Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Komplexere PIN / 2FA / APK

Strawhat
Autor
2 Beiträge

Guten Tag sehr geehrte Community.

 

In diesem Beitrag soll es im allgemeinen um die Erhöhung der Sicherheit gehen.

Mir sind hier ein paar Punkte aufgefallen die meiner Ansicht nach verbessert werden könnten. Die letzen Beiträge die ich hierzu gefunden habe waren von Ende 2016 und somit möchte ich die Themen erneut ansprechen.

 

1. Eine sechs-stellige PIN ist wie bereits im Beitrag vom 2016-12-18 (1)
erwähnt nicht mehr zeitgemäß. Das Argument der Login bestehe ebenfalls aus der 8-stelligen Zugangsnummer ist meiner Ansicht nach unzureichend. Die Zugangsnummer besteht in einigen Fällen (perönlich sind mir 2 bekannt) fast vollständig aus der Kontonummer und werden somit bei einfachen Überweisungen automatisch preisgeben. Auch wenn dies sicherlich nicht der Standart ist so kann die Zugangsnummer meinen Informationen zufolge nicht geändert werden. Einmal geleakt wird der Zugang lediglich von der PIN geschützt.

 

2. Hier auch gleich zum zweiten Punkt. Eine Zwei-Faktor-Authentisierung (2)
gehört mittlerweile schon zum "State-of-the-Art" und sollte meiner Ansicht nach ebenfalls eingeführt werden. Ob diese nun über ein One-Time-Passwort (OTP) oder evtl. durch die Eingabe einer Photo-Tan realisiert wird lässt sich sicherlich diskutieren. Dies wäre somit eine weitere Sicherheitsvorkehrung falls die Daten in die falschen Hände geraten sollten.

 

 3. Damit weiter zum dritten Punkt: Den Apps. Auch in den gängigen App-Stores kommt es vorallem bei Banking-Apps vor das gefälschte oder veränderte Versionen dieser angeboten werden um an Zugangsdaten und Passwörter zu gelangen. Eine Möglichkeit diesen Betrug vorzubeugen wäre die Apps (APK) direkt von Seiten der comdirect aus anzubieten. Zur Überprüfung wäre hier ebenfalls eine Veröffentlichung der Hash-Werte (MD5/SHA1) (3) wünschenswert um eine Überprüfung der Dateien zu ermöglichen.

 

Zum Schluss möchte ich anmerken das mir bisher kein Vorfall bezüglicher Sicherheitsprobleme bei der comdirect bekannt ist und ich weiterhin auf die Sicherheit vertraue.

Jedoch denke ich das es bei den Themen der Sicherheit

Prävention besser ist als Reaktion.

 

Ich freue mich auf eine angeregte Diskussion zu den angemerkten Themen.

 

Mit freundlichen Grüßen

Strawhat

 

1 /t5/Konto-Karte/Login-PIN-L%C3%A4nge-st%C3%A4rkeres-Passwort/m-p/4152#M806

2 https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung

3 https://de.wikipedia.org/wiki/Hashfunktion

6 ANTWORTEN

Zargoras
Mentor ★★
1.528 Beiträge

@Strawhat

 

grundsätzlich sind solche Gedanken berechtigt bis hin zu richtig. Allerdings würde ich betonen wollen, das Sicherheit immer zulasten des Comforts geht.

 

Und ein Bankkonto muss eben maximal Verfügbar sein, und die Sicherheit muss so hoch wie möglich sein, ohne ersteres merklich ein zu schränken.

 

zu 1) und 2) gibt es leider zu häufig unwissende Menschen, die teils in blinden Aktionismus verfallen, aber letztlich keine Ahnung haben was sie wirklich tun.

Natürlich hätte die Bank am Liebsten Kunden die ihre Pin alle 4 Wochen ändern, aber dazu nötigen wollen sie sicherlich nicht, weil vermutlich 80% und mehr dann Regelmäßig die Pin vergessen, oder letztlich darauf ausweichen, die Zugangsdaten auf einem Zettel im Portmonai zu schreiben.

Mit der 2FA würde sich sicherlich auch viele Leute regelmäßig von ihrem Konto aussperren (natürlich müsste die Bank jederzeit wieder zugriff auf die Daten verschaffen können, da diese ja für die Bank lesbar sein müssen, aber wie will man das hinreichend absichern, und was wäre das für ein organisatorischer Aufwand?)

 

zu 3) dies bietet vermutlich nur einen Mehrwert für 0,00001% der comdirect Kunden, leider kenne ich mich im Android Universum nicht so gut aus, aber könnte das nicht zu zusätzlichen gefahren in Bezug auf gerootete Handys führen? Also kann man sich da gleichermaßen vor Screen recording und keylogger schützen?

 

Und für eine kleine Zielgruppe lohnt sich das vermutlich nicht. Es ist in meinen Augen eine schwierige Angelegenheit die Sicherheit wirtschaftlich zu erhöhen.

