Die TAN (Transaktionsnummer) ist ein Einmalpasswort, das aus sechs Ziffern besteht und die Sicherheit im Online Banking verbessern soll. Die TAN wird ergänzend zur Persönlichen Identifikationsnummer (PIN) genutzt.
Bei dem klassischen TAN-Verfahren erhält der Kunde eine Liste mit mehreren TANs (meist 100 pro Bogen) per Post zugesandt. Bei jeder Transaktion die per Online-Banking durchgeführt wird, muss eine dieser Nummern korrekt eingegeben werden. Nach der Verwendung der TAN wird diese ungültig.
Wenn die noch nicht verwendeten TANs auf der TAN-Liste zur Neige geht, erhält man von der Bank eine neue Liste zugesandt. Da die TAN nur dem Kontoinhaber bekannt sein sollte, geht die Bank davon aus, dass die durchgeführte Transkation von diesem in Auftrag gegeben wurde. Der Einsatz der TAN wird von der Bank als Verwendung einer „Quasi-Unterschrift“ interpretiert. Da sich in den letzten Jahren allerdings die Gefahr von Pishing-Attacken verstärkt hat, wird dieses Verfahren kaum noch verwendet.
Die Gefahren des Betrugs haben die Banken veranlasst, neue Verfahren zu entwickeln die den Kunden mehr Sicherheit im Online Banking zu bieten. So geht zum Beispiel das iTAN-Verfahren noch einen Schritt weiter. Hierbei bekommt der Kunde eine durchnummerierte Liste zugesandt und bei jeder Transaktion muss er eine bestimmte TAN eingeben. Alle restlichen TANS auf der Liste funktionieren für diesen Auftrag nicht. Der Auftrag lässt sich nur über die Eingabe der richtigen TAN bestätigen.
Den Missbrauch durch Hacker will das CAPTCHA-Verfahren verhindern. Dabei wird nach der Eingabe der indizierten TAN noch ein Kontrollbild eingeblendet. Zusätzlich muss vom Kontoinhaber meist noch das eigene Geburtsdatum eingegeben werden. Dieses sollten unbefugten Dritten in der Regel nicht bekannt sein.
Um Pishing-Attacken grundsätzlich auszuschließen, geben einige Online-Banking-Systeme Bestätigungsnummern zurück. Der Kunde kann durch Kontrolle der Bestätigungsnummer sicher gehen, dass er nicht einem Pishing-Versuch zum Opfer gefallen ist.