Das PIN/TAN-Verfahren kennt sicher jeder. Der Kunde bekommt zu seinem Onlinekonto eine PIN, also quasi den Zugangscode für sein Konto, sowie eine TAN-Liste. Auf der TAN-Liste sind in der Regel zwischen 40 und 60 Nummern vermerkt, von denen jede zur Autorisierung einer Transaktion steht, weshalb sie auch als TAN (Transaktionsnummern oder auf englisch Transaction Numbers) bezeichnet werden.
In Kombination mit der PIN (persönliche Identifikationsnummer oder englisch Personal Identification Number), welche im Allgemeinen unbegrenzt gültig ist, sollen die TANs sicherstellen, dass nur der Kontoinhaber bzw. eine durch ihn autorisierte Person Transaktionen per Onlinebanking vornehmen kann.
Immer mehr Banken gehen jedoch dazu über, die bisher bekannten TAN-Listen, aus denen sich der Kunde zur Bestätigung einer Überweisung etwa eine TAN nach eigenem Belieben aussuchen konnte, durch so genannte iTANs abzulösen.
iTAN steht dabei für indexierte TAN und beschreibt ein Verfahren, bei dem die Bank vom Kunden für jede Transaktion eine genau festgelegte TAN aus seiner Liste abfragt.
Der Grund für diese Umstellung liegt in der immer weiter um sich greifenden Verbreitung von Phishing-Angriffen über Mails, die angeblich von der eigenen Bank kommen und in denen der Kunde zur erneuten Eingabe von PIN und einer TAN aufgefordert wird.
Beim alten TAN-Verfahren könnte sich ein Betrüger mit diesen Daten in den Onlinebanking-Account seines Opfers einloggen und eine beliebige Summe auf ein Konto seiner Wahl transferieren.
Bei Verwendung von iTANs hingegen funktioniert das nicht, da die Bank nicht irgendeine beliebige TAN erwartet, sondern eine exakt vorgegebene Position der TAN-Liste abfragt, die nur dem Kunden vorliegt.
Da aber findige Hacker auch hierfür schon Methoden entwickelt haben, mittels Phishing dem Kunden die erforderliche iTAN zu entlocken, empfiehlt sich als einzig wirklich sichere Variante das HBCI-Verfahren.