La cosa più importante di cui hai bisogno è un (buon) generatore di numeri casuali. Ho visto alcuni casi in cui i TAN non sono distribuiti in modo casuale e quindi in qualche modo indovinato.
- Si genera solo un elenco di TAN. L'utente può selezionare un TAN per ogni transazione. Questa è una delle varianti più pericolose dell'utilizzo di elenchi TAN. L'utente può essere ingannato in un sito di phishing, immette nome utente, password e TAN. L'attaccante li prende e li usa.
- Una versione migliore sono TAN indicizzati (iTAN). Ogni TAN ottiene un numero di indice. Quando l'utente vuole concludere una transazione, il sito richiede un TAN con un numero di indice specifico. Quando l'utente visita un sito di phishing e inserisce anche nome utente, password e TAN è meno probabile che entri nel TAN che è necessario per la transazione successiva. Quindi questo dà più sicurezza.
- I TAN mobili (mTAN) sono a mio parere il modo migliore per la gestione della TAN. Se l'utente desidera concludere una transazione, un messaggio breve (SMS) viene inviato dalla sua controparte. Deve inserire esattamente questo TAN. Quindi, se l'utente visita pagine di phishing, semplicemente non ha più TAN validi.
Dovresti decidere quale tipo di TAN hai realmente bisogno in base ai requisiti di sicurezza che hai. Oltre alla creazione di TAN dovresti avere un occhio sul canale di distribuzione (posta ordinaria, e-mail, sms ecc.) Dei tuoi elenchi TAN. Se scegli un modo non sicuro, questo può anche mettere a rischio l'utente.