Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Login: PIN-Länge, stärkeres Passwort

134 ANTWORTEN

sven2
Autor ★★
20 Beiträge

Ich habe jetzt noch mal mit ein paar Datensätzen rumgespielt. Vielleicht lassen diese Zahlen hier ein paar Zweifler umdenken.

 

Aus 41 Millionen 6-stelligen Zahlenpasswörtern, machen die häufigsten 51 Passwortkombinationen bereits ein viertel aller vergebenen Passwörter aus, also grob 10 Millionen. Darunter fallen die Klassiker wie 123456, aber auch sehr interessante Kombinationen, die ich nicht zuordnen kann und deswegen lieber für mich behalte.

 

Weiterer interssanter Fakt: 95% aller Passwörter verteilen sich auf nur ca. die Hälfte aller Kombinationen zwischen 000000 und 999999. Das heißt, von den hypothetischen 1 Mio Möglichkeiten, werden von 95% der Benutzer nur 500 000 genutzt.

 

Das bedeutet, dass die Entropie bedingt durch das Nutzerverhalten bei 6 Zahlen beängstigend niedrig ist. An dieser Stelle helfen längere Passwörter mit strengeren Regeln.

SMT_Philipp
ehemaliger Mitarbeiter
1.562 Beiträge


Hallo @sven2,

 

zum Glück sind die Klassiker wie 123456 oder das eigene Geburtsdatum als PIN bei uns nicht zulässig. 😉

 

 

Schönes Wochenende!

Gruß

Philipp

 


In der Kürze liegt die Wü

sven2
Autor ★★
20 Beiträge

Zun


@SMT_Philipp  schrieb:

 

zum Glück sind die Klassiker wie 123456 oder das eigene Geburtsdatum als PIN bei uns nicht zulässig. 😉

 

Rein rechnerisch macht das die Situation schlimmer, weil der Möglichkeitsraum noch weiter eingeschränkt wird. Jetzt ist die Frage, wie Nutzer damit umgehen. Wenn sie ein Passwort eingeben, das ihnen dann verboten wird, haben sie 2 Optionen: 1) sie nutzen dann einen Zufallsgenerator oder 2) probieren die nächstbeste Kombination, die ihnen gerade einfällt. Ich habe massive Zweifel, dass viele Option 1 nutzen.

sven2
Autor ★★
20 Beiträge

U


@SMT_Philipp  schrieb:


Hallo @sven2,

 

zum Glück sind die Klassiker wie 123456 oder das eigene Geburtsdatum als PIN bei uns nicht zulässig. 😉

 

 

Schönes Wochenende!

Gruß

Philipp

 


Kurzerhand ausprobiert: die zweitdritthäufigste PIN, 123123, wird zugelassen. Die zweithäufigste, 111111, habe ich nicht probiert.

 

Ich habe zunehmend Zweifel, dass hier wirklich durchdachte, zeitgemäße Sicherheitskonzepte existieren.

 

*edit: Beispielsweise könnte bei der PIN Vergabe ein in JavaScript implementierter Zufallszahlengenerator eingebaut sein, dessen Benutzung in einem Begleittext empfohlen wird.

flow706
Autor ★
9 Beiträge



Hallo @SMT_Philipp

Wann genau ist Passwort denn zu einfach aufgebaut?

Gilt ein Passwort mit 3 aufeinanderfolgenden, gleichen Ziffern (000, 111, 222, ...) bereits als sicher? Wenn nicht fallen hier bereits weitere 36910 Passwörter aus der Liste der möglichen Optionen heraus.

Bei vier Stellen wären es nur noch lediglich 2800 Passwörter die wegfallen.

 

Ich verstehe noch immer nicht wieso man als Bank an einem 6-stelligen, numerischem Passwort festhält. Alles "Gegenargumente" zum Trotz. Bei bekannter

Zugangsnummer kann man mit einer Chance von 1:333333 das passende Passwort finden. Reduziert sich die Zahl der möglichen Passwörter, steigt die Wahrscheinlichkeit noch.

Auch wenn es in der Praxis dennoch schwer sein wird, ein passendes Passwort zu erraten: eine Chance von 1:333333 finde ich in der heutigen Zeit erschreckend hoch. 

SMT_Philipp
ehemaliger Mitarbeiter
1.562 Beiträge


Hallo @flow706,

 

hast du in deinen Berechnungen auch berücksichtigt, dass der Kontozugang schon nach der dritten Fehleingabe der PIN gesperrt wird?

