Login: PIN-Länge, stärkeres Passwort

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

Da spiele ich doch lieber Lotto oder wette darauf, dass es den Mann im Mond gibt.


Die Wahrscheinlichkeit 6 richtige im Lotto zu haben ist bei 1:15537573, also Faktor 15 höher. Für den einzelnen Spieler also sehr gering. Aber es gilt das Gesetz der großen Zahlen: bei ganz vielen Tipps / Spielern trifft eben doch ab und zu jemand die richtige Zahl. Und nein, ich ich spiele defintiv kein Lotto.

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

Mein letzten Unterrichsstunden Wahrscheinlichkeitsrechnung liegen schon ein paar Dekaden zurück, aber sind 2 Millionen Kunden mit jeweils 900000 möglichen Passworten nicht mehr als die 1:15.000.000 beim Lotto? Dazu kommt noch die Sperre nach 3 Fehlversuchen. Außerdem kann ich mir gut vorstellen, dass es auch noch weitere Zähler gibt, die das Konto sperren oder zumindest ein paar Lampen angehen lassen, wenn dort etwas verdächtiges festgestellt wird. Wann etwas verdächtig ist, wird uns die comdirect aber aus verständlichen Gründen nicht verraten.

 

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

Mein letzten Unterrichsstunden Wahrscheinlichkeitsrechnung liegen schon ein paar Dekaden zurück, aber sind 2 Millionen Kunden mit jeweils 900000 möglichen Passworten nicht mehr als die 1:15.000.000 beim Lotto? Dazu kommt noch die Sperre nach 3 Fehlversuchen. Außerdem kann ich mir gut vorstellen, dass es auch noch weitere Zähler gibt, die das Konto sperren oder zumindest ein paar Lampen angehen lassen, wenn dort etwas verdächtiges festgestellt wird. Wann etwas verdächtig ist, wird uns die comdirect aber aus verständlichen Gründen nicht verraten.


Meine Benutzerkennung hat 8 Stellen, dazu kommt ein 6 stelliges Passwort. Alles rein aus Zahlen. Das bedeutet, es gibt 10^14 Kombinationen. Wenn es 2 Millionen Kunden gäbe, dann wären 2 Millonen dieser Kombinationen korrekt und würden Zugang zu einem Konto geben. Dann läge die Wahrscheinlichkeit bei 1:5*10^7, oder eben eins zu 50 Millionen.

 

*edit: 6 Richtige im Lotto mit Zusatzzahl haben eine Wahrscheinlichkeit von 1:15Mio. Faktor 3 ist dann auch nicht mehr so viel.

TKO
Autor ★
Beiträge: 3
Mitglied seit: 31.05.2018

Ich möchte mich an dieser Stelle nur mal bei @sven2 bedanke, der hier stundenlang für mehr Sicherheit diskutiert.

Faszinierend wie deine Fakten und Argumente als nichtig/unwahrscheinlich abgetan werden, dabei habe ich noch kein sinnvolles Argument gegen anständige IT-Sicherheit gesehen.

 

Mitoch
Autor ★
Beiträge: 8
Mitglied seit: 02.04.2018

Es gibt ja auch kein vernünftiges Argument gegen längere Passwörter und/oder Zwei-Faktoren-Authentifizierung. Das wissen die Social-Media-Team-Leute netürlich auch. Lässt sich schließlich überall nachlesen. Aber vermutlich wartet Comdirect einfach nur darauf, daß der derzeitige IT-Chef endllich in Rente geht & man im Jahr 2019 ankommen kann. Sehr enttäuschend alles. Aber ab 14. September 2019 gilt die EU-Zahlungs­diens­tericht­linie PSD2. Dann ist die Zwei-Faktoren-Authentifizierung zwingend vorgeschrieben. Auch für Comdirect. 

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

Wenn ich die Beiträge hier richig interpretiere, arbeiten in der IT der comdirect also nur Amateure denen die Sicherheit ihrer Kunden egal ist. Dann wundert es mich doch sehr, dass Ihr hier noch Kunden seid und daneben noch 2 Millionen andere Ahnunglose auch.

