Thema "Betreff: Security" in Konto, Depot & Karte

Security

Jens — Fri, 07 Dec 2018 21:15:29 GMT

Hallo,

ich mache mir Sorgen um die Konto-Sicherheit und habe dazu ein paar Anmerkungen/Fragen:

1) Warum muss die PIN nur sechs stellig und numerisch sein? Warum werden nicht lange (und zwar wirklich lange) Passwörter zugelassen, die ich mit einem Passwort-Manager verwalten kann?

2) Warum seit Ihr nicht im "E-Mail Made In Germany" Verbund?

3) Warum gibt es für die Foto-Tan App für iOS kein FaceID?

Wenn Ihr alle drei Punkte beheben könntet wäre das wirklich klasse!

Viele Grüße & vielen Dank,

Jens

Betreff: Security

Zargoras — Fri, 07 Dec 2018 22:47:08 GMT

Herzlich wilkommen in der Community 😉

Zu 1) das Thema gab es schon tausend mal, das Kennwort ist ja nicht das einzige Sicherungsmerkmal. bedenke bitte das man nur drei Versuche hatund nicht ne fantstillionen wie in den meisten online Accounts, also ist es wirklich ne Glücksfrage, und keine Frage der Geduld.

Denke es ist Problematischer wenn es viele Leute vergessen, so ist der Zugang ja auch schon sehr sicher, und lediglich einloggen nutzt einem ja nicht viel.

zu 2) warum sollten sie, es ist letztlich ein Marketing gag, das einzige, was ernst gemeint ist, ist das die Verbindung vom Email Programm verschlüsselt sein muss, aber das wird eine Bank wohl auch schon vorher beherzigt haben... Das schlichte Versprechen, die Emails nicht übers Ausland zu Routen, ist für mich zweifelhaft...

Finde es eher interessant, warum nicht alle Emails signiert werden (SMIME etc.)

zu 3) meine Foto Tan App unter iOS wird mittels FaceID entsperrt, bitte schau nochmal nach.

Betreff: Security

Jens — Sat, 08 Dec 2018 00:09:38 GMT

Hi,

1) Sorry, aber das ist einfach ein Hygiene Faktor und gehört dazu.

2) Wenn die comdirect Mails verschlüsselt und innerhalb Deutschlands verschickt wäre das super zu wissen. Für mich ein tolles Feature. Eine Signatur wäre natürlich noch einen Schritt besser!

3) Gebe Dir recht & vielen Dank für den Hinweis. Ich war verwirrt, da es nur die Option TouchID gab. Bei Aktivierung von TouchID funktioniert FaceID aber klasse!

Viele Grüße & vielen Dank,

Jens

Betreff: Security

Joerg78 — Sat, 08 Dec 2018 07:37:17 GMT

Hallo Jens,

ergänzend zu Punkt 2: Die E-Mails selbst sind auch bei "E-Mail made in Germany" nicht verschlüsselt - einzig der Transportweg findet über eine verschlüsselte Verbindung statt (TLS). Das ist allerdings - sofern die Mailserver entsprechend konfiguriert sind - mittlerweile Standard. Grundsätzlich unterstützt (und nutzt) der comdirect-Mailserver eine entsprechende Verschlüsselung, sofern das auch der Ziel-Mailserver (also dein Mailprovider) unterstützt.

Viele Grüße,

Jörg

Betreff: Security

paba — Sat, 08 Dec 2018 08:33:18 GMT

Hallo @Jens,

ergänzend zu Punkt 1 noch folgendes:

Zusätzlich zur sechsstelligen PIN müsste ein Angreifer in nur 3 Versuchen ja auch noch die zwei letzten Stellen deiner Zugangsnummer erraten. Wenn er aber deine Zugangsnummer und dein Password durch Hacking herausfinden sollte, nützt dir auch ein langes Password nichts. Wenn er es dennoch schaffen sollte, sich unberechtigt Zugang zu verschaffen, braucht er ja auch noch ein oder mehrere TANs, um Schaden anzurichten. Ich denke, die sechsstellige PIN zusammen mit der Zugangsnummer ist hinreichend sicher.

Ich denke sogar, dass langes Password potentiell unsicherer sein könnte, als eine simple 6 stellige PIN, denn viele Bankkunden wären versucht, dieses lange Password auf Ihrem Rechner abzulegen (z.B. im Passwordmanager), wo es dann durch Schadsoftware gehackt werden könnte. Eine PIN sollte nur im eigenen Hirn existieren, das ist wirklich sicher.

Du solltest auch bedenken, dass man die Zugangsnummer und die PIN auch per Telefon eingeben können muss. Das geht mit einem "wirklich langen Passwörtern" kaum.