 

Viele Grüße

Philipp


In der Kürze liegt die Wü

sven2
Autor ★★
20 Beiträge

@SMT_Philipp  schrieb:


Hallo @flow706,

 

hast du in deinen Berechnungen auch berücksichtigt, dass der Kontozugang schon nach der dritten Fehleingabe der PIN gesperrt wird?

Ja, habe ich. Mindestens in der Form, dass es eine perfekte Angriffsfläche für flächendeckende Denial-of-Service-Attacken von verteilten Botnetzen aus bietet.

 

Ansonsten: ich kann ein und die selbe PIN für alle Zugänge probieren und bin bei 2 Accounts drin, wenn man annimmt, dass es 2 Mio Kunden gibt und nur 1 Mio Passwortkombinationen. Wenn man jetzt glaubt, dass an den Passwortstatistiken was dran ist, und man ein häufiges Passwort probiert, dann wäre man in dutzenden bis [edit]hundertentausenden[/edit]  Accounts.

 

Die Sicherheit steht und fällt gerade mit der Zufälligkeit der Benutzerkennungen. Wenn die rein zufällig sind, dann muss man tatsächlich 1 Milliarde Anfragen an das Kundenportal schicken. Das ist natürlich viel und fällt, wenn das innerhalb von Stunden aufläuft, garantiert im Monitoring auf. So viel traue ich der comdirect auf alle Fälle zu. Aber wenn man Zugriff auf ein Botnet mit mehreren Tausend Nodes in Deutschland hat, dann kann man tatsächlich über mehrere Wochen relativ bequem wahrscheinlich alle Benutzerkennungen ausprobieren.

flow706
Autor ★
9 Beiträge

@sven2  schrieb:

@SMT_Philipp  schrieb:


Hallo @flow706,

 

hast du in deinen Berechnungen auch berücksichtigt, dass der Kontozugang schon nach der dritten Fehleingabe der PIN gesperrt wird?

Ja, habe ich.


😄 Ja habe ich und sven2 offensichtlich auch in einem früheren Post.

(999999 mögliche Passwörter, 3 Versuche, Wahrscheinlichkeit 1:333333)

Ansonsten kann ich sven2 nur zustimmen.

 

Sorry, aber ich kann es nicht oft genug sagen: Umstieg auf alphanumerische Passwörter und man es gibt selbst mit 4 Zeichen schon 60% mehr Passwörter als mit 6 numerischen Zeichen. Und nirgendwo im Netz wird ein 4 stelliges alphanumerisches Passwort verwendet.

 

Was als sicheres Passwort gilt hast du aber leider immernoch nicht beantwortet. Würde mich mal interessieren.

Necoro
Mentor ★
1.070 Beiträge

Hallo @sven2, @flow706,

 

ihr kämpft hier gegen Windmühlen. Die CoDi hat sich entschlossen, den Status Quo so weiterzuführen, Diskussionen und Argumente werden daran nichts ändern. Einzig eine Abstimmung mit den Füßen könnte (genügende Größenordnung vorausgesetzt) vielleicht etwas ändern.

 

Und: Selbst wenn man intern eure Ansicht teilen sollte, wirst du von offizieller Seite nie eine Zustimmung lesen, das wäre auch juristischer Selbstmord.

 

Daher: Wahlweise hinnehmen (so wie ich) oder wechseln.

 

Gruß,

Necoro

flow706
Autor ★
9 Beiträge

Mir ist schon bewusst, dass ein kleiner Forenbeitrag es nicht bis zur Managementebene schafft. Dennoch frustriert mich diese Kurzsicht, auch wenn ich mich schon längst damit abgefunden habe.

Die Passwort-Thematik ist nicht das einzige was mich nervt.

Bei Kontoeröffnung war das Girokonto bei der comdirect durchaus attraktiv. Seitdem wurde in regelmäßigen Abständen der Gürtel enger geschnallt. Sei es dass Barabhebungen nur noch ab 50 EUR möglich sind, oder man nur 3x im Jahr kostenlos Geld einzahlen darf, man nicht mehr kostenlos den Schalter der Commerzbank nutzen kann, oder, oder, oder...

Die Vernachlässigung beim Thema Passwortsicherheit (IMHO) ist da nur ein Tropfen auf den heißen Stein.

Kurz- bis mittelfristig werde ich mir vermutlich was neues suchen. Schade...