 

Denn im Grundsatz ist die Sicherheig schon ziemlich hoch selbst wenn du die Pin rätst, wofür du nur 3 Versuche hast, kannst du eben nur einsicht nehmen, aber keinen unmitelbaren schaden verursachen.

Erfolgreiche schädliche Eingriffe sind sehr Zeit aufwendig, und gehen in meinen Augen primär in die Richtung social engineering.

 

Ich würde gerne mal versuchen die Frage um zu drehen, worin siehst du die höchste Gefahr mit einem Angriffszenario.

Sowas wie aufgrund meines schlechten Gedächtnisses, hab ich meine Zugangsdaten immer im Portmonai deswegen wäre es von Vorteil wenn... Irgendwie sowas.

Einfach nur ein einzelnes Verfahren an zu prangern ist nicht zielführend, zwar gut einzelne Aspekte zu  hinterfragen, aber das alleine bringt eben noch nichts.

VersalEszett
Autor ★★★
69 Beiträge

Ich möchte das Thema auch gerne nochmal aufgreifen, weil es noch keine Reaktion des @Social-Media-Team's gab.

 


@Zargoras  schrieb:

zu 1) und 2) gibt es leider zu häufig unwissende Menschen, die teils in blinden Aktionismus verfallen, aber letztlich keine Ahnung haben was sie wirklich tun.

Natürlich hätte die Bank am Liebsten Kunden die ihre Pin alle 4 Wochen ändern, aber dazu nötigen wollen sie sicherlich nicht, weil vermutlich 80% und mehr dann Regelmäßig die Pin vergessen, oder letztlich darauf ausweichen, die Zugangsdaten auf einem Zettel im Portmonai zu schreiben.

Mit der 2FA würde sich sicherlich auch viele Leute regelmäßig von ihrem Konto aussperren (natürlich müsste die Bank jederzeit wieder zugriff auf die Daten verschaffen können, da diese ja für die Bank lesbar sein müssen, aber wie will man das hinreichend absichern, und was wäre das für ein organisatorischer Aufwand?)

Heutzutage bietet jeder ernstzunehmende Online-Shopping-Merchandiser, Crypto-Börse, "Cloud"-Datenspeicher, E-Mail-Anbieter etc. pp. 2FA an.

 

Keiner dieser Dienste schätze ich so kritisch ein wie mein Bankkonto. Überall habe ich 2FA aktiviert und ein zufälliges, mindestens 20 Zeichen langes Passwort vergeben. Diese sind in einem Passwort-Manager gespeichert, das Risiko sie zu vergessen ist also minimal. Ob das nötig ist oder nicht ist eine andere Diskussion, aber warum muss meine Bank weniger Sicherheit ermöglichen (nicht erzwingen!), als mein E-Mail-Anbieter?

 

Was das mit gerooteten Handys zu tun hat erschließt sich mir nicht ganz. Mein Telefon ist gerootet, um die Sicherheit erhöhen zu können. Ich weiß ganz genau, welche App worauf Zugriff hat, und kann es entsprechend steuern. Welches zusätzliche Risiko sollte 2FA hier aufmachen? Dass eine App theoretisch einen Key auslesen kann, den sie zum jetzigen Stand gar nicht braucht? Ich sehe da die Gefahr nicht.

 

2FA sollte heutzutage Standard sein für alles, was nicht problemlos ersetzbar ist. Und da zähle ich mein Bankkonto nun einmal dazu.

 

Wer es nicht nutzen kann/will, dem bleibt es ja freigestellt, aber ich hätte schon gerne die Möglichkeit.

ehemaliger Nutzer
ohne Rang
0 Beiträge

Hallo zusammen,

 

eine Reaktion von uns erfolgte nicht, da wir bereits hier alles zu diesem Thema gesagt haben. 😉

 

Viele Grüße, Mario

Strawhat

@Zargoras

Natürlich sind Comfort und Sicherheit eher gegensätzlicher Natur, allerdings sollte es dem Kunden überlassen sein wie viel "Comfort" (Unsicherheit) er denn haben möchte. Den Grad des Comfort würde ich zudem immer an den Mindestanforderungen beschreiben.

Bei Passwörtern beispielsweise:

- mind. 8 Zeichen

- 1 Sonderzeichen

- Klein und Großbuchstaben

Ich denke nicht, dass solche Mindestanforderungen den Comfort wesentlich einschränken würden da diese bereits gängige Praxis in der Online-Welt darstellen.

 

Kleiner Hinweis: Bei der comdirect Akademie habe ich ein Passwort mit über 16 Stellen und mehreren Sonderzeichen. Warum ist dies nicht auch beim Banking möglich?

 


@Zargoras  schrieb:

 

Natürlich hätte die Bank am Liebsten Kunden die ihre Pin alle 4 Wochen ändern, aber dazu nötigen wollen sie sicherlich nicht, weil vermutlich 80% und mehr dann Regelmäßig die Pin vergessen, oder letztlich darauf ausweichen, die Zugangsdaten auf einem Zettel im Portmonai zu schreiben.

