RTS with the Commission's suggested changes

19. 5. 2017, BBC News: BBC fools HSBC voice recognition security system

9. 5. 2017, IT-Finanzmagazin: Kritik an PSD2-RTS wg. Direct Access

4. 5. 2017, Verbraucherzentrale: Wenn möglich, nutzen Sie einen TAN-Generator!

Ältere Artikel

Neue Unterseiten Display-TAN

26. Juni 2017: Windows App

26. Mai 2017: Display-TAN/soft

23. Mai 2017: IoT Anwendungen

19. Mai 2017: Checklist PSD2-Compliance

17. Mai 2017: Friendly Fraud

Display-TAN Apps

Android App. Demo Apps für Display-TAN gibt es für

SDK. Libraries/SDKs mit der Kern-Funktionalität der Display-TAN App, die in bestehende Bank-Apps eingebaut werden können, gibt es für Android, iOS und Windows.

Display-TAN Projekt

Display-TAN ist ein gemeinsames Projekt von

Die Hardware, also die Karten und die Soft-/Firmware darauf, wird von SmartDisplayer produziert. Für das Gesamtverfahren und die Software auf den Endgeräten ist Borchert IT-Sicherheit UG zuständig.

Kommende Events

Mehr Informationen

Flyer, Folien, Zeitschriftenartikel, etc.:


Mehr InformationenDemo AppsAPIMehr FunktionaltätenLinksKontakt
Workflows
IBAN
Vergl. App-TAN
Weitere Informationen
Friendly Fraud
PSD2-Compliance
Business Partner
Android App
iOS App
Windows App
API Version 1
API Version 2
SDK/Library
Display-TAN/soft
Seed Perso
Display-PIN
Online Banking Demo
IoT Anwendungen
nfc-tan.com
smartdisplayer.com
borchert-it-sicherheit.com
YouTube Playlist ''Technology Cards''
Über uns
Kontakt
Impressum
Privacy Policy