Thema "Re: Betreff: Login: PIN-Länge, stärkeres Passwort" in Konto, Depot & Karte

Login: PIN-Länge, stärkeres Passwort

Hunter_I — Sun, 18 Dec 2016 17:49:10 GMT

Hallo,

mittlerweile ist ja hinlänglich bekannt, dass ein 6-stelliges rein numerisches Passwort (also die PIN), in keinster Weise mehr den heutigen Sicherheitsstandards entspricht.

1. Frage: Kann ich ein längeres, mind. 12-stelliges Passwort erstellen?

2. Frage: Wird demnächst ein 2-stufiges Autorisierungsverfahren angeboten werden?

Herzliche Grüße.

Betreff: Login: PIN-Länge, stärkeres Passwort

eckhardschnell — Mon, 19 Dec 2016 08:16:24 GMT

Hallo Hunter_I,

ein 6 stelliges Passwort ist deswegen noch als ausreichend sicher zu betrachten da es nach Dein Konto nach einer dreimaligen Falscheingabe gesperrt wird.

Zu Deiner zweiten Frage bzgl "2-stufiges Autorisierungsverfahren" kann ich dir nur soviel sagen das durch die EInführung neuer Regelwerke für die Banken "PSD2" so in 2018 wohl eine 2Faktor Authorisierung kommen wird. Daran wird sich dann auch die comdirect bank halten müssen.

Ich vermute mal das Du mit dem zweistufigen die 2Faktor Authorisierung meintest.

Was aber gut wäre wenn die comdirect bank für das Login zu Beispiel optional zusätzliche eine PhotoTan Abfrage machen würde. Das wäre dann schon fast eine 2Faktor Authenfizierung. (Ich weiß in dem zusammenhang gibt es kein fast 🙂 )

Für alle die mit 2Faktor Authentifizierung nichts anfangen können
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung
"

Die Faktoren können sein:[2]

etwas, das der Nutzer besitzt, wie zum Beispiel ein Hardware-Token, eine Bankkarte oder ein Schlüssel,
etwas, das der Nutzer weiß, wie zum Beispiel ein Benutzernamen, ein Kennwort, ein Einmalkennwort, eine Persönliche Identifikationsnummer (PIN) oder eine Transaktionsnummer (TAN),
etwas, das als körperliches Charakteristikum untrennbar zum Nutzer gehört (das Sein), wie zum Beispiel ein Fingerabdruck, das Muster einer Regenbogenhaut (Iris-Erkennung) oder die menschliche Stimme.

Mit freundlichen Grüßen
Eckhard Schnell

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

ehemaliger Nutzer — Mon, 19 Dec 2016 07:52:19 GMT

Hallo Hunter_I,

derzeit gibt es keine Planungen, die Passwortlänge zu verändern oder die Zwei-Faktor-Authentifizierung einzuführen.

Wir sind der Meinung, dass der Kontozugang durch die Kombination aus achtstelliger Zugangsnummer und sechsstelliger Geheimzahl ausreichend abgesichert ist. Darüber hinaus wird der Zugang nach drei falschen Versuchen gesperrt. Und wenn alle Stricke reißen, haben wir auch noch unser "Bei-uns-sind-Sie-sicher-Versprechen".

Viele Grüße, Mario

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

eckhardschnell — Mon, 19 Dec 2016 08:47:36 GMT

Hallo Mario,
ich finde Deine Antwort bzgl Zwei-Faktor Authentifzierung mit Verlaub ein wenig merkwürdig. Mit PSD2 kommt definitiv eine Zwei-Faktor Authentifzierung und Du vermittelt uns mit Deiner Antwort das da nichts in Vorbereitung/Planung ist.
PSD2 kommt Anfang 2018. EIn Jahr ist für Banken nicht gerade viel Zeit um sich auf neue Regularien umzustellen, siehe die Zeitschiene für SEPA.
Eventuell kannst Du uns ja ja mitteilen was aus eurer Sicht für den Kunden an PSD2 neues kommen kann oder wird. Dann müssen wir Laien nicht dauernd versuchen das bankchinesisch zu verstehen 🙂

Grüße nach Quickborn
Eckhard

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

Zargoras — Mon, 19 Dec 2016 15:22:14 GMT

@eckhardschnell

Sicher, das es so zu verstehen ist, oder nur eine umschreibung für die bankenüblichen tan verfahren, gibt ja immer noch banken die ein transaktionskennwort verwenden, vielleicht soll das mal verboten werden.