Gruß paba

Betreff: Security

kammann — Sun, 09 Dec 2018 19:56:22 GMT

Eine vorhandene Transportverschlüsselung einer Mail kann man bei GMX und Web.de im Webmail auch unabhängig von "E-Mail-made-in-Germany" überprüfen, indem man neben dem Datum der Mail auf "i" klickt und dann die erscheinenden "Erweiterten E-Mail-Information" nach dem ersten vorkommenden Received-from-Header schaut:

Received: from mmout01.comdirect.de ([193.41.135.66]) by mx-ha.gmx.net (mxgmx014 [212.227.15.9]) with ESMTPS (Nemesis) id 1XxDu4-1h7YFb29xx-00eB8h for <xxx@gmx.de>; Wed, 05 Dec 2018 02:17:41 +0100

Hier zeigt das "ESMTPS" eine per TLS verschlüsselte Übertragung der Mail vom Mailserver der comdirect zum Posteingangsserver bei GMX an. Spannend finde ich die weiteren Received-Header, die den Weg einer Mail (hier die Nachricht über einen Finanzreport) innerhalb der comdirect aufzeigen:

Received: from cdmtbp61.de.comdirect.com ([132.10.2.151]) by cdmapp23.office.de.comdirect.com with ESMTP; 05 Dec 2018 02:17:41 +0100

Zum einen erfolgt hier mit "ESMTP" eine unverschlüsselte Übertragung, zum anderen gehört die angegebene IP-Adresse 132.10.2.151 der US Air Force (wer es nachprüfen will: https://whois.arin.net/rest/net/NET-132-10-0-0-1/pft?s=132.10.2.151 ). Ein "Umweg" der Mail über die USA ist aber unwahrscheinlich - vermutlich ist eine Fehlkonfiguration der internen Mailserver der comdirect für diese Fehlinformation verantwortlich - statt einer privaten, im Internet nicht route-baren IP-Adresse hat wohl hier ein Admin bei der comdirect einfach eine existierende IP-Adresse (hier der US Air Force) verwendet in der Annahme, dass dies nach außen ohnehin nicht sichtbar wird.

Da in den von der comdirect versandten E-Mails keine persönlichen Daten enthalten sind, sind die Versandwege der Mail aber eher nicht relevant.

Betreff: Security

Joerg78 — Sun, 09 Dec 2018 20:07:10 GMT

@kammann schrieb:

Received: from cdmtbp61.de.comdirect.com ([132.10.2.151]) by cdmapp23.office.de.comdirect.com with ESMTP; 05 Dec 2018 02:17:41 +0100
Zum einen erfolgt hier mit "ESMTP" eine unverschlüsselte Übertragung, zum anderen gehört die angegebene IP-Adresse 132.10.2.151 der US Air Force (wer es nachprüfen will: https://whois.arin.net/rest/net/NET-132-10-0-0-1/pft?s=132.10.2.151 ).

Da wurde wohl eine ganze Range "missbraucht", auch wird beispielsweise die 132.10.2.146 verwendet...

VG,

Jörg

Betreff: Security

TC_Hessen — Mon, 10 Dec 2018 13:18:11 GMT

Ja, sieht so aus, als würde intern eine offizielle IP Range benutzt werden, was zwar unschön aber nicht wirklich problematisch ist. Auch daß die interne Kommunikation unverschlüsselt erfolgt, ist kein Problem. Nach extern ist es korrekt:

Received: from mmout01.comdirect.de (mmout01.comdirect.de [193.41.135.66])
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by mail.<MeinServer>.de (Postfix) with ESMTPS
	for <meineEmail@MeinServer>; Mon, 19 Nov 2018 11:40:29 +0100 (CET)

Betreff: Security

eckhardschnell — Mon, 10 Dec 2018 14:28:21 GMT

Also ich bin der Meinung das auch interne Kommunikation verschlüsselt gehört.
Ansonsten kann ein Anreifer, wenn er mal drin im System ist schön alles mitlesen.
Ich weiß das macht Aufwand aber State of the Art wäre es nicht, wenn intern kein https oder mail nicht verschlüsselt würde.
Mit freundlichen Grüßen
Eckhard Schnell

Betreff: Security

TC_Hessen — Mon, 10 Dec 2018 14:44:13 GMT

Das muß man differenzieren.

1. Traffic zu localhost (ggf. auch intern auf andere Interfaces) braucht nicht verschlüsselt zu werden, das bringt keinen Vorteil, man bleibt ja innerhalb eines Systems
2. Gleiches gilt für Traffic innerhalb eines Hosts, zwischen verschiedenen VMs brauche ich keine Verschlüsselung, ist ein Angreifer drin, dann hab ich eh verloren.
3. Bei Traffic zwischen verschiedenen Lokationen macht Verschlüsselung Sinn, da hier über Infrastruktur gegangen wird, auf die man keinen Einfluß hat.