comdirect

Hallo,

ich melde mich hier auch mal kurz zu Wort. Ich wollte hier eigentlich einen eigenen Beitrag schreiben, habe mich jedoch dazu entschieden einen alten Kommentar von @nmh zu zitieren. In diesem Thema ging es darum, wieso man keinen Benutzernamen oder die Kontnummer statt der Zugangsnummer für den Login verwenden kann. 

"den Login mittels Zugangsnummer (8-stellig) gibt es bei comdirect, solange ich dabei bin (18 Jahre).

Ich vermute, aus folgendem einfachen Grund kann man nicht seine E-Mail-Adresse oder Kontonummer dazu nutzen. Beides ist einer Reihe von Dritten bekannt, die Kontonummer etwa von Überweisungen oder z.B. von Deinem Briefpapier. Ihr in Berlin habt ja alle goldgerändertes Briefpapier. Kleiner Scherz, sorry. Die Zugangsnummer kennt dagegen außer Dir niemand - ebenso wie Deine PIN. Sicherheitsmerkmal!

Jetzt sagst Du natürlich: Genügt nicht die PIN als Sicherheitsmerkmal? Je nun, die hat nur fünf Stellen. Und wenn sie dreimal falsch eingegeben wird, ist das Konto gesperrt. Wäre der Login mit Kontonummer möglich, könnte man Dein Konto sabotieren, indem man absichtlich dreimal eine falsche PIN eingibt. Das wäre nicht in Deinem Interesse. Mit der Zugangsnummer ist auch das schwer möglich.

In meinem Fall ist die 8-stellige Zugangsnummer nicht schwer zu merken, sie besteht einfach aus meiner Kontostammnummer plus einer Ziffer. Ich weiß aber nicht, ob das bei allen comdirect-Kunden so ist".

Ich möchte mit dem Zitat bloß zeigen, dass die Sicherheit nicht nur durch die PIN und TAN zu Stande kommt. Sondern auch die Zugangsnummer hat einen sicherheits-relevanten Aspekt. Bei den meisten anderen Banken, welche auf Email oder Kontonummer als Login setzen, stellt dies ein Sicherheitsrisiko dar.

Viele Grüße aus München

codibank

@Zargoras

Man kann in dem persönlichen auch den Zeitpunkts des letzten Logins sehen. Dort sollte man hin und wieder mal nachsehen. Dann fällt einem auch auf, wenn der letzte Login durch eine andere Person erfolgt sein muss. Man sollte in diesem Fall natürlich sofort die PIN ändern.

Viele Grüße aus München

codibank 

Hey zusammen,

zunächst mal vielen Dank für die Antworten.

Ich bin ja einverstanden (und will da auch gar nicht diskutieren), dass die Kombination aus unbekannter Zugangsnummer und einem Lockout Mechanismus (nach 3 Fehlversuchen) ein ausreichend hohes Maß an Sicherheit bieten. Zusätzlich sind ja die Transaktionen selbst ja noch via TAN geschützt. 

Auf der anderen Seite geht es hier ja um Online-Banking und damit auch stellenweise um hohe Beträge. 

Es gibt ja vielfältige Angriffstechniken, gegen welche es sich zu schützen gilt. Würde bspw. die Datenbank der comdirect gehackt, ist es bspw. um ein Vielfaches einfacher, ein Klartext-Passwort aus einer 6-stelligen numerischen PIN zu reproduzieren, als aus einem 10-stelligen alphanumerischen Passwort. Gibt es nun einen User dessen TAN-Liste korrumpiert ist, würde eine akute Gefahr bestehen. Natürlich sind solche Szenarien unwahrscheinlich, aber trotzdem auch eine relle Gefahr - nur weil es noch nicht passiert ist, heißt es nicht dass es nicht noch geschieht.

Aber ich will nun auch gar nicht eine Grundsatzdiskussion über Cyber Security vom Zaun brechen, ich wollte lediglich sagen, dass ein stärkeres Passwort ein Baustein (von vielen) bei einem sicheren Account/Zugang ist.

Ich verstehe natürlich, dass die Bank hier abwägen muss, zwischen Benutzbarkeit und Sicherheit.  Klar, wenn man etwas aufpasst (regelmäßig PIN ändern, photoTAN verwenden, Daten nicht weitergeben) sollte man auch keine Probleme bekommen, allerdings würde mich auch zumindest die Option für ein komplexeres Passwort freuen (wer will könnte ja immer noch eine PIN verwenden).