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

eckhardschnell — Mon, 19 Dec 2016 21:07:29 GMT

Hallo @Zargoras,

Na was ist schon sicher... , aber schau mail hier

key-features-of-psd2-and-what-they-mean-for-the-payments-industry

Insbesondere der Abschnitt über "Customer authentication".

Ein Auszug

"'Strong customer authentication' is defined by the Commission as "a procedure for the validation of the identification of a natural or legal person based on the use of two or more elements categorised as knowledge, possession and inherence that are independent, in that the breach of one does not compromise the reliability of the others and is designed in such a way as to protect the confidentiality of the authentication data". In IT security-speak, this means two-factor authentication"

Grüße
Eckhard

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

crashbone — Tue, 20 Dec 2016 09:26:40 GMT

Ich wollte nur noch anmerken, dass die Sperrung nach 3maliger Falscheingabe das rein numerische kurze Passwort nicht sicherer macht, denn das eigentliche Problem bei der Passwortsicherheit sind ja nicht Scriptkiddies die einfach alles ausprobieren, sondern durch Hacks & Sicherheitsheitslücken entwendete Passwort Hashes. Diese lassen sich eben bei solchen Kennwörtern wunderbar in Sekunden wieder aus Hashes in richtige Kennwörter rückverwandeln.

crash

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

eckhardschnell — Tue, 20 Dec 2016 12:00:04 GMT

Damit hast Du allerdings recht

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

ehemaliger Nutzer — Tue, 20 Dec 2016 15:00:58 GMT

Hallo Eckhard,

in Bezug auf die PSD2 warten wir derzeit noch auf die Konkretisierung der Richtlinie durch die EBA (europäische Bankenaufsichtsbehörde). Erst nach der Veröffentlichung voraussichtlich Ende Januar wissen wir mehr über die Anforderungen z.B. in Bezug auf den Login-Prozess. Wahrscheinlich werden wir dort unter bestimmten Bedingungen neben der PIN auch eine TAN abfragen müssen. Da dies große Einschränkungen bei der Nutzung des Persönlichen Bereichs mit sich bringt (z.B. wenn man nur kurz den Kontostand prüfen will), sind wir hier noch kritisch und hoffen, dass wir am Ende eine für alle Seiten zufriedenstellende Lösung finden werden.

Sicher ist bislang nur, dass die iTAN für Überweisungen aufgrund der PSD2 nicht mehr zulässig sein wird. Wir werden aber alle Kunden rechtzeitig darüber informieren und um einen Wechsel zu photoTAN oder mobileTAN bitten.

Viele Grüße, Mario

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

Zargoras — Tue, 20 Dec 2016 15:14:45 GMT

An sich kann ich mir das absolut nicht vorstellen, weil das der standardisierten schnittstelle zu wieder wäre, und quasie hbci/fints unmittelbar in die ewigen jagdründe befördern, sowie das online banking wieder in die steinzeit zurück führen (will keiner, da zu umständlich), online banken wären dem untergang geweiht (wer will schon eine bank, bei der er keine möglichkeit hat seinen kontostand zu erfahren, wenn Er keine tan erhalten kann).

Kann mir nicht vorstellen, das es für reine informationszwecke vorgeschrieben wird, bin überzeugt, das die einfach nur eine auftragsabhängige transaktionslegitimation verlangen, also eventuell itan und transaktionskennwörter begraben.

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

wildcat-wolf — Thu, 05 Jan 2017 19:36:12 GMT

"Sicher ist bislang nur, dass die iTAN für Überweisungen aufgrund der PSD2 nicht mehr zulässig sein wird. Wir werden aber alle Kunden rechtzeitig darüber informieren und um einen Wechsel zu photoTAN oder mobileTAN bitten."

Wenn das ITAN-Verfahren schon nicht mehr zulässig sein wird, weshalb wird dann auf zwei weitere sehr unsichere TAN-Verfahren verwiesen; anstelle sich darüber Gedanken zu machen, wie die Sicherheit wirklich zu bewerkstelligen ist !!!
... jeden falls mich beeindrucken die angebotenen TAN-Verfahren von comdirect in keiner Weise ...

