Login: PIN-Länge, stärkeres Passwort

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

Gibt es eine Statistk über die Zusammenhänge zwischen Passwortlänge und Anrufen bei der Hotline wegen vermeitlich falscher Zugangsdaten? ;-)

Experte ★★
Beiträge: 318
Mitglied seit: 05.12.2017

@Goliath74  schrieb:

@flow706

Schonmal versucht 38 Zeichen über die Telefontastatur einzugeben?

Merkst selbst, oder?

Solange Online und Telefon an den gleichen Zugangsdaten hängt ist die PIN nicht mal eben SOOOOOOOOO einfach zu erweitern.

Mehr sag ich auch nicht zu dem Thema.

Bin weg.


Wobei dies natürlich eine selbstgewählte Einschränkung der CoDi ist, hindert sie ja niemand daran eine eigene Telefon-PIN einzuführen.

Experte ★★★
Beiträge: 529
Mitglied seit: 22.07.2016

Hallo zusammen,

 

ich denke im Laufe des Jahres wird auch die comdirect hier tätig sein bzw etwas neues ausrollen. Denn mit PSD 2 muss ggf. eine "Starke Kundenauthentifizierung" (so heist das in deutsch) durchgeführt werden.

Auszug aus einem  BAFIN Artikel vom15.06.2018
"
Zugriff auf das Online-Konto

Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.

Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen."


Ob das oben zitierte immer noch so Bestand hat ist mir aktuell noch nicht ganz klar da ich keine aktuellen Artikel über die konkrete Umsetzung der Richtline finde. Die meisten sind von Anfang bis Mitte 2018 oder Ende 2017.

 

Lassen wir uns mal überraschen :-)

 

Zum Thema wie sicher ist das Passwort

a) Beim Angriff auf die Webseite mögen 6 Stellen und nach drei  Versuchen ist Schluss ja noch ausreichend sein aber

b) bei einem entwenden der Daten aus dem inneren heraus eher nicht.

Grüße

Eckhard

Experte ★★★
Beiträge: 678
Mitglied seit: 02.12.2017

@Necoro  schrieb:
Wobei dies natürlich eine selbstgewählte Einschränkung der CoDi ist, hindert sie ja niemand daran eine eigene Telefon-PIN einzuführen.

Bei der Briefbank (Name geändert), wo ich mein Girokonto habe, ist das so. Erfolg: Ich wüßte die Telefon-PIN nicht, wenn ich sie irgendwann mal brauchen sollte.

flow706
Entdecker
Beiträge: 5
Mitglied seit: 07.02.2019

Erfolg: Ich wüßte die Telefon-PIN nicht, wenn ich sie irgendwann mal brauchen sollte.

Das ist kein Argument. Und falls doch, plädiere ich dafür alle Passwörter mit dem Vornamen zu belegen. Denn wenn ich irgendwann mal Online-Banking machen will, weiß ich ganz sicher wie mein Passwort lautet und muss mir keine wahllosen Zahlenreihen merken.

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

@flow706  schrieb:
muss mir keine wahllosen Zahlenreihen merken.

Mein Geburtsdatum kann ich mir ganz einfach merken. Das sind sogar 8 Stellen.

 

flow706
Entdecker
Beiträge: 5
Mitglied seit: 07.02.2019

Das sind sogar 8 Stellen.

...die Du leider nicht alle eingeben kannst. Und schon sind wir wieder beim Ausgangsproblem.

 

Experte ★★★
Beiträge: 678
Mitglied seit: 02.12.2017

@flow706: Mir ist nicht so ganz klar, worauf du mit den letzten Beiträgen hinauswillst. Am einfachsten ist es natürlich, gar kein Paßwort und keine PIN abzufragen.

Experte ★★★
Beiträge: 678
Mitglied seit: 02.12.2017

Die Argumente mit der gefühlten Sicherheit und der medialen Aufmerksamkeit finde ich nicht besonders hilfreich. Wenn man nicht versteht, woraus sich (Un-)Sicherheit ergibt, und im Cargo-Kult-Stil zu irgendwo aufgeschnappten Versatzstücken greift (langes Paßwort! Sonderzeichen! wöchentlich ändern!), wird man sich sehr schnell in falscher Sicherheit wiegen.

flow706
Entdecker
Beiträge: 5
Mitglied seit: 07.02.2019

@flow706: Mir ist nicht so ganz klar, worauf du mit den letzten Beiträgen hinauswillst.


Sorry, mein Fehler. Werde beim nächsten Mal Ironie wieder ausdrücklich kennzeichnen.

 


Die Argumente mit der gefühlten Sicherheit und der medialen Aufmerksamkeit finde ich nicht besonders hilfreich.

Nicht besonders hilfreich bei was? Kannst du das präzisieren? Ich denke, es steht außer Frage, dass das Erlangen eines zufriedenstellenden Maßes an gefühlter Sicherheit förderlich für die Kundenbindung ist. Die gefühlte Sicherheit ergibt sich zudem auch aus der medialen Aufmerksamkeit, die das Thema aktuell erfährt.

Zugegeben: Wenn sich die Sicherheit beim Logins auch mit einem 6 stelligem numerischen Passwort und "nach 3x ist Schluss" Mechanismus als "absolut sicher mit ***" bewerten lässt, dann bringt das Verlängern des Passwortes vermutlich keinen unmittelbar technisch relevanten Zuwachs an Sicherheit. (Aber darum ging es mir hier auch gerade nicht - auch wenn mir persönlich die Chance von 1:333333 vergleichsweise zu hoch ist,  mich durch Zufall in ein bekanntes Konto einzuloggen zu können)

 


Wenn man nicht versteht, woraus sich (Un-)Sicherheit ergibt, und im Cargo-Kult-Stil zu irgendwo aufgeschnappten Versatzstücken greift (langes Paßwort! Sonderzeichen! wöchentlich ändern!), wird man sich sehr schnell in falscher Sicherheit wiegen.

Das klingt ja sehr nach Verschwörungstheorie. Als wenn die länge des Passwortes und die Zeichenvielfalt keinen Einfluss auf die Sicherheit hätten. Dass häufiges Wechseln des Passwortes eher nachteilig ist, ist ja inzwischen überwiegend bekannt. Und auch dass Sonderzeichen in einem 6 stelligen Passwort weniger sinnvoll sind als ein 8 stelliges Passwort ohne Sonderzeichen.

Bei der comdirect geht es aber um ein Passwort mit den absoluten minimal Anforderungen. Nochmal: 6 Zeichen, numerisch (0-9), 1 Million Varianten, 3 Versuche

Selbst das DKB-Default-Passwort mit lediglich 5 Zeichen, alphanumerisch (0-9/A-Z/a-z) hat abgerundet 915 Millionen mehr mögliche Kombinationen als das comdirect Passwort .

Ich denke daran sieht man ganz gut, dass Passwortlänge und Anzahl der möglichen Zeichen einen unmittelbaren Einfluss auf sie Sicherheit haben.

Das hat mit Cargo Cult nichts zu tun.

 

Sie haben aber gefragt, wodurch ergibt sich Unsicherheit. Der normale Nutzer, der sich nicht mit technischen Mechanismen auskennt und auch kein Interesse daran hat diese zu verstehen, wird die mediale Präzenz zur Internetsicherheit aufschnappen, vereinfachen und dann an dem festmachen, mit dem er selbst in Kontakt gerät. Das ist in diesem Fall nunmal in erster Hinsicht das Passwort. Länger = besser / Diversität = sicherer. Oder auch dass 2FA besser ist als "1FA".

 

Ist bis hierhin irgendetwas falsch? Dann bitte widerlegen.