Login: PIN-Länge, stärkeres Passwort

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@Elbblick  schrieb:

N26: ist zu lange her


Dazu gibt es hier eine schöne Anekdote: https://media.ccc.de/v/33c3-7969-shut_up_and_take_my_money

Experte ★
Beiträge: 164
Mitglied seit: 17.08.2018

@Mitoch  schrieb:

Noch Fragen?


Nein, ob der geballten Kompetenz hier im Forum, stelle ich mich lieber in eine Ecke und lausche staunend den erstaunlichen Erkenntnissen der Fachleute. 

 

Experte ★★
Beiträge: 324
Mitglied seit: 05.12.2017

@Elbblick  schrieb:

Wenn ich mich nicht irre, ist es woanders ist auch nicht immer besser:

 

DKB: Anmeldename + bisher 5 Ziffern PW, jetzt bis zu 38 Zeichen PW

Consors: Kontonummer + 5 (6?) Ziffern PW

ING: Kontonummer+ 6 Ziffern PW (?)

Postbank: selbstgewählter Benutzername + 6 Ziffern PW

Fidor: E-Mail Adresse + selbstgewähltes PW

N26: ist zu lange her

 


Nicht ganz:

- Consors: 5 Zeichen; auch nicht so prickelnd

- ING: beliebig(?) lang, und zusätzlich der 6-Stellen-Code aus dem man zufällige Teile abfragt

Wobei das mit diesen Zufallscodes immer usability-technisch mistig ist, kann man nicht so einfach mit nem Passwort-Manager abbilden.

flow706
Autor ★
Beiträge: 8
Mitglied seit: 07.02.2019

Ich verstehe die ganze "6-Zeichen-sind-ausreichend" bzw. "wir-sind-schon-sicher-genug" Argumentationen nicht. Dafür habe ich ehrlich gesagt absolut kein Verständnis.

Es geht hier in erster Linie darum, die maximale mögliche Passwortlänge zu erhöhen. Im einfachsten Fall so wie am Beispiel der DKB: Standardmäßig wird ein 5-6 stelliges Passwort vergeben, wer möchte - und sich damit sicherer fühlt - kann bei einer Passwortänderung bis zu 38 alphanumerische Zeichen eingeben. (2,2 * 10^57 oder 2,2 Nonilliarden Möglichkeiten ohne Sonderzeichen). Der Nutzer hat die Möglichkeit etwas für seine Sicherheit zu tun, wenn ihm das wichtig ist.

 

Dass ein 6-stelliges numerisches (!) Passwort mit max 1 Million Kombinationen in der heutigen Zeit (8 Milliarden geleakte Accounts / Collection #1 bis #5) auch trotz anderer Sicherheitsmaßnahmen als SICHER angesehen werden kann, ist keinem halbwegs technikinteressiertem Kunden mehr vermittelbar. Insbesondere nicht bei einem so sensiblen Thema wie Online-Banking.

 

Zumal es wenig gibt, wie man so einfach die (reale und auch gefühlte) Sicherheit eines Systems erhöhen kann, wie durch die Optimierung der verwendeten bzw. zulässigen Passwörter.

Der technische Aufwand für die Umstellung von aktuell max. 6 numerischen Stellen auf z.B. 30 ALPHAnumerischen Stellen ist in Relation zu anderen aufwändigeren Anpassungen oder Sicherheitsmaßnahmen VERSCHWINDEND GERING. Da kann mir auch keiner was anderes erzählen, zumal sich an den bisherigen Vergabeprozessen von initialen, vergessenen oder neu beantragten Passwörtern absolut nichts ändern muss. Nur wer das will ändert sein Passwort auf >6 Zeichen.

 

Über die Sicherheit des aktuellen Verfahrens auf 9 SEITEN zu diskutieren, um mit löchrigen Argumenten am bestehenden Verfahren festzuhalten halte ich im Hinblick auf den zu erwartenden Aufwand für eine Anpassung für mehr als überzogen.

In Deutschland - in diesen Zeiten - im sensiblen Bereich des Onlinebankings den Kundenwunsch nach mehr Passwortsicherheit kleinzureden ist mehr als fahrlässig!

 

Weniger reden, mehr machen!!! Der Aufwand für die Bank ist gering, das Vertrauen der Kunden in die Sicherheit des Systems steigt und damit wird auch die Kundenbindung gefestigt. Und alle sind Glücklich. Win-Win.

 

Ich verstehe nicht warum man sich als Bank dagegen nur so wehrt...

Experte ★★★
Beiträge: 736
Mitglied seit: 16.08.2016

@flow706

Schonmal versucht 38 Zeichen über die Telefontastatur einzugeben?

Merkst selbst, oder?

Solange Online und Telefon an den gleichen Zugangsdaten hängt ist die PIN nicht mal eben SOOOOOOOOO einfach zu erweitern.

