Einmal-Passwörter werden
beispielsweise bei gesicherten elektronischen Zahlungsverkehr-Transaktionen,
z.B. Überweisungen,
beim Homebanking über
das Internet verwendet. Das Einmal-Passwort wird hierbei als Transaktionsnummer (TAN)
bezeichnet. Zur Tätigung
einer gesicherten elektronischen Zahlungsverkehr-Transaktion, z.B.
einer Online-Überweisung über das
Internet, veranlasst der Inhaber eines Kundenkontos, insbesondere Bankkontos,
bei einem Kreditinstitut, die Zahlungsverkehr-Transaktion, z.B.
indem er Eingaben in einem elektronischen Überweisungsformular macht und
das elektronische Überweisungsformular
auf elektronischem Weg an das Kreditinstitut sendet. Damit die Zahlungsverkehr-Transaktion
ausgeführt wird,
muss sie noch mit einer Transaktionsnummer (TAN) bestätigt werden.
Die verwendbaren Transaktionsnummern (TANs) werden dem Inhaber des
Kundenkontos (Kontoinhaber) üblicherweise
in Form von Listen auf Papier mit der Post zugesandt. Der Kontoinhaber
liest eine Transaktionsnummer (TAN) von der Liste ab und sendet
sie auf elektronischem Weg an das Kreditinstitut. Hierdurch bestätigt der
Kontoinhaber die Zahlungsverkehr-Transaktion und bewirkt somit,
dass die Zahlungsverkehr-Transaktion
ausgeführt
wird. Gelangt ein Unbefugter an die TAN-Liste eines Kontoinhabers,
z.B. indem er die Liste auf dem Postweg abfängt, und an die Zugangs-Kennung
für das
Online-Banking (Homebanking), kann er über das Kundenkonto des Kontoinhabers
Transaktionen ausführen.
Auf
dem technischen Gebiet der elektronischen Geldbörsen ist es bereits bekannt,
Smart Cards (Mikroprozessor-Chipkarten), deren Smart Card Cont roller
(Mikroprozessor) als Geldbörsenchip mit
der Funktion einer elektronischen Geldbörse dient, mit einem Display
zu versehen, auf dem sich der Guthabenstand im Geldbörsenchip
anzeigen lässt.
Problematisch bei diesen Smart Cards mit Display ist, dass der Smart
Card Controller einen hohen Stromverbrauch hat. Andererseits besteht
der Bedarf, das Guthaben so lange auf dem Display anzuzeigen, dass
es ein Benutzer problemlos vom Display ablesen kann.
In
einer derzeit noch unveröffentlichten
Patentanmeldung der Anmelderin ist ein Datenträger, z.B. Chipkarte, mit einer
Einrichtung zum Erzeugen von Einmal-Passwörtern (z.B. TAN-Generator)
und mit einem Display zum Anzeigen von erzeugten Einmal-Passwörtern beschrieben.
Der Datenträger
kann beispielsweise eine Chipkarte für Zahlungsverkehrtransaktionen
sein, z.B. eine ec-Karte oder Kreditkarte mit einem Mikroprozessor-Chip.
Der Datenträger erlaubt
es, allein mit dem Datenträger
Einmal-Passwörter
zu erzeugen und anzuzeigen, ohne dass dazu ein Terminal zum Betreiben
des Datenträgers
erforderlich ist. Dadurch, dass die Einmal-Passwörter im Datenträger selbst
erzeugt werden, ist der Datenträger
zudem sehr sicher. Allerdings benötigt der Datenträger eine
teure und stromintensive Einrichtung zum Erzeugen von Einmal-Passwörtern wie
z.B. einen Mikroprozessor. Dies macht den Datenträger teuer. Zum
anderen benötigt
der Datenträger
eine Energiequelle mit einer ausreichend hohen Kapazität.
DE 100 35 094 A1 beschreibt
eine Smart Card mit einem Smart Card Controller, einem Speicher,
einem Display, einem Display-Steuerlogik (System-Controller) zum Ansteuern des Displays
und einer Energiequelle (z.B. Batterie). Der Speicher ist mittels
der Display-Steuerlogik unabhängig
vom Smart Card Controller betreibbar. Der Smart Card Controller
wird als Geldbörsenchip
einer elektronischen Geldbörse
verwendet und enthält
ein elektronisches Guthaben, das mittels eines Terminals (Chipkarten-Lesegerät) durch
Transaktionen verringert und erhöht
werden kann. Der Smart Card Controller, der einen wesentlich höheren Stromverbrauch
hat als die Display-Steuerlogik
(System-Controller), wird über
das externe Terminal mit Energie versorgt. Die Display-Steuerlogik
und das Display werden dagegen über
die interne Energiequelle der Smart Card mit Energie versorgt. Daten
aus dem Smart Card Controller, beispielsweise das Guthaben der elektronischen
Geldbörse,
die auf dem Display angezeigt werden sollen, werden, solange die
Smart Card mit dem Terminal verbunden ist, in den Speicher abgespeichert.