Die Komplexität eines Passwortes hat nichts mit dem ändern in einem bestimmten Zyklus von z.B . 4 Wochen zu tun.

Unter Komplexität versteht man die länge sowie die Anzahl der verwendbaren Zeichen wie z.B. Groß-, Kleinbuchstaben und Sonderzeichen.

Hier gibt es bereits die immer stärkere werdende Meinung das Komplexität wichtiger als eine zyklische Änderung ist.

Soll heißen: Ein Passwort mit z.B. über 20 Stellen mit Sonderzeichen ist sicher und braucht auch nur sehr selten geändert werden.

 

Wie @VersalEszett erwähnt hat gibt es Passwort Manager die als sicher sind und wo komplexere Passwörter gespeichert werden können ohne das man sich diese merken muss.

 

@Zargoras  schrieb:

Mit der 2FA würde sich sicherlich auch viele Leute regelmäßig von ihrem Konto aussperren (natürlich müsste die Bank jederzeit wieder zugriff auf die Daten verschaffen können, da diese ja für die Bank lesbar sein müssen, aber wie will man das hinreichend absichern, und was wäre das für ein organisatorischer Aufwand?)


Diese Argmentation kann ich in keiner Weise nachvollziehen. 2FA verfahren können z.B. sogenannte One Time Passwörter (OTP) sein. Diese sind meist sechsstellig und können aus einer App wie z.B. dem Google Authenticator abgelesen und beim Login eingetippt werden (wie eine TAN). Ich glaube nicht, dass die Kunden sich hier reihenweise aussperren würden. Auch gibt es bei vielen Seiten die optionale Verwendung eines 2FA Verfahrens somit wäre der Comfort für diejenigen die diesen eher schätzen dennoch gegeben.

 

Zum 3. Punkt:

Der Angriff den ich hier beschrieben habe fällt unter die Kategorie des Phishing. Meist werden die flaschen Apps schnell wieder aus den Stores gelöscht doch gibt es immer ein paar Nutzer die auf diese reinfallen.

 

Für die Manuelle-Installation einer APK ist kein root auf einem Android Handy erforderlich. Man kann die Datei herunterladen, den Hash-Wert überprüfen, auf sein Handy kopieren und installieren.

 

Der wirtschaftliche Aufwand einen Hash-Wert für eine APK zu erstellen ist naja fast null und dauert maximal 30 Sekunden.

 

Auf der Seite https://www.comdirect.de/cms/sicherheit-ssl-protokoll.html

sind bereits Hash-Werte für SSL Zertifikate angegeben. Genau so eine Seite wäre auch für die Apps wünschenswert!

 

Gegen ScreenRecorder und Keylogger helfen übrigens auch Passwort Manager da diese die Passwörter weder anzeigen noch eine Eingabe durch den User erfolgt. 😉

 

Es geht nicht darum ein gewisses Angriffszenario darzustellen sondern dem Kunden den Service zu bieten die Sicherheit erhöhen zu können.

Nicht die Möglichkeit eines komplexen Passwortes sowie einer 2FA zu bieten ist in der heutigen Zeit einfach ein schlechter Service für den Kunden.

 

@Social-Media-Team

Die letzte Anwort des Sozial Media Teams in dem von Ihnen genannten Thread ist vom 21.12.2016. Möchten sie damit andeuten das sich hier in den letzten 2 Jahren nichts verändert hat?

Zudem ist in der Diskussion keine Rede von dem zuletzt angesprochenen Punkt (APK/Hash) zu finden. Es wäre super wenn dazu eine kurze Antwort folgen könnte.

 

Mit freundlichen Grüßen

Strawhat


SMT_Erik
ehemaliger Mitarbeiter
5.305 Beiträge

Hallo @Strawhat,  

 

alle seinerzeit getätigten Aussagen haben weiterhin Bestand. Unsere Apps können derzeit ausschließlich über den Google Play und Apple Store bezogen werden. Daher ist die Bereitstellung von APKs für uns als Thema nicht aktuell.

 

Gruß aus Quickborn

Erik

alexplus
Beobachter
1 Beiträge

Eine (optionale) 2-Faktor-Authentifizierung schränkt den Komfort der Nutzer jetzt in welcher Hinsicht ein? Ich finde die Antworten hier auch wirklich schwach.

 

Es ist 2019. Selbst mein Vater (ca 65), schafft es, die 2FA selbständig einzurichten und zu benutzen.

 

Eine gute Bank muss mit gutem Beispiel in Sachen Sicherheit vorausgehen und 2FA ist nun wirklich ein bereits etabliertes Verfahren, wie es bei Apple, Amazon, Facebook, Google, Instagram, usw. eingesetzt wird.

 

Die Antworten seitens Comdirect sind inhaltlich unprofessionell. Wenn hier nicht mal der Bedarf für Veränderung erkannt wird, möchte ich nicht wissen, wie lax das Thema Sicherheit im Unternehmen gelebt wird. Hier gehört nachgeschult.