Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Überweisung unter 30 Euro ohne TAN

137 ANTWORTEN

Raphael77
Experte
85 Beiträge

im Grunde doch nichts anderes, als wenn ich Beträge bis 25 Euro mit meiner Karte ohne PIN bezahlen kann. Wo ist der Unterschied?

Ingenieur
Autor
2 Beiträge

Ich kann jrrl122 nur komplett zustimmen. 

Auch ich bin erschüttert, dass ohne Not auf diese Sicherheit verzichtet wird. Das eingeführte PhotoTAN-Verfahren hat sich bewährt und dürfte für die Bank mit kaum Zusatzkosten verbunden sein. Überall werden zweistufige Zugangsverfahren eingeführt: comdirect schafft bewährte Sicherheit ab. Völlig unverständlich!

 

Offensichtlich sind für die Manager der Bank, die diese Entscheidung getroffen haben, € 150 am Tag nur "Peanuts". Für mich als Kunde trifft dies nicht zu.

 

Ich werde mir ernsthaft überlegen, ob ich die Geschäftsbeziehung mit einer Bank, die auf bewährte Sicherheit im Online-Banking zu Lasten der Kunden verzichtet, weiter aufrecht erhalten möchte. Vielleicht denken ja weitere Kunden wie ich.

SMT_Erik
ehemaliger Mitarbeiter
5.305 Beiträge

@Ingenieur  schrieb:
...

Ich werde mir ernsthaft überlegen, ob ich die Geschäftsbeziehung mit einer Bank, die auf bewährte Sicherheit im Online-Banking zu Lasten der Kunden verzichtet, weiter aufrecht erhalten möchte. Vielleicht denken ja weitere Kunden wie ich.


Hallo @Ingenieur und herzlich willkommen in unserer Community!

 

Deine Behauptung ist unzutreffend, denn falls es zu einem Missbrauch der TAN-Freiheit kommen sollte, gilt unser Sicherheitsversprechen

 

Gruß aus Quickborn

Erik

efasef
Autor ★
3 Beiträge
Ich bin ebenfalls extrem verärgert darüber, dass eine solche Funktion einfach eingeführt wurde und sich nicht abschalten lässt. Technisch gesehen wäre dies meiner Einschätzung als Softwareentwickler nach (auch wenn ich keinen Einblick in den Quellcode des Onlinbankings der Comdirect habe) nicht schwierig. Ein Datenbankfeld (30_Euro_ohne_Tan_eingeschaltet: ja/nein) und ein paar Zeilen Quellcode im Überweisungsformular.
 
Die neue Funktion wird auch erst durch folgendes zum wirklichen Problem:
Der Zugang zum Onlinebanking erfolgt aktuell über eine 8-stellige Zugangsnummer und eine PIN, die nur aus Ziffern bestehen und maximal 6 Zeichen lang sein darf. Um einen unbefugten Zugang zum Onlinebanking zu erhalten, müssen somit für jede achtstellige Benutzeridentifikationsnummer lediglich maximal 1.000.000 Passwörter (0 bis 9 ergibt 10 mögliche Zeichen. Bei 6 Zeichen Passwortlänge -> 10^6=1.000.000) durchprobiert werden.
Das klingt zunächst viel, aber über ein Skript automatisiert dürfte das bei einer halbwegs schnellen Internetleitung mit einem x-beliebigen Standard-PC wenige Sekunden bis Minuten dauern. Anschließend könnte ich bequem 150 Euro auf beliebige Konten überweisen und mit der nächsten Benutzer-ID weitermachen.
 
Teste ich nun gezielt zuerst Zahlenkombinationen, die möglichen Geburtstags-/Hochzeitsdaten usw. entsprechen, verringere ich den Aufwand auf einige tausend Kombinationen und habe mit Sicherheit schon eine Menge Treffer.
 
Ehrlichgesagt wundert es mich, das dies nicht bereits ausgenutzt wird. Finden sie wirklich das dies "sicher" ist? Bisher konnte ich mit diesem Sicherheitsmangel zähneknirschend leben, weil ein Angreifer im schlimmsten Fall meine Kontostände und Bewegungen sehen konnte (was schlimm genug ist). Da es bisher, durch die Absicherung aller Transaktionen mit TAN, nicht möglich war Geldtransfers zu veranlassen.
Hier wurde meiner Meinung nach eine massive Sicherheitslücke künstlich erschaffen. Sicherheitsversprechen hin oder her - sicher ist das in der aktuellen Form nicht. Durch diese Änderung darf ich jetzt jeden Tag mein Konto prüfen, ob denn schon jemand mit genug krimineller Energie sich an meinem Konto zu schaffen gemacht hat und ich kann es noch nicht einmal dadurch erschweren, dass ich ein komplexeres Kennwort benutzen kann, denn die Comdirect begrenzt ja  künstlich auf 6 Ziffern...
 
Von mir aus kann die Comdirect es ihren Kunden gerne ermöglichen solche Funktionen zu nutzen, aber doch bitte abschaltbar. Mir ist es gleichgültig, wenn es jemand als sicher genug erachtet eine 6 stellige PIN zu nutzen und TANs auszuschalten.
Ich möchte jedoch gerne die Sicherheit beim Onlinebanking so stark wie nur möglich erhöhen. Und da ist es geradezu absurd, dass ich auf kurze Passwörter beschränkt werde und keine TANs mehr eingeben darf. Wo wäre denn das Problem daran mir zu ermöglichen ein 30-stelliges Passwort mit Buchstaben, Zahlen und Sonderzeichen zu nutzen? Auch hier ist das sicher keine technische Einschränkung, die das verhindert. Von mir aus auch gerne so gestaltet, dass es weiterhin möglich ist sich mit einer sechsstelligen Zahlenkombination einzuloggen, aber doch nicht darauf begrenzt.
 
