Login: PIN-Länge, stärkeres Passwort

wildcat-wolf
Autor
Beiträge: 2
Mitglied seit: 05.01.2017
"Sicher ist bislang nur, dass die iTAN für Überweisungen aufgrund der PSD2 nicht mehr zulässig sein wird. Wir werden aber alle Kunden rechtzeitig darüber informieren und um einen Wechsel zu photoTAN oder mobileTAN bitten."

Wenn das ITAN-Verfahren schon nicht mehr zulässig sein wird, weshalb wird dann auf zwei weitere sehr unsichere TAN-Verfahren verwiesen; anstelle sich darüber Gedanken zu machen, wie die Sicherheit wirklich zu bewerkstelligen ist !!!
... jeden falls mich beeindrucken die angebotenen TAN-Verfahren von comdirect in keiner Weise ...
Experte ★★★
Beiträge: 529
Mitglied seit: 22.07.2016

Hallo @wildcat-wolf,

magst Du uns verrraten warum Du zum Beispiel die photoTAN als unsicher hälst. 
Es gibt zwar dazu Berichte im Internet die dieses Verfahren geknackt haben aber nur dann wenn Banking App und Photo TAN auf einem Gerät war und auf dem smartphone der Betroffenen musste bereits eine mit Viren infizierte App installiert sein. Siehe hier http://www.sueddeutsche.de/digital/it-sicherheit-mobiles-banking-hacker-knacken-photo-tan-app-1.3208...
Viele Grüße
Eckhard

 

Hunter_I
Autor ★★★
Beiträge: 58
Mitglied seit: 08.10.2016

Hallo,

drei Anmerkungen meinrseits:

1. Das finktioniert nur mit Android Smartphones, weil es nur bei denen möglich ist, überhaut infizierte Apps zu installieren (aus Fremdquellen). Bei Apple ist das aufgrund des geschlossenen Systems über den App-Store nicht möglich.

 

2. Meines Erachtes ist die physische Trennung auf jedenfall erforderlich. Also nicht auf einem Gerät. Mein Comdirect "Fotogerät" :-) liegt nicht nebem dem PC. Und Überweisungen etc. mache ich eh' nur zuhause.

 

3. Überigens ist das der gleiche Firlefanz wie mit diesen Passwort-Managern: Denn verliere ich das Passwort des Passwort-Managers, sind entsprechend auf einen Schlag ALLE weg. Von der Synchonisierung der Passworte über alle Plattformen hinweg ganz zu schweign.

 

Meine 5 Cents.

 

Grüße.

Mitoch
Autor ★
Beiträge: 8
Mitglied seit: 02.04.2018

Nachdem nun 1,5 Jahre auch hier nichts passiert ist: *wann* wird denn die Comdirect in der Gegenwart ankommen, und a) längere/nicht-numerische Passwörter erlauben, und b) endlich die Zwei-Faktoren-Authetifizierung zumindest optional einführen?

Nach >15 Jahren als ansonsten sehr zufriedener Kunde überlege ich, mein Comdirect-Konto sonst bald aufgeben zu müssen. Das Risiko ist einfach zu hoch.

RDF
Autor ★★★
Beiträge: 80
Mitglied seit: 07.01.2017

@Mitochschrieb:

Nachdem nun 1,5 Jahre auch hier nichts passiert ist: *wann* wird denn die Comdirect in der Gegenwart ankommen, und a) längere/nicht-numerische Passwörter erlauben, und b) endlich die Zwei-Faktoren-Authetifizierung zumindest optional einführen?

Nach >15 Jahren als ansonsten sehr zufriedener Kunde überlege ich, mein Comdirect-Konto sonst bald aufgeben zu müssen. Das Risiko ist einfach zu hoch.



Also-- ich kann da kein Verlangen nach immer neuen Erschwernissen und Reglementierungen in der Handhabung meines Kontos verspüren.

ich bin sicher, du kannst nach deinen >15 Jahren -- wie auch ich nicht --keinen einzigen konkreten Fall benennen, wo das gegenwaertige System der codi versagt hat -- oder?

Uberperfektionierung Ihrer selbst willen schlaegt  in Schaden um, weil die Handhabung durch den Anwender (Kunden) immer komplizierter und damit fehleranfaelliger wird. Apropos Kunde-- dieser, in seiner menschlichen Natur bedingten völlig unperfekte Teil des Systems,  ist und bleibt bei jedem noch so komlizierten  Sicherheitssytem der Bank DER große Schwachpunkt im "Gesamtsystem Sicherheit".

 

Gruß

RDF

 

 

 

 

 

 

 

 

 

 

 

 

 

Experte ★★
Beiträge: 465
Mitglied seit: 11.10.2017

@Mitochschrieb:

Nach >15 Jahren als ansonsten sehr zufriedener Kunde überlege ich, mein Comdirect-Konto sonst bald aufgeben zu müssen. Das Risiko ist einfach zu hoch.