Anschließend
können
die Daten unter Verwendung der internen Energiequelle und mit Hilfe
der Display-Steuerlogik auf dem Display angezeigt werden, ohne dass
dazu ein Terminal erforderlich ist.
Die
in
DE 100 35 094 A1 beschriebene
energiesparende Arbeitsteilung kann auch verwendet werden, um den
Datenträger
mit einer Einrichtung zum Erzeugen von Einmal-Passwörtern, der
in der noch unveröffentlichten
Anmeldung der hiesigen Anmelderin beschrieben ist, wirtschaftlicher
zu gestalten. In diesem Fall wird die Einrichtung zum Erzeugen von
Einmal-Passwörtern (TAN-Generator)
mit Energie aus einem Terminal versorgt. Eine im Datenträger integrierte
Energiequelle wird lediglich zum Anzeigen des erzeugten Einmal-Passworts
auf dem Display verwendet, wobei nur eine stromsparende Display-Steuerlogik
zum Ansteuern des Displays mit Energie versorgt werden muss.
Der
Erfindung liegt die Aufgabe zu Grunde, einen wirtschaftlichen Datenträger mit
einem Display zum Anzeigen von Einmalpasswörtern zu schaffen, der insbesondere
als Alternative zu einem Datenträger
mit einem Display und einer Einrichtung zur Erzeugung von Einmal-Passwörtern verwendet
werden kann, wie er in der noch unveröffentlichten Anmeldung der
Anmelderin beschrieben ist. Weiter soll ein Verfahren zum Speichern
von Einmal-Passwörtern angegeben
werden, sowie Verwendungen des Datenträgers.
Die
Aufgabe wird gelöst
durch einen Datenträger
nach Anspruch 1, sowie durch ein Verfahren nach Anspruch 8. Verwendungen
sind in Ansprüchen den
10 und 11 angeführt.
Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Der
erfindungsgemäße Datenträger gemäß dem unabhängigen Anspruch
1 ist mit einem Display und einer Display-Steuerlogik zum Ansteuern
des Displays ausgestattet. Gemäß der Erfindung
sind im Datenträger
gleichzeitig eine Mehrzahl von Einmal-Passwörtern derart elektronisch gespeichert, dass
sie nacheinander auf dem Display anzeigbar sind. Dadurch, dass die
Mehrzahl von Einmal-Passwörtern
bereits im Datenträger
abgespeichert sind, ist kein teurer und stromintensiver Mikroprozessor
erforderlich, um jedes Mal, wenn ein Einmal-Passwort benötigt wird,
ein solches zu erzeugen. Der Datenträger kann sogar gänzlich ohne
einen Mikroprozessor auskommen. Der Datenträger ist daher besonders wirtschaftlich.
Gleichwohl kann optional ein Mikroprozessor im Datenträger vorgesehen
sein, z.B. ein gesicherter Smart Card Controller, insbesondere bei
einer Zahlungsverkehrkarte. In diesem Fall hat der erfindungsgemäße Datenträger immer
noch den Vorteil, dass der stromintensive Mikroprozessor zum Erzeugen
eines Einmal-Passworts nicht betrieben werden muss. Der Datenträger ist
immer noch sehr wirtschaftlich.
Daher
ist gemäß Anspruch
1 ein besonders wirtschaftlicher Datenträger mit einem Display zum Anzeigen
von Einmalpasswörtern
geschaffen.
Gemäß einer
bevorzugten Ausführungsform sind
die gespeicherten Einmal-Passwörter Transaktionsnummern
(TAN) zum Abwickeln einer gesicherten elektronischen Zahlungsverkehr-Transaktion über ein
einem Inhaber des Datenträgers
zugeordnetes Kundenkonto.
Gemäß einer
bevorzugten Ausführungsform hat
der Datenträger
die Funktion einer Zahlungsverkehrkarte (z.B. ec-Karte, Kreditkarte,
Debitkarte), in der Informationen in Bezug auf ein einem Inhaber des
Datenträgers
zugeordnetes Kundenkonto und/oder Funktionalitäten zum Abwickeln von gesicherten
elektronischen Zahlungsverkehr-Transaktionen über das Kundenkonto implementiert
sind.
