Transaction authentication number

z Wikipédie, slobodnej encyklopédie
Prejsť na: navigácia, hľadanie

Transaction authentication number skr. TAN alebo T.A.N. je druh jednorázového hesla, používané v prostredí internetového bankovníctva na autorizáciu finančných transakcií. TAN poskytuje zvýšenie bezpečnosti tým, že funguje ako druh dvojfaktorovej autentifikácie. Pokiaľ útočník získa dokument alebo zariadenie, obsahujúce TAN, bez znalosti prihlasovacích údajov je nepoužiteľné. Pokiaľ získa prihlasovacie údaje, bez platného TAN nemôže uskutočniť žiadnu transakciu

Základné použitie TAN[upraviť | upraviť zdroj]

Pri základnom použití banka vytvorí používateľovi zoznam jedinečných TAN, ktorý si používateľ vyzdvihne v pobočke, alebo je mu poslaný poštou. Pre prihlásenie do internetového bankovníctva použije používateľské meno a heslo. To mu umožní prístup k informáciám o účte, ale neumožní uskutočniť transakciu - tú musí potvrdiť zadaním nepoužitého TAN zo zoznamu. Banka overí, či zadané TAN patrí do zoznamu, ktorý vytvorila používateľovi, a či nebolo použité. Pokiaľ áno, povolí transakciu, v opačnom prípade ju zamietne. Ak dôjde k prezradeniu (odcudzeniu) zoznamu TAN, používateľ ich môže zneplatniť upovedomením banky.

Tento systém je náchylný na phishingové útoky, keď útočník získa od obete heslo aj niektoré TAN zo zoznamu. Neposkytuje tiež ochranu pred útokmi man-in-the-middle - útočník zachytí TAN pri prenose a použije ho na podvodnú transakciu.

Indexed TAN (iTAN)[upraviť | upraviť zdroj]

iTAN znižuje riziko phishingu. Pri autorizácii transakcie musí používateľ zadať presne určené TAN zo zoznamu. Pozíciu v zozname vyberá náhodne banka, preto je náhodne získané TAN pre útočníka prakticky bezcenné.

Aj iTAN sú náchylné na útoky man-in-the-middle.

Mobile TAN (mTAN)[upraviť | upraviť zdroj]

Pri použití mTAN vygeneruje banka TAN a pošle ho používateľovi ako SMS. Táto SMS zvyčajne obsahuje aj údaje o transakcii, ktoré umožňujú klientovi skontrolovať, že transakcia nebola pri posielaní do banky zmenená. Bezpečnosť tejto metódy závisí od bezpečnosti mobilnej siete.

Generátor TAN[upraviť | upraviť zdroj]

V tejto metóde sa používa bezpečnostný token, ktorý generuje TAN.

Zdroj[upraviť | upraviť zdroj]

Tento článok je čiastočný alebo úplný preklad článku Transaction authentication number na anglickej Wikipédii.