El sistema alemán ChipTAN ( enlace ) calcula un TAN que se envía al servidor bancario para su revisión. la transacción. El número suele ser de 6-8 dígitos de largo. Pero, ¿cómo puede ser seguro este número corto?
En mi opinión, un TAN seguro debe calcularse a partir del número de cuenta bancaria del receptor, el monto de la transferencia, la fecha / hora y un secreto que solo conocen el banco y el usuario.
Pero, ¿cómo se puede calcular todo esto en 8 dígitos? En mi opinión, esto es altamente vulnerable a los ataques de colisión. Y también creo que el secreto podría calcularse fácilmente si un atacante puede capturar varios TAN. Si un atacante puede capturar varios TAN y también conoce el algoritmo, puede encontrar una clave que pueda reproducir esos TAN. Y existe una gran posibilidad de que este valor también funcione para los nuevos TAN.
¿Este sistema es tan vulnerable como se describe? ¿O entiendo mal algo?