29.01.2019 12:50 - bearbeitet 29.01.2019 12:56
29.01.2019 12:50 - bearbeitet 29.01.2019 12:56
@Elbblick schrieb:
@Keine Angabe schrieb:was spricht denn dagegen, längere Passwörter zuzulassen?
Was spricht dafür? Ob die Wahrscheinlichkeit das richtig PW durch Ausprobieren herauszubekmmen nun 1:90000 oder 1:100000000 ist, ist doch irrelevant. Nach 3 falschen Versuchen ist Schluß.
Der Passworthash kann zum Beispiel durch eine unsichere Verbindung abgefangen werden oder es kann eine Sicherheitslücke bei comdirect dazu führen, dass alle Hashes abgegriffen werden. Wenn das passiert, kann ein 6-stelliges Passwort innerhalb von Minuten durch den Hashwert herausgefunden werden, ein längeres jedoch nicht.
Das ist meines Erachtens ein ziemlich bedeutender Grund, der dafür spricht.
Auch wenn man dann noch eine Tan braucht, um Überweisungen durchzuführen, so sind die persönlichen Daten, die man im Konto einsehen kann, äußerst sensibel und können zum Beispiel für Social engineering bzw. Identitätsklau verwendet werden.
am 29.01.2019 13:16
In dem Fall hätte die comdirect ein ganz anderes Problem. Außerdem würde dann die Sicherheitsgarantie der comdirect greifen.
Noch weitere 1:1.000.000 Konstruktionen?
am 29.01.2019 13:26
ich denke mal das die comdirect durchaus auch Salt für den Hashwert nutzt, was das ganze erheblich erschweren würde. zudem gibt es eben noch viele weitere Maßnahmen.
Ich sehe das Problem in längeren Passwörtern, das sich leute aus ihrem Konto aussperren würden.
Schließlich wird ständig die Kuh durchs dorf getrieben, das ein Passwort etwaige Bedingungen erfüllen sollte. Das treibt durchaus einige in blinden Aktionismus.
Ein Konto muss aber stets verfügbar sein zudem machen es einem viele Programme möglich die Konto informationen zu bekommen, ohne das Passwort zu nutzen, dann gerät es in vergessenheit...
am 29.01.2019 13:27
Wenn jemand einen Dump der Kontentransaktionen klauen kann, dann nützt die Garantie wenig. Die Daten sind dann weg.
Thema 1:1.000.000: gehe mal auf https://sec.hpi.de/ilc/search und schaue auf die Zahl links oben.
am 29.01.2019 13:42
@sven2 schrieb:Wenn jemand einen Dump der Kontentransaktionen klauen kann, dann nützt die Garantie wenig. Die Daten sind dann weg.
Das ist bisher wie oft belegbar vorgekommen? Selbst wenn, schön wäre es natürlich nicht ,aber was soll großartig passieren? Der Datendieb zahlt meine Miete? Er kann nachvollziehen, dass ich ohne Murren meinen Rundfunkbeitrag zahle und Mitglied im örtlichen Sportverein bin. Ok er könnte noch feststellen, dass ich in die falschen Aktien investiert haben und den gleichen Fehler vermeiden.
@sven2 schrieb:Thema 1:1.000.000: gehe mal auf https://sec.hpi.de/ilc/search und schaue auf die Zahl links oben.
Was soll mir das jetzt sagen? Dass es Leute gibt, die so blöd sind und ein Password mehrfach verwenden? Da hilft auch keine Megabit-Verschlüsselung oder ein gesalzener und gepfefferter Hash, sondern nur bittere Erfahrung oder der Holzhammer auf den Hinterkopf.
am 29.01.2019 16:06
@Elbblick schrieb:Was spricht dafür? Ob die Wahrscheinlichkeit das richtig PW durch Ausprobieren herauszubekmmen nun 1:90000 oder 1:100000000 ist, ist doch irrelevant. Nach 3 falschen Versuchen ist Schluß.
Aber mal eine blöde Idee... dann wäre das System doch anfällig ggü. einer DDOS Attacke, wenn ich einfach hingehen und auf jede Zugangsnr. 3mal draufkloppe?
am 29.01.2019 19:00
@TC_Hessen schrieb:
mal eine blöde Idee... dann wäre das System doch anfällig ggü. einer DDOS Attacke, wenn ich einfach hingehen und auf jede Zugangsnr. 3mal draufkloppe?
OK, dann leg mal los. 2 Millionen Kunden. Bei jedem Kunden hast Du 3 Versuche eine 6stellige PIN herauszufinden. Selbst wenn Du Dir in Darknet ein Botnet mietest, dürfte die comdirect entsprechende Maßnahmen getroffen haben, dass Du an der Aktion nicht viel Spaß haben wirst.
am 30.01.2019 13:46
Zudem wird vergessen, dass zusätzlich ja derjenige auch erstmal die Zugangsnummer kennen muss um mit einem Passwort was anzufangen. Da man zum LogIn ja keinen Username festlegen kann, sondern die Nummer benutzen muss bietet das ja noch zusätzlich einen Schutz.
am 30.01.2019 13:52
@Bl4ckCreep schrieb:Zudem wird vergessen, dass zusätzlich ja derjenige auch erstmal die Zugangsnummer kennen muss um mit einem Passwort was anzufangen. Da man zum LogIn ja keinen Username festlegen kann, sondern die Nummer benutzen muss bietet das ja noch zusätzlich einen Schutz.
Für einen einzelnen Account ist das richtig, aber insgesamt hilft das nicht. Ich denke, dass die Zugangsnummern nicht randomisiert sind, sondern einem Muster folgen. Wenn man mit einem Botnetz und vielen IPs mit geringer Frequenz durch die Nummern iteriert und jedes Mal 3 Pins ausprobiert, dann hat man allein schon mit roher Gewalt eine große Aussicht, mindestens einen Account zu öffnen.
Dazu kommt, dass viele Menschen ihre Benutzernamen nicht als besonders schützenswert ansehen. Das heißt, dass man mit Phishing wahrscheinlich relativ einfach an diese Benutzerkennungen ran kommt.
Mir ist gerade echt schleierhaft, wieso hier manche Menschen für schlechte Passwörter argumentieren. Niemand muss sie benutzen. Aber die Fachwelt ist sich ziemlich einig, dass starke Passwörter und 2-Faktor-Authentifizierung sinnvoll sind.
am 30.01.2019 14:01
Wie ich schon sagte, man kann sich Probleme auch einreden.
Selbst wenn Du es schaffst einen Account zu öffnen, was dann? Du ergötzt Dich an den Umsätzen des Opfers und ärgerst Dich dann, dass Du weniger verdienst. Mehr wirst Du dann aber auch nicht anfangen können. OK, vielleicht noch 5 Überweisungen á 30 € auf Dein Konto...