Il sistema tedesco ChipTAN ( link ) calcola un TAN che viene inviato al server bancario a prova la transazione. Il numero è in genere di 6-8 cifre. Ma come può essere sicuro questo numero breve?
A mio parere, una TAN sicura deve essere calcolata dal numero del conto bancario del destinatario, dall'importo del bonifico, dalla data / ora e da un segreto che è noto solo alla banca e all'utente.
Ma come può essere calcolato su 8 cifre? A mio parere, questo è molto vulnerabile agli attacchi di collisione. E penso anche che il segreto possa essere facilmente calcolato se un attaccante può catturare più TAN. Se un utente malintenzionato può catturare più TAN e conosce anche l'algoritmo, può trovare una chiave in grado di riprodurre quei TAN. E c'è un'alta probabilità che questo valore possa funzionare anche per i nuovi TAN.
Questo sistema è vulnerabile come descritto? O frainteso qualcosa?