Gemäß einer
weiteren bevorzugten Ausführungsform
hat der Datenträger
die Funktion einer Kundenkarte, in der Informationen in Bezug auf
den Inhaber des Datenträgers
und/oder auf ein dem Inhaber des Datenträgers zugeordnetes Kundenkonto abgespeichert
sind. Die Kundenkarte kann beispielsweise die Kundenkarte eines
Kundenbindungsprogramms sein, eine Kundenkarte einer Fluggesellschaft
zur Flugbuchung, eine Abonnentenkarte eines Abonnenten eines Dienstes
oder eines Verlagsprodukts wie z.B. einer Zeitschrift oder Zeitung,
eine Mitgliedskarte einer Organisation (z.B. eines Vereins) oder
dergleichen. Das Kundenkonto ist dann entsprechend ein Kundenbindungskonto
z.B. zur Verwaltung von Bonuspunkten und dergleichen, ein Fluggastkonto, über das
z.B. Flüge
gebucht oder Bonusmeilen verwaltet werden können, ein Mitgliedskonto zur
Verwaltung der Mitgliedschaft des Inhabers oder dergleichen.
Vorzugsweise
hat der Datenträger
weiter eine Bedieneinrichtung, die dazu eingerichtet ist, dass auf
Betätigung
der Bedieneinrichtung hin ein Einmal-Passwort für eine vorbestimmten Zeitdauer auf
dem Display angezeigt wird. Als Bedieneinrichtung kann insbesondere
eine Tastatur mit mindestens einer Taste oder einem Tastschalter
vorgesehen sein, insbesondere ein einzelner Tastschalter. Die Zeitdauer,
für die
das Einmal-Passwort angezeigt wird, sollte ausreichend lange gewählt sein,
dass das Einmal-Passwort abgelesen werden kann. Nach dem Ablesen
des Einmal-Passworts erlischt das angezeigte Einmal-Passwort auf
dem Display wahlweise von selbst wieder. Alternativ kann vorgesehen
sein, dass das Einmal-Passwort aktiv vom Display gelöscht werden
muss. Wahlweise wird das Einmal-Passwort so lange auf dem Display
angezeigt, wie die Bedieneinrichtung betätigt (z.B. ein Tastschalter
gedrückt)
gehalten wird, wobei die wieder Anzeige erlischt, sobald die Bedieneinrichtung
wieder losgelassen wird.
Gemäß einer
Weiterbildung kann ein Einmal-Passwort erst auf dem Display angezeigt
werden, nachdem sich der Nutzers gegenüber dem Datenträger authentisiert
hat. Die Authentisierung kann beispielsweise durch Eingabe einer
Kennung (z.B. Passwort, personal identification number PIN) oder biometrischer
Daten erfolgen. In diesem Fall hat der Datenträger wahlweise eine entsprechende
Eingabeeinrichtung zur Eingabe der Kennung bzw. der biometrischen
Daten.
Vorzugsweise
weist der Datenträger
weiter eine Energiequelle auf, insbesondere mindestens eine Batterie
(z.B. Einwegbatterie oder wiederaufladbarer Akku) oder und/oder
Solarzelle und/oder Piezoelement.
Vorzugsweise
ist zumindest ein Teil der Einmal-Passwörter bei der Initialisierung
oder/und bei der Personalisierung des Datenträgers in den Datenträger gespeichert
worden.
Ein
Datenträger – wie z.B.
eine Chipkarte – wird
im Laufe seines Lebens typischerweise nacheinander mehreren Programmierschritten
unterzogen. Bei einem ersten Programmierschritt, der Initialisierung,
werden Daten und/oder Programmcode in den Datenträger programmiert,
die für
eine große
Vielzahl von Datenträgern
identisch sind. Bei einem zweiten Programmierschritt, der nachfolgenden
Personalisierung, werden Daten und/oder Programmcode in den Datenträger programmiert,
die für
einen einzelnen Datenträger
oder für
ein kleine Anzahl von wenigen Datenträger spezifisch sind. Bei dieser
Initialisierung oder Personalisierung werden wahlweise die Einmal-Passwörter bereits
in den Datenträger
gespeichert.
Die
Anzahl von Einmal-Passwörtern,
die im Datenträger
gespeichert sind, ist vorzugsweise derart gewählt, dass die Anzahl der Einmal-Passwörter für die voraussichtliche
Verwendungsdauer des Datenträgers
ausreichend groß ist.
Für einen
Datenträger
mit einer voraussichtlichen Verwendungsdauer von drei bis vier Jahren, beispielsweise
eine Zahlungsverkehrkarte (z.B. ec-Karte, Kreditkarte, Debitkarte),
kann beispielsweise eine Anzahl von ungefähr 10 000 vorabgespeicherten
Einmal-Passwörtern
sinnvoll und vorgesehen sein.