In diesem Sinne, viele Grüße

Flipp

@Flipp

bist du dir sicher, das deine Argumentation bzgl der Passwort länge korrekt ist?

z.B. sind die daten auf einem (nehmen wir mal) iphone mit 6 stelligem Pin code nicht (wirklich) sicherer als auf einem mit 4 stelligem Pin Code, in diesem Fall nur durch sehr viele Umwege wodurch letztlich wieder eine Brute force attacke möglich ist.

der Hashwert hat die gleiche länge bei gleichem Verfahren für alle Kennwort längen, ob es nun die "1" ist oder "jaslL89%7-.AJIO.LKJHJKLÖjhju102=?" wichtig ist einfach nur ein state of the Art hash verfahren.

Ich weis du willst hier keine Diskusion entfachen, aber auch dein Szenario birgt einige fallstricke und zwar, das es an der Stelle der Bank auffallen kann, das dieser Datensatz entwendet wurde, und in folge dessen die Konten neu legitimieren lässt etc.  Somit wäre dies ein Rennen gegen die Zeit.

Auch bei den bösen gibt es immer ein abwägen zwischen kosten und nutzen.

Wenn jemand es auf dein Konto abgesehen hätte, würde das wohl über social engineering funktionieren, und kannst dir ja mal versuchen vor zu stellen was das fürn Aufwand wäre, und was alles nötig wäre, und wenn dieser wirklich klug wäre könnte er es mal schaffen in dein Konto zu schauen, da könnte man vermutlich noch ungescholten davon kommen, da man nicht viele Spuren hinterlassen müsste, und es keine hohe Priorität hätte.

Aber wenn die Datenbank einer Bank komprimmitiert wurde, dann sind da eine vielzahl von Datenforensikern involviert etc. Denke mal mindestens drei bis vier Unabhängige Stellen (Strafverfolgung, Bank, Versicherung und Bafin vermutlich auch noch das BSI) und das kann auch eine Strafverfolgung nicht unter den Tisch kehren.

Ich glaube es ist derzeit einfacher von einer Bank Geld zu klauen als von einem Konto, sofern man ein wenig sicherheitbewusst ist, wenn du auf einer fihing seite dein 6 Stelliges oder dein 100 Stelliges Kennwort eingibst, ist dann auch irrelevant.

@Zargoras

Also was die Sicherheit des Passworts angeht bin ich mir schon ziemlich sicher. 

Dazu einen kurzen Ausflug in die Kryptographie:

Die generelle Funktionsweise ist ja so, dass dein Passwort als Key für die Hash-Funktion verwendet wird. Der daraus generierte Hash wird zusammen mit deinem Nutzernamen in der Datenbank abgelegt. Gibst du beim Anmelden in der Online-Maske nun ein Passwort ein, wird damit der Hash gebildet und geprüft ob er mit dem aus der Datenbank übereinstimmt.

Es ist natürlich so wie du sagst, ein 4-stelliges Passwort ergibt  einen genau so langen Hash wie ein 10-stelliges Passwort (abhängig von der Hash-Funktion, z.B. mit der Länge 128-Bit), dies spielt aber bei der Sicherheit keine Rolle, solange ein geeignetes Hash-Verfahren verwendet wird.

Der reine Hash bringt dem Hacker nämlich zunächst noch gar nichts, sondern er benötigt natürlich das Passwort mit welchem dieser Hash generiert wird.

Hat der Hacker nun (rein hypothetisch) Zugriff auf die Datenbank, bringt ihm das ja erstmal nichts, da er nur die Hashes vorfindet - er kann dann aber auf seinem Rechner versuchen, das Passwort via Brute-Force zu reproduzieren - er kippt also quasi jedes mögliche Passwort in die Hash-Funktion und prüft, ob damit der richtige Hash generiert wird.

An dieser Stelle kommt nun die Komplexität des Passworts ins Spiel:

Nehmen wir zunächst ein genau 6-stelliges, numerisches Passwort an. Dies ergibt 10^6, also 1 Millionen Kombinationen. Diese sind mit einer modernen Rechenmaschine schnell durchprobiert. Selbst wenn der Hacker die genutzte Hash Funktion nicht kennt ist, kann er einfach alle Kombinationen mit allen gängigen Hash-Funktionen durchprobieren. 

Hat er das passende Passwort gefunden, hat er den Zugang.

Nehmen wir nun ein genau 10-stelliges, alpha-numerisches Passwort an, erhalten wir 36^10 Möglichkeiten (3.656.158.440.062.976). Diese Anzahl an Möglichkeiten via Brute-Force zu knacken ist schon ein ganz anderer Aufwand. Erweitert man die Passwortrichtline noch um eine variable Länge und Sonderzeichen wird es ein Ding der Unmöglichkeit.

Insofern wird die Sicherheit durch die Simplizität des Passwortes schon ein Stück weit gefährdet. Natürlich kann man jetzt argumentieren, dem Hacker müsse dazu ja erstmal der Zugriff auf die Datenbank gelingen und die Bank dürfe es nicht mitbekommen. Weiterhin haben wir ja noch die TAN um die eigentlichen Transaktionen abzusichern.