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

eckhardschnell — Fri, 06 Jan 2017 08:12:01 GMT

Hallo @wildcat-wolf,

magst Du uns verrraten warum Du zum Beispiel die photoTAN als unsicher hälst.
Es gibt zwar dazu Berichte im Internet die dieses Verfahren geknackt haben aber nur dann wenn Banking App und Photo TAN auf einem Gerät war und auf dem smartphone der Betroffenen musste bereits eine mit Viren infizierte App installiert sein. Siehe hier http://www.sueddeutsche.de/digital/it-sicherheit-mobiles-banking-hacker-knacken-photo-tan-app-1.3208810
Viele Grüße
Eckhard

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

Hunter_I — Fri, 06 Jan 2017 08:27:09 GMT

Hallo,

drei Anmerkungen meinrseits:

1. Das finktioniert nur mit Android Smartphones, weil es nur bei denen möglich ist, überhaut infizierte Apps zu installieren (aus Fremdquellen). Bei Apple ist das aufgrund des geschlossenen Systems über den App-Store nicht möglich.

2. Meines Erachtes ist die physische Trennung auf jedenfall erforderlich. Also nicht auf einem Gerät. Mein Comdirect "Fotogerät" 🙂 liegt nicht nebem dem PC. Und Überweisungen etc. mache ich eh' nur zuhause.

3. Überigens ist das der gleiche Firlefanz wie mit diesen Passwort-Managern: Denn verliere ich das Passwort des Passwort-Managers, sind entsprechend auf einen Schlag ALLE weg. Von der Synchonisierung der Passworte über alle Plattformen hinweg ganz zu schweign.

Meine 5 Cents.

Grüße.

Betreff: Login: PIN-Länge, stärkeres Passwort

Mitoch — Mon, 02 Apr 2018 10:54:52 GMT

Nachdem nun 1,5 Jahre auch hier nichts passiert ist: *wann* wird denn die Comdirect in der Gegenwart ankommen, und a) längere/nicht-numerische Passwörter erlauben, und b) endlich die Zwei-Faktoren-Authetifizierung zumindest optional einführen?

Nach >15 Jahren als ansonsten sehr zufriedener Kunde überlege ich, mein Comdirect-Konto sonst bald aufgeben zu müssen. Das Risiko ist einfach zu hoch.

Betreff: Login: PIN-Länge, stärkeres Passwort

RDF — Mon, 02 Apr 2018 18:12:58 GMT

@Mitochschrieb:
Nachdem nun 1,5 Jahre auch hier nichts passiert ist: *wann* wird denn die Comdirect in der Gegenwart ankommen, und a) längere/nicht-numerische Passwörter erlauben, und b) endlich die Zwei-Faktoren-Authetifizierung zumindest optional einführen?
Nach >15 Jahren als ansonsten sehr zufriedener Kunde überlege ich, mein Comdirect-Konto sonst bald aufgeben zu müssen. Das Risiko ist einfach zu hoch.

Also-- ich kann da kein Verlangen nach immer neuen Erschwernissen und Reglementierungen in der Handhabung meines Kontos verspüren.

ich bin sicher, du kannst nach deinen >15 Jahren -- wie auch ich nicht --keinen einzigen konkreten Fall benennen, wo das gegenwaertige System der codi versagt hat -- oder?

Uberperfektionierung Ihrer selbst willen schlaegt in Schaden um, weil die Handhabung durch den Anwender (Kunden) immer komplizierter und damit fehleranfaelliger wird. Apropos Kunde-- dieser, in seiner menschlichen Natur bedingten völlig unperfekte Teil des Systems, ist und bleibt bei jedem noch so komlizierten Sicherheitssytem der Bank DER große Schwachpunkt im "Gesamtsystem Sicherheit".

Gruß

RDF

Betreff: Login: PIN-Länge, stärkeres Passwort

Weinlese — Mon, 02 Apr 2018 18:46:03 GMT

@Mitochschrieb:
Nach >15 Jahren als ansonsten sehr zufriedener Kunde überlege ich, mein Comdirect-Konto sonst bald aufgeben zu müssen. Das Risiko ist einfach zu hoch.

Welches Risiko meinst du hier genau? Die Wahrscheinlichkeit, dass das eigene Konto durch Erraten der PIN geknackt wird, ist für den einzelnen Nutzer relativ gering. Bei 6 Ziffern und 3 möglichen Versuchen ist ein Angriff also im Schnitt erst nach ca. 160.000 Versuchen erfolgreich bzw. ein Angreifer bräuchte so viele verschiedene Kontonummern, um im Schnitt einen Treffer zu landen (doppelte PINs erhöhen das Risiko natürlich).