 

Was ich dann auch nicht verstehe, warum ist die comdirect dann noch nicht pleite? Wenn es so einfach ist die Konten zu hacken (1:50.000.000 ist ja relativ schnell erledigt), müsste doch irgendwann einmal das Geld ausgehen? Entweder weil die comdirect den Kunden klammheimlich eine Entschädigung zahlt und sich eine Verschwiegenheitserklärung unterschreiben lässt damit nichts nach Außen dringt oder weil die Kunden ihre Gelder abziehen und sichereren Banken transferieren? 

 

Noch eine Frage: wie kommt es, dass die comdirect für ihr unsicheres Zugangsverfahren überhaupt eine Zulassung der BaFin erhalten hat? Oder arbeiten dort auch nur Amateure?

 

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Mitoch  schrieb:

Es gibt ja auch kein vernünftiges Argument gegen längere Passwörter und/oder Zwei-Faktoren-Authentifizierung. Das wissen die Social-Media-Team-Leute netürlich auch. Lässt sich schließlich überall nachlesen. Aber vermutlich wartet Comdirect einfach nur darauf, daß der derzeitige IT-Chef endllich in Rente geht & man im Jahr 2019 ankommen kann. Sehr enttäuschend alles. Aber ab 14. September 2019 gilt die EU-Zahlungs­diens­tericht­linie PSD2. Dann ist die Zwei-Faktoren-Authentifizierung zwingend vorgeschrieben. Auch für Comdirect. 


Ich würde es nicht ganz so garstig formulieren ;-). Ich habe durchaus Verständnis dafür, dass Stabiltität und Konsistenz der Daten eine gewisse Priorität für Banken haben, und daher die Änderung der Datenmodelle eine gewisse Komplexität mit sich bringen kann. Die TSB kann da ein Lied von singen. Aber ja, es ist 2018 und die Passwort-Policy ist schon seit einem gefühlten Jahrzehnt nicht mehr aktuell.

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

Wenn es so einfach ist die Konten zu hacken (1:50.000.000 ist ja relativ schnell erledigt), müsste doch irgendwann einmal das Geld ausgehen?


Nein, das ist nicht einfach, so ist diese Zahl nicht zu deuten. Es geht hier nach dem Gesetz der großen Zahlen darum, dass es zufällig eben doch mal passieren kann.

 

Um ein einzelnes Konto aufzumachen, müsste man viel Zeit investieren, zumindest bei roher Gewalt. Zum Entwenden von Geld ist dann zusätzlich noch eine gültige TAN nötig. Dazu kommt, dass sicherlich der Netzwerkverkehr überwacht wird, und Brute Force Angriffe hoffentlich doch nach einer gewissen Zeit erkannt werden.

 

Dass es schwierig ist, Geld zu entwenden, oder eine größere Anzahl Accounts auf einmal aufzumachen, schließt aber nicht aus, dass eben bei einzelnen Accounts sensible Daten entwendet werden. Ich möchte davon nicht betroffen sein.

Mitoch
Autor ★
Beiträge: 8
Mitglied seit: 02.04.2018

Den Glauben an die Professionalität der BaFin hat doch jeder spätestens 2008 verloren, dachte ich?

Ein Blick auf deren Webseite zum Theman Sicherheit & Online-Banking sagt schon alles:

https://www.bafin.de/dok/7849760

Letztes Update 2005, inhaltlich gefühlt 2005.

Daß z.B. normale TAN-Listen ab Sept. 2019 europaweit verboten sind, hat die BaFin auch noch nicht mitbekommen. Daß Zwei-Faktoren-Authentifizierung bald vorgeschrieben ist, ebenfalls nicht. Noch Fragen?

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

Wenn ich mich nicht irre, ist es woanders ist auch nicht immer besser:

 

DKB: Anmeldename + bisher 5 Ziffern PW, jetzt bis zu 38 Zeichen PW

Consors: Kontonummer + 5 (6?) Ziffern PW

ING: Kontonummer+ 6 Ziffern PW (?)

Postbank: selbstgewählter Benutzername + 6 Ziffern PW

Fidor: E-Mail Adresse + selbstgewähltes PW

N26: ist zu lange her