Login: PIN-Länge, stärkeres Passwort

Highlighted
Hunter_I
Autor ★★★
Beiträge: 58
Mitglied seit: 08.10.2016

Hallo,

 

mittlerweile ist ja hinlänglich bekannt, dass ein 6-stelliges rein numerisches Passwort (also die PIN), in keinster Weise mehr den heutigen Sicherheitsstandards entspricht.

 

1. Frage: Kann ich ein längeres, mind. 12-stelliges Passwort erstellen? 

2. Frage: Wird demnächst ein 2-stufiges Autorisierungsverfahren angeboten werden?

 

Herzliche Grüße.

3 AKZEPTIERTE LÖSUNGEN
111 ANTWORTEN
Experte ★★★
Beiträge: 529
Mitglied seit: 22.07.2016
Hilfreicher Beitrag

Hallo Hunter_I,

ein 6 stelliges Passwort ist deswegen noch als ausreichend sicher zu betrachten da es nach Dein Konto nach einer dreimaligen Falscheingabe gesperrt wird.

Zu Deiner zweiten Frage bzgl  "2-stufiges Autorisierungsverfahren" kann ich dir nur soviel sagen das durch die EInführung neuer Regelwerke für die Banken "PSD2" so in  2018 wohl eine 2Faktor Authorisierung kommen wird. Daran wird sich dann auch die comdirect bank halten müssen.

Ich vermute mal das Du mit dem zweistufigen die 2Faktor Authorisierung meintest.


Was aber gut wäre wenn die comdirect bank für das Login zu Beispiel optional zusätzliche eine PhotoTan Abfrage machen würde. Das wäre dann schon fast eine 2Faktor Authenfizierung. (Ich weiß in dem zusammenhang gibt es kein fast :-) )

 

Für alle die mit 2Faktor Authentifizierung nichts anfangen können
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung
"

Die Faktoren können sein:[2]

Mit freundlichen Grüßen
Eckhard Schnell

Social-Media-Team
Social-Media-Team
Beiträge: 1131
Mitglied seit: 21.07.2016
Hilfreicher Beitrag

Hallo Hunter_I,  

 

derzeit gibt es keine Planungen, die Passwortlänge zu verändern oder die Zwei-Faktor-Authentifizierung einzuführen.  

 

Wir sind der Meinung, dass der Kontozugang durch die Kombination aus achtstelliger Zugangsnummer und sechsstelliger Geheimzahl ausreichend abgesichert ist. Darüber hinaus wird der Zugang nach drei falschen Versuchen gesperrt.   Und wenn alle Stricke reißen, haben wir auch noch unser "Bei-uns-sind-Sie-sicher-Versprechen".  

 

Viele Grüße, Mario


Hat dir eine Antwort geholfen? Markiere sie als „hilfreicher Beitrag“. Das hilft allen
Hilfesuchenden.
Experte ★★★
Beiträge: 529
Mitglied seit: 22.07.2016
Hilfreicher Beitrag

Hallo Mario,
ich finde Deine Antwort bzgl Zwei-Faktor Authentifzierung mit Verlaub ein  wenig merkwürdig. Mit PSD2 kommt definitiv eine Zwei-Faktor Authentifzierung und Du vermittelt uns mit Deiner Antwort das da nichts in Vorbereitung/Planung ist.
PSD2 kommt Anfang 2018.  EIn Jahr ist für Banken nicht gerade viel Zeit um sich auf neue Regularien umzustellen, siehe die Zeitschiene für SEPA.
Eventuell kannst Du uns ja ja mitteilen was aus eurer Sicht für den Kunden an PSD2 neues kommen kann oder wird. Dann müssen wir Laien nicht dauernd versuchen das bankchinesisch zu verstehen :-)

Grüße nach Quickborn
Eckhard 

Mentor ★
Beiträge: 1446
Mitglied seit: 02.08.2016
@eckhardschnell

Sicher, das es so zu verstehen ist, oder nur eine umschreibung für die bankenüblichen tan verfahren, gibt ja immer noch banken die ein transaktionskennwort verwenden, vielleicht soll das mal verboten werden.
Experte ★★★
Beiträge: 529
Mitglied seit: 22.07.2016

Hallo @Zargoras,

Na was ist schon sicher... , aber schau mail hier

key-features-of-psd2-and-what-they-mean-for-the-payments-industry

 

Insbesondere der Abschnitt über "Customer authentication".

Ein Auszug

"'Strong customer authentication' is defined by the Commission as "a procedure for the validation of the identification of a natural or legal person based on the use of two or more elements categorised as knowledge, possession and inherence that are independent, in that the breach of one does not compromise the reliability of the others and is designed in such a way as to protect the confidentiality of the authentication data". In IT security-speak, this means two-factor authentication"

 

Grüße
Eckhard

crashbone
Autor ★★★
Beiträge: 68
Mitglied seit: 15.08.2016

Ich wollte nur noch anmerken, dass die Sperrung nach 3maliger Falscheingabe das rein numerische kurze Passwort nicht sicherer macht, denn das eigentliche Problem bei der Passwortsicherheit sind ja nicht Scriptkiddies die einfach alles ausprobieren, sondern durch Hacks & Sicherheitsheitslücken entwendete Passwort Hashes. Diese lassen sich eben bei solchen Kennwörtern wunderbar in Sekunden wieder aus Hashes in richtige Kennwörter rückverwandeln.

 

crash

Experte ★★★
Beiträge: 529
Mitglied seit: 22.07.2016
Damit hast Du allerdings recht
Social-Media-Team
Social-Media-Team
Beiträge: 1131
Mitglied seit: 21.07.2016

Hallo Eckhard,

 

in Bezug auf die PSD2 warten wir derzeit noch auf die Konkretisierung der Richtlinie durch die EBA (europäische Bankenaufsichtsbehörde). Erst nach der Veröffentlichung voraussichtlich Ende Januar wissen wir mehr über die Anforderungen z.B. in Bezug auf den Login-Prozess. Wahrscheinlich werden wir dort unter bestimmten Bedingungen neben der PIN auch eine TAN abfragen müssen. Da dies große Einschränkungen bei der Nutzung des Persönlichen Bereichs mit sich bringt (z.B. wenn man nur kurz den Kontostand prüfen will), sind wir hier noch kritisch und hoffen, dass wir am Ende eine für alle Seiten zufriedenstellende Lösung finden werden.

 

Sicher ist bislang nur, dass die iTAN für Überweisungen aufgrund der PSD2 nicht mehr zulässig sein wird. Wir werden aber alle Kunden rechtzeitig darüber informieren und um einen Wechsel zu photoTAN oder mobileTAN bitten.

 

Viele Grüße, Mario


Hat dir eine Antwort geholfen? Markiere sie als „hilfreicher Beitrag“. Das hilft allen
Hilfesuchenden.
Mentor ★
Beiträge: 1446
Mitglied seit: 02.08.2016
An sich kann ich mir das absolut nicht vorstellen, weil das der standardisierten schnittstelle zu wieder wäre, und quasie hbci/fints unmittelbar in die ewigen jagdründe befördern, sowie das online banking wieder in die steinzeit zurück führen (will keiner, da zu umständlich), online banken wären dem untergang geweiht (wer will schon eine bank, bei der er keine möglichkeit hat seinen kontostand zu erfahren, wenn Er keine tan erhalten kann).

Kann mir nicht vorstellen, das es für reine informationszwecke vorgeschrieben wird, bin überzeugt, das die einfach nur eine auftragsabhängige transaktionslegitimation verlangen, also eventuell itan und transaktionskennwörter begraben.