Login: PIN-Länge, stärkeres Passwort

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

@sven2  schrieb:

Wenn jemand einen Dump der Kontentransaktionen klauen kann, dann nützt die Garantie wenig. Die Daten sind dann weg.


Das ist bisher wie oft belegbar vorgekommen? Selbst wenn, schön wäre es natürlich nicht ,aber was soll großartig passieren? Der Datendieb zahlt meine Miete? Er kann nachvollziehen, dass ich ohne Murren meinen Rundfunkbeitrag zahle und Mitglied im örtlichen Sportverein bin. Ok er könnte noch feststellen, dass ich in die falschen Aktien investiert haben und den gleichen Fehler vermeiden. 

 


@sven2  schrieb:

Thema 1:1.000.000: gehe mal auf https://sec.hpi.de/ilc/search und schaue auf die Zahl links oben.


Was soll mir das jetzt sagen? Dass es Leute gibt, die so blöd sind und ein Password mehrfach verwenden? Da hilft auch keine Megabit-Verschlüsselung oder ein gesalzener und gepfefferter Hash, sondern nur bittere Erfahrung oder der Holzhammer auf den Hinterkopf.


Ich hoffe, dass es bisher nicht vorgekommen ist. Und damit es weiter nicht vorkommt, plädiere ich für eine möglichst hohe Sicherheit.

 

Über die Transaktionen kommt man an sehr sensible Informationen. Enthalten sind Spenden an politische Organisationen, Zahlungen an Spezial-Anwälte oder Porno-Anbieter, etc. Jedenfalls genügend Information, um Menschen massiv unter Druck zu setzen.

 

Zum Link: Accounts werden aufgebrochen, Daten fließen ab. Und das Oft. Mehr wollte ich gar nicht sagen.

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

Wie ich schon sagte, man kann sich Probleme auch einreden.


Wenn es dich nicht stört, dass Daten von dir im Internet auftauchen, dann ist das dein gutes Recht. Ich will das jedenfalls nicht. Und die (rechnerischen) Risiken sind mir, insbesondere verglichen mit der Sicherheit bei weniger wichtigen Diensten, wesentlich zu hoch.

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

@sven2  schrieb:

 

Zum Link: Accounts werden aufgebrochen, Daten fließen ab. Und das Oft. Mehr wollte ich gar nicht sagen.

Bei der comdirect?

 

 

Keine Angabe
Autor ★
Beiträge: 3
Mitglied seit: 27.01.2019

Sie haben bisher jedes sinnvolle Argument damit abgetan, dass man sich Probleme auch einreden könne. Haben sie auch sinnvolle Gegenargumente oder bleibt es dabei, dass alles, was Ihnen nicht gefällt als "einreden" abgetan wird?

 

Ich hatte oben außerdem schon ausgeführt, warum Überweisungsdaten durchaus sensibel sind: Social engineering. Neben den von @sven2 aufgeführten Daten helfen Überweisungsdaten dabei, sich als jemand anderes auszugeben. Ein kleiner Beispieltext zur Inspiration:

 

"Sehr geehrter Herr XYZ, wir haben Ihre Überweisung am 01.01. über Summe xyz erhalten, aufgrund von ABC müssen wir um eine Nachzahlung in Höhe von xyz bitten. Hier zur Erinnerung noch einmal unsere Kontodaten: ..."

 

Wenn die erste Zahlung an eine seriöse Adresse ging, warum sollte man dann dieser Mail misstrauen, außer dieser seriösen Adresse kann ja niemand von der Überweisung wissen.

Es mag sein, dass Sie auf so etwas nicht hereinfallen. Viele werden das aber tun.

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

Die sinnvollen Argument sind aber alle sehr hypothetisch, zumindest konnte mir hier noch niemand einen glaubhafte Quelle für das Gegenteil nennen. Bis dahin fällt für mich die ganze Diskussion unter "Hätte, hätte, Fahrradkette"

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

@sven2  schrieb:

 

Zum Link: Accounts werden aufgebrochen, Daten fließen ab. Und das Oft. Mehr wollte ich gar nicht sagen.

Bei der comdirect?


Also das Argument ist, dass erst bei der comdirect Accounts aufgemacht werden müssen, damit wir bessere Passwörter benutzen DÜRFEN?

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

Bis dahin fällt für mich die ganze Diskussion unter "Hätte, hätte, Fahrradkette"


Ich möchte an dieser Stelle einfach mal an den Standard verweisen: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf (oder etwas leserlicher aufbereitet: https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/)

 

Daneben reicht eine einfache Suche auf https://scholar.google.de/ nach Schlagworten wie "password security", um haufenweise Sätze wie "The quality of these passwords decides the security strength of these systems." zu finden.

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

@sven2  schrieb:
Also das Argument ist, dass erst bei der comdirect Accounts aufgemacht werden müssen, damit wir bessere Passwörter benutzen DÜRFEN?

Keine besseren (?) Passwörter BRAUCHEN. 

 

Aber ich sehe schon, die Diskussion dreht sich im Kreis. Ich sehe kein Problem mit einem sechstelligen Password und ihr könnt mir kein schlagkräftiges und belegbares Argument dagegen liefern.

 

 

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

Aber ich sehe schon, die Diskussion dreht sich im Kreis. Ich sehe kein Problem mit einem sechstelligen Password und ihr könnt mir kein schlagkräftiges und belegbares Argument dagegen liefern.


Wie soll ein solches Argument denn aussehen? Es geht hier rein um Wahrscheinlichkeiten. Es ist in der Forschungs- und IT-Security-Gemeinde akzeptiert, dass Passwörter mehr Entropie haben sollten, als es sechs Zahlen bieten. Das bieten auch so ziemlich alle namhaften Diensteanbieter an, die allermeisten fordern es sogar bei der Eingabe von neuen Passwörtern.

 

Mit der aktuellen Entropie kann man sogar argumentieren, dass ein relevantes Risiko gibt, dass man aus Versehen im Account eines anderen Kunden landet. Das heißt, dass wenn man bei der Eingabe der eigenen ID einen Fehler macht, und eine Nummer eines anderen Kunden erwischt, hat man eben eine 1:1000000 Chance, drin zu sein. Ich weiß nicht, wie wahrscheinlich das ist, da ich das Schema der Benutzerkennungen nicht kenne. Wenn die Benutzerkennungen nicht zufällig sind, sondern durch inkrementieren bestehender Kennungen entstehen, dann ist das ein nicht mehr unrealistisches Szenario.

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

Da spiele ich doch lieber Lotto oder wette darauf, dass es den Mann im Mond gibt.