Login: PIN-Länge, stärkeres Passwort

Social-Media-Team
Social-Media-Team
Beiträge: 800
Mitglied seit: 04.04.2017

Hallo @Zargoras,

 

möglich ist es, dass durch Zahlendreher fremde Zugangsnummern gesperrt werden.

 

Ob dieser durchaus berechtigte Einwand die Umsetzung verhindert, müssen aber zum Glück nicht wir entscheiden. Smiley (fröhlich)

 

Beste Grüße

Jan-Ove


Ein Beitrag hat dir gefallen? Gib ihm ein „Danke“ - das motiviert!
Experte ★★
Beiträge: 324
Mitglied seit: 05.12.2017

@Zargoras  schrieb:

@Mitoch

 

eine 6 Stellige Pin ist in diesem Fall alle male sicher genug, denn man hat nur 3 Versuche, eine Brute Force Attacke ist somit nicht möglich.

 


Korrektur: Eine BF-Attacke über das Login-Portal ist nicht möglich. Was aber immer außer Acht gelassen wird:  Wogegen man sich wirklich schützen möchte, ist ein "Datenreichtum", d.h. jemand erlangt Zugang zu den Datenbanken (oder Teilen davon) und kann dort in aller Ruhe seinen BF fahren. (Sofern die Login-Daten nicht eh im Klartext gespeichert werden...)

k_mueller5
Autor ★
Beiträge: 6
Mitglied seit: 13.01.2018

Bei der Löwen-Bank werden doch nur 2 verschiedene Passeôrter (bzw. Teile davon) abgefragt. Das ist schon 2 Faktor?

Experte ★★
Beiträge: 324
Mitglied seit: 05.12.2017

Hallo @k_mueller5,

 

nein, das ist kein 2-Faktor. Zwei Passwörter unterscheiden sich im Ergebnis nicht von einem längeren Passwort.

 

Gruß,

Necoro

AdrianW
Autor ★★★
Beiträge: 62
Mitglied seit: 24.05.2017

In der Tat ist das bei der Löwen-Bank noch nicht 2FA. Ich habe das verwechselt, da dort die zwei Schritte zur Anmeldung gibt, was zwar die Sicherheit erhöht, aber immer noch nicht zwei Faktoren bedeutet.

 

2FA bedeutet die Verwendung von zwei Sachen von Besitz, Wissen und Wesen (im Sinne Charakter). Besitz wäre in diesem Kontext eine Karte, die eingelesen werden muss. Wisse dagegen das Passwort, das nur vom Kontoinhaber gewusst ist. Der letzte Faktor könnte zum Beispiel Fingerabdruck oder Iris- Muster sein.

TKO
Autor ★
Beiträge: 3
Mitglied seit: 31.05.2018


(Sofern die Login-Daten nicht eh im Klartext gespeichert werden...)


Hallo @Necoro,

 

ich würde mir da keine allzu große Hoffnung machen.

 

Habe es geschafft meine Karte zu Sperre.

 

Rufe also bei Comdirect an. Schon in der Warteschleife soll ich meine Zugangsnummer und meinen Pin eingeben.

 

Nachdem ich das nicht getan habe, wollte der Mitarbeiter meine Zugangsnummer und die ersten 5 Zahlen meiner Pin "zur Identifikation".

 

Demnach geh ich stark davon aus, dass die Pins in Klartext gespeichert werden.

 

Schönen Gruß

 

Experte ★★★
Beiträge: 736
Mitglied seit: 16.08.2016

@TKO

Und was veranlasst Dich zu Deinem Glauben?

Social-Media-Team
Social-Media-Team
Beiträge: 1131
Mitglied seit: 21.07.2016

Hallo @TKO,

 

die Geheimzahlen werden bei uns nicht im Klartext gespeichert. 

 

Viele Grüße, Mario


Hat dir eine Antwort geholfen? Markiere sie als „hilfreicher Beitrag“. Das hilft allen
Hilfesuchenden.
Mentor ★
Beiträge: 1446
Mitglied seit: 02.08.2016

@TKO

 

ich finde es noch wichtig zu erwähnen, das es immer 5 Stellen sind, nicht die ersten 5 welche Zahl nicht zu nennen ist, ist reiner Zufall.

 

Wollte das nur nochmal betonen, da bei einer pauschalen aussage der ersten 5 Stellen, gäbe es ja nur 10 Möglichkeiten um die Pin zu vervollständigen.

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

Hallo zusammen,

 

ich möchte noch mal unterstreichen, dass die Passwort-Policy von comdirect nicht auf der Höhe der Zeit ist. Folgende Gründe:

 

1) Die "mir passiert ja nichts"-Policy übertüncht einen großen Makel. Es geht nicht nur um den Diebstahl von Geld, der ja tatsächlich doch einen zweiten Faktor deutlich erschwert wird. Es geht hier auch um Zugang zu persönlichen Daten. Und der Einblick, der in mein Privatleben ermöglicht werden würde, ist sehr tief. Auch das gilt es zu verhindern.

 

2) Dass der Account nach 3 Versuchen gesperrt wird, ist ja nett. Leider wird mit der Statistik, dass es nur eine 1:160000 Chance gibt, etwas geschummelt. Ich gehe davon aus, dass die comdirect sicher mehr als 160000 Kunden hat. Das heißt, wenn ich ich die selbe PIN mit hinreichend vielen Accounts ausprobiere, bin ich drin. Und kein einziger Account wird gesperrt. Ich kann sogar für jeden Account 2 Pins ausprobieren ohne Sperrung. Und in der Hoffnung, dass der Eigentümer alle paar Wochen auch mal vorbei schaut, kann ich das auch alle paar Monate wieder probieren. Jetzt kann man hoffen, dass das IT Security Team der comdirect nicht komplett untätig ist, und beispielsweise Attacken von nur einer IP schnell erkennt (davon gehe ich aus). Aber wer es ernst meint, und über verteilte Botnetze Angriffe startet, würde eine solche einfache Erkennung deutlich erschweren. Und ich habe leichte Zweifel an Möglichkeiten zur Mustererkennung, insbesondere bei sehr niedrigem Throttling.

 

Bitte, bitte liebe comdirect ändert eure Passwort-Policy. Die aktuelle ist faktisch eine Katastrophe. Da gibt es nichts schön zu reden. Zumindest die Kunden, die wollen, sollten längere Passwörter nutzen dürfen. Und wenn ihr schon dabei seit, baut bitte TOTP und/oder U2F ein für das Login. Oder mindestens eine PhotoTAN beim Login.

 

3) Und auch beim Thema HTTPS ist die comdirect alles andere als vorbildlich, siehe https://bankgradesecurity.com/de/comdirect. Man kann von einzelnen getesteten Methoden halten was man will. Aber beispielsweise bei Forward Secrecy habe ich absolut kein Verständnis mehr dafür, dass es nicht schon längst unterstützt wird.

 

Viele Grüße

 

*edit: ich habe gerade noch realisiert, dass die Zahl 160000 sich bereits auf 3 Versuche bezog. Also bitte die Zahlen oben durch 500000 ersetzen ;-)