Das stimmt, solange diese Sicherheitsmechanismen auch noch intakt und nicht korrumpiert sind.  Es ist aber naiv davon auszugehen, dass dies immer der Fall ist - es gab und gibt immer wieder spekatuläre Fälle bei welchem das Aushebeln mehrerer Sicherheitsmechanismen gelungen ist.

Schon klar, dass ein Hacker, nur um meinen Kontostand abzurufen keine Berge in Bewegung versetzen wird (wobei Kontostände und Transaktionshistorie nicht unwichtig und auch schützenswert sind). Gelingt es aber einem Hacker weitere Mechanismen auszuhebeln (z.B. infizierter Rechner eines Kunden für einen Man-In-The-Middle Angriff), geht es plötzlich um bares Geld und die Motivation ist eine ganz andere.

Meine persönliche Meinung ist deshalb:

• Das Passwort ist ein einzelner Baustein in einer Reihe von vielen Sicherheitsmechanismen. Jeder dieser Bausteine sollte aber auch optimal genutzt werden um den Ausfall der anderen abzufedern.
• Im Cyber Security Bereich muss man immer auch das Worst-Case Szenario in Betracht ziehen und sich dagegen schützen. Sich also lediglich auf andere Mechanismen zu verlassen kann sich als fatal erweisen.

Ich finde letztendlich, dass die Möglichkeit für komplexere Passwörter nur Vorteile bringt, außer der verringerten Usability für den Kunden.

Für mich wäre dann ein Kompromiss die beste Option -> wer will kann 6-numerische Zeichen wählen,  man ist aber nicht darauf beschränkt und kann auch ein komplexeres Passwort wählen.

Was das Thema Social-Engineering bzw. Phisihing angeht, da gebe ich dir vollkommen recht. Das beste Passwort bringt natürlich nichts, wenn man es auf nicht vertrauenswürdigen Seiten eingibt.

Naja ich finde es persönlich mehr als ausreichend. Ich habe mir am Anfang schwer getan die Zugangsnummer zu merken, aber mittlerweile hab ich sie im Kopf daher stellt das kein Problem mehr für mich dar. Außerdem haben viele Leute nen Standardpasswort für überall, was viel eher rauskommt als eine Pin die sonst so nirgends normal gentutz wird. 

Verglichen mit anderen find ichs hier gut gelöst. 

Nehmen wir jetzt als Beispiel die Sparkasse, da kannst du statt der Zugangsnummer einen Username festlegen und eine 5 stellige Pin. Da die Sparkasse eine viel längere Zugangsnumemr hat nutzt fast jeder dort den Username. Da finde ich zB die Zugangsnummer schützt deutlich eher hier, und dadurch dass sie nicht so ellenlang ist kann man sie sich gut einprägen. 

Noch schlimmer ist es bei der Volksbank/Bank1Saar. Dort legst du nen Username und ein Textpasswort fest. So gut wie jeder nimmt Vorname.Nachname und als Passwort das Standardpasswort für überall. Ja das ist dämlich, aber ich bin mir sicher statistisch gesehen läuft das oft so wenn man Nutzern diese Möglichkeit gibt, weil viele weder Passwort-Manager nutzen noch Lust haben sich ein anderes Passwort zu merken. Ich könnte wahrscheinlich 3/4 der Logins meiner Bekannten dort einfach erraten. 

Gemeinsam haben alle, dass nach 3 Versuchen gesperrt wird. 

Natürlich kann man drüber diskutieren ob man nicht selber Schuld ist wenn man einfach Daten festlegt, und ja ist man, aber ich denke aus Sicht der Bank ist es sinnvoller die Nutzer dann einfach von Anfang an in ein sichereres Verhalten zu "zwingen" indem man eben nicht die Möglichkeit gibt solche Fehler zu machen. Klar, es ist eine EInschränkung für Leute die darauf achten und sich drum kümmern, aber ich glaube diese Gruppe liegt stark in der Unterzahl zu den "1 Passwort für alles"-Menschen. 

Außerdem haben wir ja noch die TAN bei Transaktionen und mit PhotoTAN ein sicheres Verfahren, iTAN wird abgeschafft und SMS-TAN kann man vermeiden und werden durch die Kosten die es bald hat eh viele, daher denke ich man ist ziemlich sicher bei Comdirect. 

Klar kann immer der Fall eintreten, dass alles kompromitiert wird, aber wenn es wirklich jemand schafft alles auf einmal auszuhebeln, dann ist man denke ich bei keiner Bank mehr richtig sicher, denn am Ende setzen alle auf ähnliche Verfahren.