Nur selbst wenn die PIN erraten werden sollte, kann der Angreifer ohne TAN-Zugriff trotzdem nur äußerst geringen Schaden anrichten. Geld kann nicht abgehoben werden, das Depot nicht umgeschichtet werden. Allenfalls können private Daten ausgelesen werden. Dafür extra die Bank zu wechseln, erscheint mir ein wenig übertrieben.

Viele Grüße

Weinlese

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

ehemaliger Nutzer — Tue, 03 Apr 2018 07:51:55 GMT

Hallo @Mitoch,

in Bezug auf die Zugangsdaten hat sich bei uns nichts geändert, da sich das Vorgehen mit achtstelliger Zugangsnummer und sechsstelliger PIN bewährt hat.

Bislang gibt es daher auch keine Pläne, diese Handhabung zu ändern.

Wie @RDF und @Weinlese richtig sagen, ist es eher unwahrscheinlich, die PIN einer anderen Person einfach so zu erraten. Sollte dies wider Erwarten doch passiert sein, ist ohne die Eingabe einer TAN keine Transaktion möglich. Für einen Schadensfall müssten also neben der Zugangsnummer und der PIN auch die TANs einer anderen Person zugänglich gemacht worden sein.

Viele Grüße aus Quickborn

Jasmin

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

Mitoch — Tue, 03 Apr 2018 14:56:59 GMT

Hallo @ehemaliger Nutzer,

1. Als möglicherweise erheblichen Schadensfall würde ich es auch bezeichnen, wenn ich keinen Zugriff auf mein Konto mehr habe. Das ist bspw. dann der Fall, wenn eine dritte Person *nur* mein PIN besitzt, und diese dann ändert.

2. Warum warnt die Comdirect auf der LogIn Seite vor Phishing-Emails etc.? Offenbar kommt es ja bereits zu illegalen LogIns von Dritten - auch *weil* keine Zwei-Faktoren-Authetifizierung möglich ist.

3. Deine Antwort bedeutet auch: Die Comdirect Bank ignoriert wissentlich die expliziten Mindeststandards des Bundesamts für Sicherheit in der Informationstechnik (BSI):
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium.html

Dort wird nämlich die Zwei-Faktoren-Authentifizierung für das LogIn ausdrücklich verlangt.

Wenn Du letzteres (3.) kurz bestätigen möchtest, ich würde dann das BSI um Rat bitten, wie bzgl. dieser Problematik vorzugehen ist.
Danke & beste Grüße!

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

SMT_Jan-Ove — Tue, 03 Apr 2018 15:30:43 GMT

Hallo @Mitoch,

gerne gehen wir auf deine einzelnen Punkte ein.

1. Die Änderung deiner Zugangs-PIN ist nur mit einer TAN-Freigabe möglich. Daher kann niemand deine PIN ändern, nur, weil er die aktuelle PIN kennt.

2. Die Warnung auf unserer Login-Seite bezieht sich auf die sogenannte "Microsoft-Anrufer"-Masche. Dabei wird dem Kunden vorgegaukelt, dass ein Microsoft-Mitarbeiter sich proaktiv telefonisch meldet, um einen angeblichen Virenbefall auf dem PC des Kunden zu prüfen - Stichwort: Social Engineering. Eine 2-Faktor-Authentifizierung würde auch in diesem Fall nicht helfen.

3. Unter der von dir verlinkten Seite konnte ich die erwähnten Mindeststandards leider nicht finden. Kannst du mir die genaue Stelle zeigen? Dann lasse ich diesen Punkt gerne klären.

Unterm Strich lässt sich auch vor der Klärung deines 3. Punktes zusammenfassen: Du und deine Kontoverbindung sind bei uns sicher. Neben unseren diversen Sicherungsmaßnahmen geben wir auch noch das Bei-uns-sind-Sie-sicher-Versprechen.

Beste Grüße

Jan-Ove

Re: Betreff: Login: PIN-Länge, stärkeres Passwort

TKO — Thu, 31 May 2018 12:37:21 GMT

Hallo @Mitoch, @SMT_Jan-Ove,

Habe gerade erst mein Konto bei der Comdirect eröffnet und wünschte ich hätte das vorher gewusst.

Ein 6-stelliges numerisches Passwort ist lächerlich und mit nichts zu rechtfertigen. Ich bin am überlegen mein Konto wieder zu schließen und zur DKB zu wechseln.

Beste Grüße