comdirect

Das ganze soll das Überweisen vereinfachen?? HAHA! Um einigermaßen wieder sicheres Online-Banking zu machen, habe ich jetzt erstmal die PIN geändert.

Außerdem habe ich das Überweisungslimit auf 0 gesetzt und wenn ich überweisen will, setzte ich es temporär hoch. Somit kann dann keine Überweisung mehr ohne TAN freigegeben werden!

Wessen Konto mit Hilfe einer Rainbow-Table zu knacken ist, hat selber Schuld, wobei ich die Idee mit dem BT für ziemlich aussichtslos halte. Wie lange willst Du es probieren? Ich vermute, dass spätestens nach dem 5-10 erfolglosen Versuch das Konto bis zur Klärung der Lage gesperrt wird. Selbst wenn ich nach 3 Versuchen eine Pause einlege um die Fail-Zähler durch eine legale Anmeldung weider zu resetten, würde es bei einer Länge von 6 Zeichen für das Password inkl. Ziffern und Sonderzeichen vermutlich einige Jahre dauern. Bis dahin sollten die Abwehrsysteme der Comdirect aber wohl schon zugeschlagen haben. 

Das eigentliche Problem verstehe ich aber immer noch nicht. Wie ich schon einmal schrieb gibt es so einen Firlefanz mit TANs im Ausland so gut wir gar nicht (Ist mir bisher nur aus den NL bekannt). 

Warum gibt es bei z. B. Paypal oder Apple-Pay keine TANs? Und warum regt darüber niemand auf? Wieso muss ich am ATM nicht noch zusätzlich eine TAN eingegen wenn ich Geld abhole? Da ist Zugriff noch weniger geschützt als am PC? Eine Plastikkarte und 4 Ziffern reichen um das Konto zu plündern.

Wenn ich niemanden meine Zugangsdaten gebe und mein Password einem BT-Angriff standhält, kann nichts passieren. Für alles andere gibt die es die Sicherheitsgarantie der comdirect. Ich denke, dass die comdirect so ein Versprechen nicht geben würde, wenn es sie (zu) teuer kommen würde.

Hallo Elbblick,

bleibe bei deiner Argumentation doch bitte bei den Fakten. Das Banking Passwort bei der Comdirect darf lediglich aus sechs Zahlen bestehen (Zitat: "Ihre neue PIN muss aus sechs numerischen Zeichen bestehen") - keine Buchstaben, keine Sonderzeichen. Wäre es denn wenigstens so, dass Zahlen, Buchstaben und Sonderzeichen erlaubt wären, würde ich das Problem auch deutlich gelassener sehen, da der Angriffsvektor extrem viel unattraktiver wäre.

Außerdem neigen Menschen dazu einfach zu merkende Passwörter zu nutzen. Das können Geburtstage oder z.B. auch die ersten sechs Stellen von Pi sein. Teste ich solche Passwörter zuerst sind die Erfolgschancen deutlich größer. Ich würde darauf wetten, dass selbst mit 123456 einige Treffer möglich sind.

Es geht hier übrigens auch nicht um Paypal oder Apple-Pay, sondern um die Comdirect. Aber da du es erwähnst: Bei Paypal hat man die Möglichkeit ein beliebig komplexes Passwort zu setzen (z.B. 40 beliebige zufällige Zeichen - mit Bruteforce oder Rainbow Tables aktuell praktisch nicht zu knacken). Außerdem ist dort Zwei-Faktor-Authentifizierung mit dem Handy möglich (was dann quasi der TAN entspricht). Und wenn ich ganz sicher gehen will, kann ich ein Paypal Konto sogar 100% auf Guthabenbasis führen, was das Risiko weiter begrenzt. Nutzt man diese Funktionen, ist Paypal also sogar sicherer als das Comdirect Banking...

Der Vergleich mit der Bankkarte hinkt ebenfalls. Bei einer Bankkarte kann ich nicht automatisiert und über einen längeren Zeitraum PIN-Nummern durchprobieren. Eine verlorene Bankkarte lässt man üblicherweise, sobald dies bemerkt wurde, sperren und ist dazu sogar verpflichtet, was das Zeitfenster deutlich verkleinert. Der angriff auf mein Onlinebanking kann vollkommen unbemerkt über einen längeren Zeitraum erfolgen.

Bei diesen Diskussionen muss ich immer an meine Großmutter denken, die sagte "Ich gehe für meine Bankgeschäfte nur zum Schalter, das ist sicher."

Wie groß waren die Diskussion im Bezug auf onlinebanking, oder banking apps allgemein, beim Bezahlen ohne PIN mit der Kreditkarte...

