comdirect

Hi,

1) Sorry, aber das ist einfach ein Hygiene Faktor und gehört dazu.

2) Wenn die comdirect Mails verschlüsselt und innerhalb Deutschlands verschickt wäre das super zu wissen. Für mich ein tolles Feature. Eine Signatur wäre natürlich noch einen Schritt besser!

3) Gebe Dir recht & vielen Dank für den Hinweis. Ich war verwirrt, da es nur die Option TouchID gab. Bei Aktivierung von TouchID funktioniert FaceID aber klasse!

Viele Grüße & vielen Dank,

Jens

Hallo @Jens,

ergänzend zu Punkt 1 noch folgendes:

Zusätzlich zur sechsstelligen PIN müsste ein Angreifer in nur 3 Versuchen ja auch noch die zwei letzten Stellen deiner Zugangsnummer erraten. Wenn er aber deine Zugangsnummer und dein Password durch Hacking herausfinden sollte, nützt dir auch ein langes Password nichts. Wenn er es dennoch schaffen sollte, sich unberechtigt Zugang zu verschaffen, braucht er ja auch noch ein oder mehrere TANs, um Schaden anzurichten. Ich denke, die sechsstellige PIN zusammen mit der Zugangsnummer ist hinreichend sicher.

Ich denke sogar, dass langes Password potentiell unsicherer sein könnte, als eine simple 6 stellige PIN, denn viele Bankkunden wären versucht, dieses lange Password auf Ihrem Rechner abzulegen (z.B. im Passwordmanager), wo es dann durch Schadsoftware gehackt werden könnte. Eine PIN sollte nur im eigenen Hirn existieren, das ist wirklich sicher.

Du solltest auch bedenken, dass man die Zugangsnummer und die PIN auch per Telefon eingeben können muss. Das geht mit einem "wirklich langen Passwörtern" kaum.

Gruß paba

Eine vorhandene Transportverschlüsselung einer Mail kann man bei GMX und Web.de im Webmail auch unabhängig von "E-Mail-made-in-Germany" überprüfen, indem man neben dem Datum der Mail auf "i" klickt und dann die erscheinenden "Erweiterten E-Mail-Information" nach dem ersten vorkommenden Received-from-Header schaut:

Received: from mmout01.comdirect.de ([193.41.135.66]) by mx-ha.gmx.net (mxgmx014 [212.227.15.9]) with ESMTPS (Nemesis) id 1XxDu4-1h7YFb29xx-00eB8h for <xxx@gmx.de>; Wed, 05 Dec 2018 02:17:41 +0100

Hier zeigt das "ESMTPS" eine per TLS verschlüsselte Übertragung der Mail vom Mailserver der comdirect zum Posteingangsserver bei GMX an. Spannend finde ich die weiteren Received-Header, die den Weg einer Mail (hier die Nachricht über einen Finanzreport) innerhalb der comdirect aufzeigen:

Received: from cdmtbp61.de.comdirect.com ([132.10.2.151]) by cdmapp23.office.de.comdirect.com with ESMTP; 05 Dec 2018 02:17:41 +0100

Zum einen erfolgt hier mit "ESMTP" eine unverschlüsselte Übertragung, zum anderen gehört die angegebene IP-Adresse 132.10.2.151 der US Air Force (wer es nachprüfen will: https://whois.arin.net/rest/net/NET-132-10-0-0-1/pft?s=132.10.2.151 ). Ein "Umweg" der Mail über die USA ist aber unwahrscheinlich - vermutlich ist eine Fehlkonfiguration der internen Mailserver der comdirect für diese Fehlinformation verantwortlich - statt einer privaten, im Internet nicht route-baren IP-Adresse hat wohl hier ein Admin bei der comdirect einfach eine existierende IP-Adresse (hier der US Air Force) verwendet in der Annahme, dass dies nach außen ohnehin nicht sichtbar wird.

Da in den von der comdirect versandten E-Mails keine persönlichen Daten enthalten sind, sind die Versandwege der Mail aber eher nicht relevant.

---

@kammann  schrieb:

 

Received: from cdmtbp61.de.comdirect.com ([132.10.2.151]) by cdmapp23.office.de.comdirect.com with ESMTP; 05 Dec 2018 02:17:41 +0100

Zum einen erfolgt hier mit "ESMTP" eine unverschlüsselte Übertragung, zum anderen gehört die angegebene IP-Adresse 132.10.2.151 der US Air Force (wer es nachprüfen will: https://whois.arin.net/rest/net/NET-132-10-0-0-1/pft?s=132.10.2.151 ).  

---

Da wurde wohl eine ganze Range "missbraucht", auch wird beispielsweise die 132.10.2.146 verwendet...

VG,

Jörg

Ja, sieht so aus, als würde intern eine offizielle IP Range benutzt werden, was zwar unschön aber nicht wirklich problematisch ist. Auch daß die interne Kommunikation unverschlüsselt erfolgt, ist kein Problem. Nach extern ist es korrekt:

Received: from mmout01.comdirect.de (mmout01.comdirect.de [193.41.135.66])
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by mail.<MeinServer>.de (Postfix) with ESMTPS
	for <meineEmail@MeinServer>; Mon, 19 Nov 2018 11:40:29 +0100 (CET)

Also ich bin der Meinung das auch interne Kommunikation verschlüsselt gehört.
Ansonsten kann ein Anreifer, wenn er mal drin im System ist schön alles mitlesen.
Ich weiß das macht Aufwand aber State of the Art wäre es nicht, wenn intern kein https oder mail nicht verschlüsselt würde.
Mit freundlichen Grüßen
Eckhard Schnell

Das muß man differenzieren.

1. Traffic zu localhost (ggf. auch intern auf andere Interfaces) braucht nicht verschlüsselt zu werden, das bringt keinen Vorteil, man bleibt ja innerhalb eines Systems
2. Gleiches gilt für Traffic innerhalb eines Hosts, zwischen verschiedenen VMs brauche ich keine Verschlüsselung, ist ein Angreifer drin, dann hab ich eh verloren.
3. Bei Traffic zwischen verschiedenen Lokationen macht Verschlüsselung Sinn, da hier über Infrastruktur gegangen wird, auf die man keinen Einfluß hat.