Mehr sag ich auch nicht zu dem Thema.

Bin weg.

Mitoch
Autor ★
Beiträge: 8
Mitglied seit: 02.04.2018

Ja, und damit ist die ING-DiBa eine sichere Online-Bank, anders als Comdirect. Der zweite Sicherheitsschritt (Zufallscodeabfrage) ist mit brute force /automatisiert eben nur sehr schwer zu überwinden. Die Usability ist zwar etwas eingeschränkt, aber das ist nunmal der der Preis für erhöhte Sicherheit. 

Mentor ★
Beiträge: 1277
Mitglied seit: 26.05.2017

Hallo!

 

@flow706  schrieb:

Ich verstehe die ganze "6-Zeichen-sind-ausreichend" bzw. "wir-sind-schon-sicher-genug" Argumentationen nicht.

Das hättest du nicht erwähnen brauchen, es ist offensichtlich, dass du es nicht verstehst.

 

Dass ein 6-stelliges numerisches (!) Passwort mit max 1 Million Kombinationen in der heutigen Zeit (8 Milliarden geleakte Accounts / Collection #1 bis #5) auch trotz anderer Sicherheitsmaßnahmen als SICHER angesehen werden kann, ist keinem halbwegs technikinteressiertem Kunden mehr vermittelbar. Insbesondere nicht bei einem so sensiblen Thema wie Online-Banking.

Bitte unterstelle mir nichts. Ich bin nicht nur "halbwegs techniinteressiert", sondern ich bin selbst im IT-Geschäft unterwegs und habe schon Authentifizierungskonzepte erstellt und implementiert. Und da ging es um wesentlich komplexere Sachverhalte als die simple Bankinggeschichte hier.

 

Die sechsstellige PIN in der jetzigen Form ist sicher. Daran ändern auch (oder insbesondere, weil da überhaupt kein Zusammenhang besteht) die Leaks in der jüngeren Vergangenheit nichts. Andere Banken setzen sogar auf fünfstellige PINs, was auch noch unkritisch ist.

 

Was darüber hinaus geht, ist nur noch gefühlte Sicherheit. Klar, kann im Zweifelsfall nicht schaden, ist aber eben nur nice-to-have.

 

Der technische Aufwand für die Umstellung von aktuell max. 6 numerischen Stellen auf z.B. 30 ALPHAnumerischen Stellen ist in Relation zu anderen aufwändigeren Anpassungen oder Sicherheitsmaßnahmen VERSCHWINDEND GERING. Da kann mir auch keiner was anderes erzählen

Stimmt, der technische Aufwand, dies zu ändern, ist in der Theorie marginal. Was hier aber völlig unterschlagen wird, ist der organisatorische Aufwand. Und der ist aus Sicht von Comdirect - für mich gut nachvollziehbar - gigantisch.

 

Mehr ist dazu nicht zu sagen.

 

baha

Mentor ★
Beiträge: 1277
Mitglied seit: 26.05.2017

@Mitoch  schrieb:

Ja, und damit ist die ING-DiBa eine sichere Online-Bank, anders als Comdirect. Der zweite Sicherheitsschritt (Zufallscodeabfrage) ist mit brute force /automatisiert eben nur sehr schwer zu überwinden. Die Usability ist zwar etwas eingeschränkt, aber das ist nunmal der der Preis für erhöhte Sicherheit. 


Der Login bei Comdirect ist genausowenig mittels Brute Force zu überwinden. Nach dem dritten Fehlversuch ist da nämlich "aus die Maus".

sven2
Autor ★★
Beiträge: 19
Mitglied seit: 30.08.2018

@baha  schrieb:

Die sechsstellige PIN in der jetzigen Form ist sicher. Daran ändern auch (oder insbesondere, weil da überhaupt kein Zusammenhang besteht) die Leaks in der jüngeren Vergangenheit nichts. Andere Banken setzen sogar auf fünfstellige PINs, was auch noch unkritisch ist.

 

Was darüber hinaus geht, ist nur noch gefühlte Sicherheit. Klar, kann im Zweifelsfall nicht schaden, ist aber eben nur nice-to-have.

 

Ich denke nicht, dass man Sicherheit in "sicher" und "nicht sicher" klassifizieren kann. Es geht, wie bereits erwähnt, um Wahrscheinlichkeiten. Und da hat jede Person eine leicht andere Wahrnehmung, ab wann etwas "sicher" ist.

 

Der Leak hat schon etwas mit dem Problem hier zu tun: Nachdem die comdirect nach Vergabe eines Zugangs dazu auffordert, das Passwort zu ändern, werden zumindest einige Nutzer nicht ein zufälliges neues Passwort wählen, sondern Passwörter nach Schematas vergeben. Diese lassen sich statistisch aus den Collections extrahieren. Damit reduziert sich die Entropie der Passwörter noch mal deutlich.