Diese Diskussion ist im Grunde eine klassische Begleiterscheinung von Neuerungen.

Erstmal ein herzliches Dankeschön an alle, die sich an dieser Diskussion beteiligen. Es zeigt mir, dass das Thema "30 Euro ohne TAN" außer mir auch weiteren Personen nicht "egal" ist.

Fakt ist, dass comdirect ein bislang gültiges Niveau an Onlinesicherheit beim Banking in Richtung "unsicherer" verschoben hat. Ist es wirklich die Absicht der Manager, das Image "unsicherer als voher" bei Kunden und potenziellen Kunden zu verbreiten? Insbesondere in Zeiten von Cyberangriffen und täglichen Pishing-Emails. Selber kann ich nur hoffen, dass die Veranwortlichen bei comdirect den Mut haben, die (zumindest aus meiner Sicht) falsche Entscheidung zu korrigieren. In diesem Zuge ist es natürlich hilfreich, wenn der "social media"- Mitarbeiter der Bank die Entscheidungsträger informiert.

Noch ein Wort zu den gerade von Mitarbeitern der Bank häufig zitierten "Sicherheitsversprechen": Wer trägt die die Beweislast bezüglich grober Fahrlässigkeit? Die Bank oder der Kunde? Ist eine nicht wöchentlich geänderte PIN bereits "grob fahrlässig"? ..... aber diese Debatte wäre gar nicht nötig, würde die Bank nicht "unsicherer" agieren.

@Ingenieur

Ist mir sogar sch... völlig egal.

@Ingenieur

Das Image wird sich von "altbacken" zu "modern und ohne Ballast und Schnickschnack" wandeln. Denn genau das ist der Verzicht von TAN für Kleckerbeträge (bei anderen KI auch gerne als "Peanuts" bezeichnet).

@alle TAN-Verfechter

gibt es eine belastbare und seriöse Quelle für einen Einbruch in ein Konto bei dem der Kontoinhaber nicht selber schuld war weil er auf eine Phishing-Mail oder ähnliches hereingefallen ist? Die Leute, deren Konten angebliche "gehackt" werden, sind vermutlich die gleichen die die PIN auf der Karte notieren oder ihren Kindern oder Partner erlauben die PIN einzugeben.

Da gebe ich dir sicherlich Recht. Jedoch entscheidet eine Bank allein auf der Basis des für SIE wirtschaftlichsten Verfahrens. Und wenn die still heimliche Schadenswiedergutmachung im Durchschnitt geringer ausfällt als die Kosten für umfangreiche Sicherheitsmaßnahmen, dann tendieren alle Banken zu ersterem Verfahren. Das habe ich schon am eigenne Leibe erfahren, die zahlen lieber drauf als kostenspielige Sicherheitsmaßnahmen zu tätigen, weil es eben doch nicht so häufig vorkommt, dass diese Systeme illegal ausgenutzt werden.

Kann man nichts machen

Grundsätzlich gebe ich dir als IT-Fachman aber recht ... ich könnte diese Konten beid er Absicherung auch knacken, wenn ich wollte, ist nicht so komlpiziert. aber wie gesagt, die schauen einfach was für sie billiger ist, Sichherheitssysteme die wirklich funktioieren oder ein wenig Schadenersatz auf dem Kulanzweg. und da ist immer der Kulanzschadensausgleich die geringere finanzille Belastung. Der Kunde hat zwar den Narv, aber da es inzwischen (fast) alle so machen ja auch kaum eine Alternative. - Marktwirtschaft eben 😉

@efasef

Selbst wenn es "nur" sechs Ziffer sind, so sind es doch noch knapp 900.000 mögliche Kombinationen . Da die comdirect eine Bank und keine Grundschul-Webseite ist, gehe ich davon aus, dass Du maximal 6-10 Versuche hast um das Kennwort zu hacken bevor der Zugang gesperrt wird. Also eine Chance von bestenfalls 90.000:1 Ich habe es selber noch nicht ausprobiert und weiß deshalb auch nicht was dann nötig ist um wieder Zugriff auf das Konto zu bekommen.  Aber ein Anruf bei der Hotline ist vermutlich das Mindeste. Um BT-Angriffe zu verhindern wird es sicherlich einige Mechanismen geben, die eine auffällige Anzahl von Fehlversuchen an eine entsprechende Stelle zur Überprüfung und Weiterverfolgung melden.  

Leider wird uns das SMT aus verständlichen Gründen nicht viel sagen können, außer das ich im Prinzip Recht habe und die Technik ständig von internen und externen Spezialisten (wer und was immer das sein mag 😉 ) auf dem akutellen Sicherheitsstand gehalten wird.