Die
Display-Steuerlogik kann beispielsweise ausgestaltet sein wie die
aus
DE 100 35 094
A1 bekannte Display-Steuerlogik. Insbesondere kann der Display-Steuerlogik ein Passwortspeicher
zugeordnet sein, der gleich oder analog gestaltet ist wie der Display-Speicher
in
DE 100 35 094 A1 ,
insbesondere falls der Display-Speicher aus
DE 100 35 094 A1 nichtflüchtig ist.
In diesem Fall sind die Einmal-Passwörter vorzugsweise im Passwortspeicher
abgespeichert.
Wahlweise
hat der Datenträger
zusätzlich zum
Passwortspeicher einen Display-Speicher, der zwischen das Display
und den Passwortspeicher geschaltet ist. Wahlweise ist der Display-Speicher
ein flüchtiger
Speicher, der ein Haltezeit hat, die ausreichend lange ist, damit
ein auf dem Display angezeigtes Einmal-Passwort vom Display abgelesen
werden kann. Ein solcher flüchtiger
Display-Speicher hat den Vorteil, dass die Anzeige einer auf dem
Display angezeigten TAN von selbst wieder erlischt, günstigerweise,
nachdem ein Benutzer die TAN vollständig abgelesen hat. Hierdurch
wird verhindert, dass ein Unbefugter die TAN später erneut ablesen kann. Beispielsweise
beträgt
die Haltezeit mindestens eine Sekunde, weiter vorzugsweise mindestens
drei Sekunden, weiter vorzugsweise mindestens fünf Sekunden. Wahlweise beträgt die Haltezeit
höchstens
fünf Sekunden,
alternativ höchstens
zehn Sekunden, alternativ höchstens
dreißig
Sekunden, alternativ höchstens
eine Minute.
Wahlweise
ist alternativ das Display selbst zugleich der Display-Speicher,
insbesondere, falls der Display-Speicher ein flüchtiger Speicher mit einer vorbestimmten
Haltezeit ist, z.B. einer Haltezeit wie der im vorangehenden Absatz
beschriebenen Haltezeit. Beispielsweise ist das kombinierte Display-Speicher/Display
ein bistabiles Display, welches nach seinem Abtrennen von der Versorgungsenergie
noch einige Zeit lang, während
der Haltezeit, den vor dem Abtrennen der Versorgungsspannung zuletzt
angezeigten Wert anzeigt. Die Haltezeit des bistabilen Displays
ist durch Parameter wie beispielsweise die chemische und/oder geometrische
Beschaffenheit des bistabilen Displays eingestellt. Der Wert der
Haltezeit für
ein solches bistabiles Display kann je nach Wahl der Parameter von
ungefähr
einer Sekunde bis zu mehrere Monate sein. Im Zusammenhang mit der Erfindung
sind die Parameter, insbesondere die chemische und/oder geometrische
Beschaffenheit des bistabilen Displays, vorzugsweise so gewählt, dass eine
Haltezeit wie die weiter oben beschriebene erzielt ist (z.B. typischerweise
fünf Sekunden).
Wahlweise
ist der Display-Speicher ein flüchtiger
Speicher (z.B. ein RAM), der in einem Retention-Mode (insbesondere
RAM-Retention-Mode) betreibbar ist, in dem der Display-Speicher
seinen Speicherinhalt unter einer geringen Stromzufuhr halten kann.
Für einen
Display-Speicher in Gestalt eines typischen RAM beträgt der Strom,
der zum Halten des Speicherinhalts des Display-Speichers im RAM-Retention-Mode
erforderlich ist, ungefähr
0,1 μA.
Ein solcher Strom kann auch von einer Batterie bereitgestellt werden,
die zum Einbau in einen Datenträger (z.B.
Smart Card, Chipkarte) geeignet ist. Wahlweise ist der Display-Speicher
ein nichtflüchtiger
Speicher, der seinen Speicherinhalt behält ohne dass von außen Energie
zugeführt
wird, z.B. ein EEPROM. Die Verwendung eines nichtflüchtigen
Display-Speichers oder eines flüchtigen
Speichers mit Retention-Mode hat den Vorteil, dass ein Benutzer
das erzeugte Einmal-Passwort ohne Hast ablesen kann, so dass Ablesefehler
beim Ablesen des Einmal-Passworts vermieden werden. Sofern das abgelesene
Einmal-Passwort anschließend
tatsächlich
verwendet wird, besteht auch keine Gefahr eines Missbrauchs, da
das Einmal-Passwort nur ein einziges Mal verwendbar ist und im Fall,
dass es erneut verwendet wird, als ungültig zurückgewiesen wird.