Welches Risiko meinst du hier genau? Die Wahrscheinlichkeit, dass das eigene Konto durch Erraten der PIN geknackt wird, ist für den einzelnen Nutzer relativ gering. Bei 6 Ziffern und 3 möglichen Versuchen ist ein Angriff also im Schnitt erst nach ca. 160.000 Versuchen erfolgreich bzw. ein Angreifer bräuchte so viele verschiedene Kontonummern, um im Schnitt einen Treffer zu landen (doppelte PINs erhöhen das Risiko natürlich).

 

Nur selbst wenn die PIN erraten werden sollte, kann der Angreifer ohne TAN-Zugriff trotzdem nur äußerst geringen Schaden anrichten. Geld kann nicht abgehoben werden, das Depot nicht umgeschichtet werden. Allenfalls können private Daten ausgelesen werden. Dafür extra die Bank zu wechseln, erscheint mir ein wenig übertrieben.

 

Viele Grüße

Weinlese

Social-Media-Team
Social-Media-Team
Beiträge: 136
Mitglied seit: 25.07.2017

Hallo @Mitoch,

 

in Bezug auf die Zugangsdaten hat sich bei uns nichts geändert, da sich das Vorgehen mit achtstelliger Zugangsnummer und sechsstelliger PIN bewährt hat.

 

Bislang gibt es daher auch keine Pläne, diese Handhabung zu ändern.

 

Wie @RDF und @Weinlese richtig sagen, ist es eher unwahrscheinlich, die PIN einer anderen Person einfach so zu erraten. Sollte dies wider Erwarten doch passiert sein, ist ohne die Eingabe einer TAN keine Transaktion möglich.  Für einen Schadensfall müssten also neben der Zugangsnummer und der PIN auch die TANs einer anderen Person zugänglich gemacht worden sein.

 

Viele Grüße aus Quickborn

 

Jasmin

Mitoch
Autor ★
Beiträge: 8
Mitglied seit: 02.04.2018

Hallo @SMT_Jasmin,

1. Als möglicherweise erheblichen Schadensfall würde ich es auch bezeichnen, wenn ich keinen Zugriff auf mein Konto mehr habe. Das ist bspw. dann der Fall, wenn eine dritte Person *nur* mein PIN besitzt, und diese dann ändert.

2. Warum warnt die Comdirect auf der LogIn Seite vor Phishing-Emails etc.? Offenbar kommt es ja bereits zu illegalen LogIns von Dritten - auch *weil* keine Zwei-Faktoren-Authetifizierung möglich ist.

3. Deine Antwort bedeutet auch: Die Comdirect Bank ignoriert wissentlich die expliziten Mindeststandards des Bundesamts für Sicherheit in der Informationstechnik (BSI):
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium.html

Dort wird nämlich die Zwei-Faktoren-Authentifizierung für das LogIn ausdrücklich verlangt.

Wenn Du letzteres (3.) kurz bestätigen möchtest, ich würde dann das BSI um Rat bitten, wie bzgl. dieser Problematik vorzugehen ist.
Danke & beste Grüße!

Social-Media-Team
Social-Media-Team
Beiträge: 800
Mitglied seit: 04.04.2017

Hallo @Mitoch,

 

gerne gehen wir auf deine einzelnen Punkte ein.

 

1. Die Änderung deiner Zugangs-PIN ist nur mit einer TAN-Freigabe möglich. Daher kann niemand deine PIN ändern, nur, weil er die aktuelle PIN kennt.

 

2. Die Warnung auf unserer Login-Seite bezieht sich auf die sogenannte "Microsoft-Anrufer"-Masche. Dabei wird dem Kunden vorgegaukelt, dass ein Microsoft-Mitarbeiter sich proaktiv telefonisch meldet, um einen angeblichen Virenbefall auf dem PC des Kunden zu prüfen - Stichwort: Social Engineering. Eine 2-Faktor-Authentifizierung würde auch in diesem Fall nicht helfen.

 

3. Unter der von dir verlinkten Seite konnte ich die erwähnten Mindeststandards leider nicht finden. Kannst du mir die genaue Stelle zeigen? Dann lasse ich diesen Punkt gerne klären.

 

Unterm Strich lässt sich auch vor der Klärung deines 3. Punktes zusammenfassen: Du und deine Kontoverbindung sind bei uns sicher. Neben unseren diversen Sicherungsmaßnahmen geben wir auch noch das Bei-uns-sind-Sie-sicher-Versprechen.

 

Beste Grüße

Jan-Ove


Ein Beitrag hat dir gefallen? Gib ihm ein „Danke“ - das motiviert!
TKO
Autor ★
Beiträge: 3
Mitglied seit: 31.05.2018

Hallo @Mitoch, @SMT_Jan-Ove,

 

Habe gerade erst mein Konto bei der Comdirect eröffnet und wünschte ich hätte das vorher gewusst.

 

Ein 6-stelliges numerisches Passwort ist lächerlich und mit nichts zu rechtfertigen. Ich bin am überlegen mein Konto wieder zu schließen und zur DKB zu wechseln.

 

Beste Grüße