Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Login: PIN-Länge, stärkeres Passwort

Hunter_I
Autor ★★★
59 Beiträge

Hallo,

 

mittlerweile ist ja hinlänglich bekannt, dass ein 6-stelliges rein numerisches Passwort (also die PIN), in keinster Weise mehr den heutigen Sicherheitsstandards entspricht.

 

1. Frage: Kann ich ein längeres, mind. 12-stelliges Passwort erstellen? 

2. Frage: Wird demnächst ein 2-stufiges Autorisierungsverfahren angeboten werden?

 

Herzliche Grüße.

134 ANTWORTEN

SMT_Jan-Ove
ehemaliger Mitarbeiter
4.279 Beiträge

Hallo @Zargoras,

 

möglich ist es, dass durch Zahlendreher fremde Zugangsnummern gesperrt werden.

 

Ob dieser durchaus berechtigte Einwand die Umsetzung verhindert, müssen aber zum Glück nicht wir entscheiden. 🙂

 

Beste Grüße

Jan-Ove

Necoro
Mentor ★
1.070 Beiträge

@Zargoras  schrieb:

@Mitoch

 

eine 6 Stellige Pin ist in diesem Fall alle male sicher genug, denn man hat nur 3 Versuche, eine Brute Force Attacke ist somit nicht möglich.

 


Korrektur: Eine BF-Attacke über das Login-Portal ist nicht möglich. Was aber immer außer Acht gelassen wird:  Wogegen man sich wirklich schützen möchte, ist ein "Datenreichtum", d.h. jemand erlangt Zugang zu den Datenbanken (oder Teilen davon) und kann dort in aller Ruhe seinen BF fahren. (Sofern die Login-Daten nicht eh im Klartext gespeichert werden...)

k_mueller5
Autor ★
6 Beiträge

Bei der Löwen-Bank werden doch nur 2 verschiedene Passeôrter (bzw. Teile davon) abgefragt. Das ist schon 2 Faktor?

Necoro
Mentor ★
1.070 Beiträge

Hallo @k_mueller5,

 

nein, das ist kein 2-Faktor. Zwei Passwörter unterscheiden sich im Ergebnis nicht von einem längeren Passwort.

 

Gruß,

Necoro

AdrianW
Experte
87 Beiträge

In der Tat ist das bei der Löwen-Bank noch nicht 2FA. Ich habe das verwechselt, da dort die zwei Schritte zur Anmeldung gibt, was zwar die Sicherheit erhöht, aber immer noch nicht zwei Faktoren bedeutet.

 

2FA bedeutet die Verwendung von zwei Sachen von Besitz, Wissen und Wesen (im Sinne Charakter). Besitz wäre in diesem Kontext eine Karte, die eingelesen werden muss. Wisse dagegen das Passwort, das nur vom Kontoinhaber gewusst ist. Der letzte Faktor könnte zum Beispiel Fingerabdruck oder Iris- Muster sein.

TKO
Autor ★
3 Beiträge


(Sofern die Login-Daten nicht eh im Klartext gespeichert werden...)


Hallo @Necoro,

 

ich würde mir da keine allzu große Hoffnung machen.

 

Habe es geschafft meine Karte zu Sperre.

 

Rufe also bei Comdirect an. Schon in der Warteschleife soll ich meine Zugangsnummer und meinen Pin eingeben.

 

Nachdem ich das nicht getan habe, wollte der Mitarbeiter meine Zugangsnummer und die ersten 5 Zahlen meiner Pin "zur Identifikation".

 

Demnach geh ich stark davon aus, dass die Pins in Klartext gespeichert werden.

 

Schönen Gruß

 

Goliath74
Mentor ★
1.200 Beiträge

@TKO

Und was veranlasst Dich zu Deinem Glauben?

ehemaliger Nutzer
ohne Rang
0 Beiträge

Hallo @TKO,

 

die Geheimzahlen werden bei uns nicht im Klartext gespeichert. 

 

Viele Grüße, Mario

Zargoras
Mentor ★★
1.528 Beiträge

@TKO

 

ich finde es noch wichtig zu erwähnen, das es immer 5 Stellen sind, nicht die ersten 5 welche Zahl nicht zu nennen ist, ist reiner Zufall.

 

Wollte das nur nochmal betonen, da bei einer pauschalen aussage der ersten 5 Stellen, gäbe es ja nur 10 Möglichkeiten um die Pin zu vervollständigen.

sven2
Autor ★★
20 Beiträge

Hallo zusammen,

 

ich möchte noch mal unterstreichen, dass die Passwort-Policy von comdirect nicht auf der Höhe der Zeit ist. Folgende Gründe:

 

1) Die "mir passiert ja nichts"-Policy übertüncht einen großen Makel. Es geht nicht nur um den Diebstahl von Geld, der ja tatsächlich doch einen zweiten Faktor deutlich erschwert wird. Es geht hier auch um Zugang zu persönlichen Daten. Und der Einblick, der in mein Privatleben ermöglicht werden würde, ist sehr tief. Auch das gilt es zu verhindern.

 

2) Dass der Account nach 3 Versuchen gesperrt wird, ist ja nett. Leider wird mit der Statistik, dass es nur eine 1:160000 Chance gibt, etwas geschummelt. Ich gehe davon aus, dass die comdirect sicher mehr als 160000 Kunden hat. Das heißt, wenn ich ich die selbe PIN mit hinreichend vielen Accounts ausprobiere, bin ich drin. Und kein einziger Account wird gesperrt. Ich kann sogar für jeden Account 2 Pins ausprobieren ohne Sperrung. Und in der Hoffnung, dass der Eigentümer alle paar Wochen auch mal vorbei schaut, kann ich das auch alle paar Monate wieder probieren. Jetzt kann man hoffen, dass das IT Security Team der comdirect nicht komplett untätig ist, und beispielsweise Attacken von nur einer IP schnell erkennt (davon gehe ich aus). Aber wer es ernst meint, und über verteilte Botnetze Angriffe startet, würde eine solche einfache Erkennung deutlich erschweren. Und ich habe leichte Zweifel an Möglichkeiten zur Mustererkennung, insbesondere bei sehr niedrigem Throttling.

 

Bitte, bitte liebe comdirect ändert eure Passwort-Policy. Die aktuelle ist faktisch eine Katastrophe. Da gibt es nichts schön zu reden. Zumindest die Kunden, die wollen, sollten längere Passwörter nutzen dürfen. Und wenn ihr schon dabei seit, baut bitte TOTP und/oder U2F ein für das Login. Oder mindestens eine PhotoTAN beim Login.

 

3) Und auch beim Thema HTTPS ist die comdirect alles andere als vorbildlich, siehe https://bankgradesecurity.com/de/comdirect. Man kann von einzelnen getesteten Methoden halten was man will. Aber beispielsweise bei Forward Secrecy habe ich absolut kein Verständnis mehr dafür, dass es nicht schon längst unterstützt wird.

 

Viele Grüße

 

*edit: ich habe gerade noch realisiert, dass die Zahl 160000 sich bereits auf 3 Versuche bezog. Also bitte die Zahlen oben durch 500000 ersetzen 😉