iTAN oder in der Langform Indizierte TAN-Liste, ist ein Verfahren, das dazu benutzt wird um Transaktionen per Online Banking zu bestätigen. Der Kunde erhält dafür von der Bank eine indizierte, das bedeutet durchnummerierte, TAN-Liste zugesandt.
Möchte er dann per Online Banking eine Überweisung durchführen oder einen Dauerauftrag einrichten so wird eine dieser TAN-Nummern verlangt. Sind fast alle TANS verbraucht, so erhält der Kunde einen neuen TAN-Bogen zugesandt. Dieser muss ebenfalls mit einer TAN vom alten Bogen aktiviert werden. Nach der Aktivierung des neuen Bogens werden alle TANS auf dem alten Bogen inaktiv und alle TANS auf dem neuen Bogen aktiv.
Während beim normalen TAN-Verfahren jede beliebige TAN zur Bestätigung genutzt werden kann, wird beim iTAN-Verfahren nur die eine angeforderte TAN aus dem TAN-Bogen akzeptiert. Jede andere TAN wird abgelehnt. Im Fall einer Pishing-Attacke ist die Chance relativ gering (bei 100 Tans beträgt die Chance nur 1%), dass der Betrüger die richtige TAN erbeutet hat. Natürlich bietet dieses Verfahren keinen absoluten Schutz, denn immer noch können die Zugangsdaten und TANS ausspioniert werden.
Dazu wird von Betrügern die Seite der Bank nachgebaut und dann werden alle Eingaben des Nutzers aufgezeichnet um diese Daten dann später zum Betrug zu nutzen. Ebenfalls ist es möglich, dass eine Pishing-Attacke direkt während der Überweisung erfolgt. Dennoch wird das iTAN Verfahren heute noch von vielen Banken eingesetzt.
Weitaus sicher ist das sogenannte HBCI-Verfahren bei dem keine Eingaben gemacht werden, sondern alle Zugangsdaten auf einer Chipkarte gespeichert sind. Diese Daten werden dann über ein Lesekredit eingelesen und verschlüsselt an den Server der Bank übermittelt.