 

Außerdem noch eine andere Sache: Es stimmt nicht, dass ein Zugang nach 3 Versuchen gesperrt wird. Ich habe mich eben nach 4 falschen Versuchen erfolgreich angemeldet. Also wenn, dann wird erst nach einer größeren Anzahl gesperrt. Mein Account war noch nie gesperrt.

 

Dann kommt hinzu, dass die Sperrung von Zugängen nach 3 Fehlversuchen eine perfekte DoS-Attacke liefert. Bei höherer Passwort-Entropie und 2FA könnte man die Anzahl der Versuche deutlich höher ansetzen und somit ein DoS sehr aufwändig machen. Aus 3 Fehlversuchen lässt sich noch schlecht ein Angriff ableiten. Bei dutzenden Versuchen eben schon, sogar sehr gut automatisiert.

 

Außerdem können wir gerne noch mal durchrechnen, wie groß die Wahrscheinlichkeit ist, dass sich jemand einfach aus Versehen in einem falschen Account wiederfindet (Fehler möglich, möget ihr sie finden und korrigieren).

 

[Zufällige Fremdlogins pro Tag] = [Anzahl Kunden]/10^9 * [Logins pro Tag und Person] * [Vertippwahrscheinlichkeit] / [10^6]

Wenn man 2 Mio Kunden annimmt, sich diese ungefährt alle 5 Tage anmelden, mit einer Wahrscheinlichkeit von 0.0001 vertippen (viele speichern die Login-Daten ja im Browser), dann bekommt man eine tägliche Wahrscheinlichkeit von 4*10^-14, dass man einfach so in einem Account landet. Über das Jahr gerechnet ist die Chance schon bei 1:150 Milliarden. Nach 10 Jahren ... naja, das könnt ihr selbst rechnen. Ich persönlich empfinde diese Zahl, da sie ja nur Unfälle und nicht Attacken einbezieht, als beängstigend groß.

 

*edit: ich habe auch keine Benachrichtigung per Mail erhaltne, dass sich jemand nach 4 Fehlversuchen erfolgreich in meinem Konto angemeldet hat. Und ich bin gerade über einen öffentlichen HotSpot verbunden. Also besonders gut ist die comdirect nicht, solche Probleme automatisiert zu erkennen.

 

*edit2: Vielleicht sperrt es doch nach 3, und ich habe mich im ersten Versuch in der Passwort-Länge vertippt. In einem zweiten Testlauf mit 3 Versuchen wurde es jedenfalls gesperrt.

flow706
Autor ★
Beiträge: 8
Mitglied seit: 07.02.2019

Das hättest du nicht erwähnen brauchen, es ist offensichtlich, dass du es nicht verstehst.

Ach wie schön, und im nächsten Satz selber fordern, dass man dir nichts unterstellt. Alles easy, kein Grund persönlich zu werden Smiley (fröhlich)

 

Während du dich in deiner Argumentation größtenteils darauf berufst, dass ein 6-stelliges Passwort in Kombination mit "3x falsch = Ende" beziehe ich mich eher auf die Kundenwahrnehmung. Ich habe niemals behauptet, dass der aktuelle Login nicht ausreichend sicher ist.

Ich kann dir aber aus eigener Erfahrung (mache UX Design und User Centered Design) berichten, dass das Sicherheits-Empfinden bei Endkunden heute ein anderes ist als noch vor 3 Jahren.

 

Was Du beim Thema "gefühlte Sicherheit" als nice-to-have abtust, kann letztlich dazu führen, dass Nutzer sich eher einer Bank zuwenden, bei der das Sicherheitsempfinden größer ist. Was Du als "simple Bankinggeschichte" abtust, ist für den Endkunden ein zentrales & wichtiges Thema. Das Konto ist der zentrale Knotenpunkt für Shopping, Gehalt, Konsum, Familie versorgen!! Gefühlte Sicherheit ist für den Endkunden wichtiger als das real existierende Risiko eines erfolgreichen Hacks. Im Idealfall sind beide gleichermaßen hoch. Dank der medialen Aufmerksamkeit zu Datenleaks und der steigenden Aufklärung zur Passwortsicherheit wirst du trotz vermutlich validen technischen Argumente keinen Endnutzer davon überzeugen, dass das System mit 6 numerischen Zeichen genauso sicher ist wie mit z.B. 12 aplphanumerischen. Fragst du den Nutzer was sicherer ist, weißt Du was er antworten wird. Allein dass wir diese Diskussion hier führen zeigt, dass es ein Interesse an sicheren Passwörtern gibt.

 

Gefühlte Sicherheit sollte von niemandem in dieser Branche unterschätzt werden.

 

Und da mir selbst das Wissen fehlt, würde es mich interessieren, wenn du mir kurz erklären könntest, welchen organisatorische Aufwand Du meinst und warum dieser gigantisch ist. (Ich meine diese Frage ernst ohne jegliche Ironie)