Zukünftig sichere TAN-Listen bei der Citibank

Die Citibank hat angekündigt, für die Generierung der TANs ab sofort einen Zufallsgenerator zu verwenden. Die in den vergebenen TAN-Listen aufgeführten Nummer sollen damit zufällig sein, erklärte Rüdiger Stahlschmidt, Pressesprecher der Citibank in einer Mitteilung an heise Security. Anfang Oktober hatte ein auf heise Security veröffentlichter Artikel von Felix "FX" Lindner bemängelt, dass die TANs der Citibank eine Systematik aufweisen, die es Angreifern unter Umständen erleichtert, anhand benutzter, ungültiger TANs weitere TANs vorauszusagen. Unter anderem waren die TANs in aufsteigender Reihenfolge mit einer relativ geringen Differenz zur vorhergehenden TANs aufgelistet.

Mit einer Serie benutzter TANs hätte ein Angreifer mit einer sehr viel höheren Wahrscheinlichkeit als durch reines Raten eine gültige TAN für eine Überweisung berechnen können. In einer Stellungnahme erklärte Stahlschmidt damals, die aufsteigende Folge würde sich daduch erklären, dass als Zufallskomponenten die Zeit in den Prozess der Generierung von TANs eingehe. Da sich dabei die Zeitpunkte ständig ändern würde, sei die Generierung der TANs letzten Endes zufällig und das Verfahren sicher.

Offenbar war die Citibank sich aber doch nicht ganz so sicher und führte daraufhin den Zufallsgenerator ein. Nach Aussage von Stahlschmidt, sei dies aber ohnehin geplant gewesen. Ansonsten bleiben die TAN-Listen wie bisher: 200 sechsstellige Nummern.

Siehe dazu auch: (dab)

• Citibank würfelt nicht, Hintergrundartikel auf heise Security