Ich schließe mich Ingenieur an: Sollte die Comdirect nicht zeitnah ihre Strategie in Sachen Sicherheit beim Onlinebanking überdenken und wenigstens lange Kennwörter ermöglichen, werde ich die Bank wechseln. Andere Banken ermöglichen nämlich beliebig lange Kennwörter

Schlaumax
Experte ★
164 Beiträge

Hallo @efasef,

 

ach herrje, jetzt geht diese Debatte schon wieder von vorne los... 😒 Glaubst du wirklich, dass die Codi so blöd ist, es Angreifern so einfach zu machen, den Kunden Geld zu klauen? Sorry, aber diese Diskussion ist hier schon mehrfach geführt worden.

 

Deine ganze Theorie ist wertlos, weil nach drei Falscheingaben der PIN der Zugang zum Konto gesperrt wird. Diese Sperre kann nur schriftlich durch den Inhaber der Zugangsdaten wieder aufgehoben werden. Das ist ein sicheres Verfahren.

 

Erläutert der Schlaumax

 

P.S.

Ach ja, das hab ich glatt vergessen... Willkommen in unserer Community! Smiley (zwinkernd) Übrigens wenn du dich trotz des Sicherheitsversprechens der Codi absichern willst, hier findest du meine Idee dazu.

Wissen ist Macht. Nichts wissen, macht auch nix.

Necoro
Mentor ★
1.070 Beiträge

@efasef  schrieb:
Wo wäre denn das Problem daran mir zu ermöglichen ein 30-stelliges Passwort mit Buchstaben, Zahlen und Sonderzeichen zu nutzen? Auch hier ist das sicher keine technische Einschränkung, die das verhindert.

Never underestimate the limitations of a large COBOL system!

 

Sollte das Passwort irgendwo in den Tiefen einer Struktur auftauchen, will man dort  (mangels Refactoringsupport und Compilersauberkeit) sicherlich nix an der Größe ändern. Die Wahrscheinlichkeit an unbeabsichtigten Stellen nur noch Speichermüll zu produzieren ist zu groß...

Findbhair
Autor ★★★
70 Beiträge

Man muß nur nach jede(r/n) regulären Überweisung(en) maximal 4 weitere Überweisungen in Höhe von bspw. 1 Cent auf das Konto eines Freundes oder Ehepartners vornehmen, um den TAN-Schutz wieder zu aktivieren. Da man ja heute kaum noch Überweisungen macht, ist das ein kleiner Aufwand, den man schnell mal machen kann um der Sicherheit willen. 😉

Elbblick
Experte ★★★
657 Beiträge

Man kann auch mit Kanonen auf Spatzen schießen oder sich einen Aluhut aufsetzten.

Findbhair
Autor ★★★
70 Beiträge

Ja, auch wenn ihr Spacken es immer nicht glauben wollt, aber für viele Menschen in Deutschalnd sind 150€ sehr viel Geld. Dessen Verlust man nicht mal so eben verkraften kann.

efasef
Autor ★
3 Beiträge

OK, nochmal:

Ich arbeite in einem Bereich wo es um IT-Sicherheit geht und im Normalfall werden selbst DEUTLICH unkritischere Systeme besser abgesichert. Und wie gesagt habe ich kein Problem damit, wenn die Comdirect ihren Kunden von mir aus auch erlaubt Überweisungen komplett ohne TAN durchzuführen, aber doch bitte nicht erzwungenermaßen.

Und ich bin mir sehr sicher, dass man auch wenn ein Brute-Force-Schutz implementiert sein sollte (ich möchte das jetzt nicht testen), innerhalb weniger Wochen dutzende Konten knacken könnte, da dermaßen schwache Passwörter erlaubt sind. Wie? Indem man z.B. Tabellen mit den wahrscheinlichsten Passwörtern durchgeht und einfach nur alle paar Tage einen Loginversuch macht. Im Internet operierende Kriminelle sind auch nicht dämlich und wenn es was zu holen gibt durchaus auch geduldig. Das sind keine verwirrten Fantasien eines Aluhut tragenden Verrückten, wie es hier teilweise unterstellt wird (was ich im übrigen als unverschämt empfinde...), sondern das ist Realität.

 

Und ja, Workarounds wie das Überweisungslimit auf 0 zu setzen funktionieren. Es wäre aber auch einfach möglich die IT Sicherheit ernst zu nehmen und nicht immer weiter auszuhölen, so wie es hier gemacht wird. Ich sehe es so, dass meine Bank sich darum kümmern sollte das Online-Banking so sicher wie nur möglich zu gestalten und nicht das Gegenteil zu tun. Es kann nicht sein, dass ich als Kunde anfangen muss bestimmte Sicherheitsfunktionen (die dafür nicht gedacht sind) zweckentfremdet einzusetzen, nur um ein vernünftiges Sicherheitslevel zu bekommen, das vollkommen grundlos abgesenkt wird.

 

Allerdings habe ich mir inzwischen einige andere Themen hier in der Community durchgelesen und habe langsam den Eindruck, dass die Comdirect allgemein Sicherheitbedenken lieber mit Werbephrasen begegnet, als dahingehend tätig zu werden. Für mich persönlich ist das unverständlich.