am 01.06.2018 14:55
Hallo @Zargoras,
möglich ist es, dass durch Zahlendreher fremde Zugangsnummern gesperrt werden.
Ob dieser durchaus berechtigte Einwand die Umsetzung verhindert, müssen aber zum Glück nicht wir entscheiden. 🙂
Beste Grüße
Jan-Ove
01.06.2018 15:34 - bearbeitet 01.06.2018 15:36
01.06.2018 15:34 - bearbeitet 01.06.2018 15:36
@Zargoras schrieb:
eine 6 Stellige Pin ist in diesem Fall alle male sicher genug, denn man hat nur 3 Versuche, eine Brute Force Attacke ist somit nicht möglich.
Korrektur: Eine BF-Attacke über das Login-Portal ist nicht möglich. Was aber immer außer Acht gelassen wird: Wogegen man sich wirklich schützen möchte, ist ein "Datenreichtum", d.h. jemand erlangt Zugang zu den Datenbanken (oder Teilen davon) und kann dort in aller Ruhe seinen BF fahren. (Sofern die Login-Daten nicht eh im Klartext gespeichert werden...)
am 02.06.2018 23:30
Bei der Löwen-Bank werden doch nur 2 verschiedene Passeôrter (bzw. Teile davon) abgefragt. Das ist schon 2 Faktor?
am 03.06.2018 13:12
Hallo @k_mueller5,
nein, das ist kein 2-Faktor. Zwei Passwörter unterscheiden sich im Ergebnis nicht von einem längeren Passwort.
Gruß,
Necoro
am 03.06.2018 23:44
In der Tat ist das bei der Löwen-Bank noch nicht 2FA. Ich habe das verwechselt, da dort die zwei Schritte zur Anmeldung gibt, was zwar die Sicherheit erhöht, aber immer noch nicht zwei Faktoren bedeutet.
2FA bedeutet die Verwendung von zwei Sachen von Besitz, Wissen und Wesen (im Sinne Charakter). Besitz wäre in diesem Kontext eine Karte, die eingelesen werden muss. Wisse dagegen das Passwort, das nur vom Kontoinhaber gewusst ist. Der letzte Faktor könnte zum Beispiel Fingerabdruck oder Iris- Muster sein.
am 11.07.2018 20:14
(Sofern die Login-Daten nicht eh im Klartext gespeichert werden...)
Hallo @Necoro,
ich würde mir da keine allzu große Hoffnung machen.
Habe es geschafft meine Karte zu Sperre.
Rufe also bei Comdirect an. Schon in der Warteschleife soll ich meine Zugangsnummer und meinen Pin eingeben.
Nachdem ich das nicht getan habe, wollte der Mitarbeiter meine Zugangsnummer und die ersten 5 Zahlen meiner Pin "zur Identifikation".
Demnach geh ich stark davon aus, dass die Pins in Klartext gespeichert werden.
Schönen Gruß
am 12.07.2018 00:30
Und was veranlasst Dich zu Deinem Glauben?
am 12.07.2018 08:14
am 12.07.2018 11:56
ich finde es noch wichtig zu erwähnen, das es immer 5 Stellen sind, nicht die ersten 5 welche Zahl nicht zu nennen ist, ist reiner Zufall.
Wollte das nur nochmal betonen, da bei einer pauschalen aussage der ersten 5 Stellen, gäbe es ja nur 10 Möglichkeiten um die Pin zu vervollständigen.
30.08.2018 21:58 - bearbeitet 31.08.2018 09:57
30.08.2018 21:58 - bearbeitet 31.08.2018 09:57
Hallo zusammen,
ich möchte noch mal unterstreichen, dass die Passwort-Policy von comdirect nicht auf der Höhe der Zeit ist. Folgende Gründe:
1) Die "mir passiert ja nichts"-Policy übertüncht einen großen Makel. Es geht nicht nur um den Diebstahl von Geld, der ja tatsächlich doch einen zweiten Faktor deutlich erschwert wird. Es geht hier auch um Zugang zu persönlichen Daten. Und der Einblick, der in mein Privatleben ermöglicht werden würde, ist sehr tief. Auch das gilt es zu verhindern.
2) Dass der Account nach 3 Versuchen gesperrt wird, ist ja nett. Leider wird mit der Statistik, dass es nur eine 1:160000 Chance gibt, etwas geschummelt. Ich gehe davon aus, dass die comdirect sicher mehr als 160000 Kunden hat. Das heißt, wenn ich ich die selbe PIN mit hinreichend vielen Accounts ausprobiere, bin ich drin. Und kein einziger Account wird gesperrt. Ich kann sogar für jeden Account 2 Pins ausprobieren ohne Sperrung. Und in der Hoffnung, dass der Eigentümer alle paar Wochen auch mal vorbei schaut, kann ich das auch alle paar Monate wieder probieren. Jetzt kann man hoffen, dass das IT Security Team der comdirect nicht komplett untätig ist, und beispielsweise Attacken von nur einer IP schnell erkennt (davon gehe ich aus). Aber wer es ernst meint, und über verteilte Botnetze Angriffe startet, würde eine solche einfache Erkennung deutlich erschweren. Und ich habe leichte Zweifel an Möglichkeiten zur Mustererkennung, insbesondere bei sehr niedrigem Throttling.
Bitte, bitte liebe comdirect ändert eure Passwort-Policy. Die aktuelle ist faktisch eine Katastrophe. Da gibt es nichts schön zu reden. Zumindest die Kunden, die wollen, sollten längere Passwörter nutzen dürfen. Und wenn ihr schon dabei seit, baut bitte TOTP und/oder U2F ein für das Login. Oder mindestens eine PhotoTAN beim Login.
3) Und auch beim Thema HTTPS ist die comdirect alles andere als vorbildlich, siehe https://bankgradesecurity.com/de/comdirect. Man kann von einzelnen getesteten Methoden halten was man will. Aber beispielsweise bei Forward Secrecy habe ich absolut kein Verständnis mehr dafür, dass es nicht schon längst unterstützt wird.
Viele Grüße
*edit: ich habe gerade noch realisiert, dass die Zahl 160000 sich bereits auf 3 Versuche bezog. Also bitte die Zahlen oben durch 500000 ersetzen 😉