Bei
einem Verfahren zum Speichern von Einmal-Passwörter in einen Datenträger werden
eine Mehrzahl von Einmal-Passwörtern
in den Datenträger
gespeichert, ohne dass zwischen dem Speichern ein Einmal-Passwort
auf dem Display angezeigt wird, im Gegensatz zum bedarfsweisen Erzeugen
von einzelnen Einmal-Passwörtern
und sofortigen nachfolgenden Anzeigen des Einmal-Passworts auf dem Display.
Wahlweise werden die Einmal-Passwörter bei
der Initialisierung oder Personalisierung in den Datenträger gespeichert.
Der
erfindungsgemäße Datenträger kann insbesondere
bei der Bestätigung
einer gesicherten elektronischen Zahlungsverkehr-Transaktion über ein
bei einem Kreditinstitut unterhaltenes Kundenkonto, insbesondere
Bankkonto, des Inhabers des Datenträgers, mittels einer Transaktionsnummer (TAN)
verwendet werden. Hierbei wird zunächst eine gesicherte Zahlungsverkehr-Transaktion veranlasst, bei
der, damit sie ausgeführt
wird, eine nachfolgende Bestätigung
mittels einer Transaktionsnummer (TAN) erforderlich ist. Als Zahlungsverkehr-Transaktion kann
beispielsweise eine Transaktion im Homebanking vorgesehen. Weiter
kann als Zahlungsverkehr-Transaktion beispielsweise eine Überweisung, Order
für Geldanlagen,
Einrichtung einer Zahlungsanweisung, Bearbeitung von Kundendaten
oder dergleichen vorgesehen sein. Für die Bestätigung der Zahlungsverkehr-Transaktion
wird ein Einmal-Passwort aus der Speichereinrichtung als Transaktionsnummer
(TAN) auf dem Display des Datenträgers angezeigt und die angezeigte
Transaktionsnummer (TAN) vom Display des Datenträgers abgelesen. Schließlich wird
die Zahlungsverkehr-Transaktion bestätigt, indem die Transaktionsnummer
(TAN) dem Kreditinstitut zur Verfügung gestellt wird. Vorzugsweise
wird ein Einmal-Passwort im Datenträger ungültig gemacht, z.B. gelöscht, sobald
es auf dem Display angezeigt wird.
Alternativ
kann ein mit dem erfindungsgemäßen Datenträger angezeigtes
Einmal-Passwort zur Authentisierung eines Nutzers oder Inhabers
des Datenträgers
für einen
vorbestimmten Dienst oder ein vorbestimmtes Angebot eines Anbieters
des Dienstes oder Angebots verwendet werden. Bei dieser Verwendung
wird bei dem Anbieter die Bereitstellung des Dienstes oder des Angebots
beantragt. Für
die Authentisierung, damit der Dienst bzw. das Angebot dem Nutzer
oder Inhaber nachfolgend bereitgestellt wird, wird ein Einmal-Passwort
aus dem Datenträger auf
dem Display des Datenträgers
angezeigt und vom Display des Datenträgers abgelesen. Der Nutzer
oder Inhaber wird schließlich
gegenüber
dem Anbieter als zur Nutzung des Dienstes oder Angebots berechtigt
authentisiert, indem das Einmal-Passwort dem Anbieter bereitgestellt
wird. Sobald der Anbieter das Einmal-Passwort erhalten hat und sofern
das Einmal-Passwort richtig ist, ist der Dienst oder das Angebot
für den
Nutzer bzw. Inhaber freigeschaltet.
Insbesondere
kann bei der zuletzt angeführten
Verwendung zur Authentisierung des Nutzers oder Inhabers des Datenträgers der
Datenträger
als Kundenkarte gestaltet sein wie die weiter oben beschriebene.
Mit der Kundenkarte kann beispielsweise ein Abonnent einer Zeitschrift
(z.B. Fachzeitschrift, Tageszeitung, Magazin etc.) oder ein Mitglied einer
Organisation (z.B. ADAC, Alpenverein etc.) auf Angebote im Internet
zugreifen, die nur Abonnenten bzw. Mitgliedern zur Verfügung stehen
bzw. nur diesen Personen kostenlos zur Verfügung stehen. Beispielsweise
können
im Internet auf Eingabe eines Einmal-Passworts detaillierte Testberichte
oder Artikel im Volltext heruntergeladen werden, die für Nutzer
ohne eine Kundenkarte nicht oder nur gegen Bezahlung zur Verfügung stehen
würden.