comdirect

Hallo @Marten68, hallo Community,

du übertreibst vielleicht sogar gezielt die Angst vor unberechtigtem Einloggen! Zwei Communaut:innen (m/w/d) hatten dir unabhängig voneinander vorgerechnet, dass sowohl bei der statistischen Berechnung "Ziehung mit Zurücklegen", als auch "Ziehen ohne Zurücklegen" in etwa die Wahrscheinlichkeit 3 durch 1 Million herauskommt. 

Natürlich sind die bereits 2006 begonnen Versuche ein "Zahlenwechsel-Teil" am Markt zu platzieren oder ein weiteres Gadget zur Authentifizierung zu platzieren aus Unternehmersicht faszinierend. Einmal eingeführt ist das Kundenbindung pur. Und dann kann die Preisschraube gedreht werden quiiiiiiiiiiiiiiiietsch. 

Leider vergisst dein Beitrag, dass jedes (!) Konto nach 3 Versuchen blockiert ist. Also bringt es für den Hacker gar nichts, auf die nächste Zugangsnummer zu springen. Zumal du auch die weiteren verborgenen Sicherheitsmerkmale nicht kennst oder siehst.

---

@Marten68  schrieb:

Die Antwort dass man nur in 3 von 1 Millionen Versuchen Erfolg habe ist natürlich nicht ganz richtig.

Viele User nutzen Geburtdaten oder Jahre als Pin. Ein Knackprogramm weiß das und wählt zunächst zum Raten Werte die Datums entsprechen kann. z.b. 120773   oder 730830. Der Erwartungsraum ist natürlich kleiner. Lass es im pessimistischen Fall also eventuell eine Warscheinlichkeit sein von 30 zu  1 Millionen. Mache Banken schließen dann auch noch leicht zu erratende Pins aus wie 000000 oder 123456, das bemerken die Knackprogramme nach einer Weile auch und wählen dann solche dann eher nicht.

Das Risiko ist also trotzem minimal insbesondere weil man nicht ohne 2. Faktor innerhalb des Online-Bankins an die Postbox oder die

 

Im Übrigen würde ein automatisiertes Knackprogramm aus dem Internet, wenn es denn bei einem Konto scheitert durch 3malige Falscheingabe scheitert, einfach die Kontonummer um eins erhöhen und es beim nächsten Konto versuchen.  Irgendwann würde es 6 stellige Pins von beliebigen Kontonummern dann doch erraten...

 

!!!! Darum beim Einloggen immer auf die letzte Aktion schauen. (wird prominent eingeblendet) !!!!

!!!! PRÜFE: War ich das selbst !!!!

 

Meine Empfehlung an die Comdirect:

- Forciert den 2. Faktor bereits beim Einloggen und nicht erst beim Zugriff auf Postbox oder persönlichen Daten (eventuell Abschaltbar für die die das nicht wollen)

- schickt sofort an die Email-Adresse oder SMS eine Kontakt-Nachricht, falls ein Passwort falsch eingegeben wurde.

- schickt sofort eine Benachrichtigung wenn das Einloggen von einer neuen IP-Adresse (bzw. neuem Gerät) erfogt ist

 

 

 

 

---

Meine  Empfehlung ist für comdirect sich einfach für den Vorschlag zu bedanken und diesen dann in die Rundablage zu legen. Das Ganze kommt mir in etwa so realitätsnah vor wie der "IT-Experte", der meinte eine  Kombination aus Nachname und PNR bei Flugreservierungen als unsicher bezeichnen zu können. Weil er mitten in der Nacht hintereinander drei Reservierungen vorgenommen habe und  meinte zu entdecken, der PNR-Identifier wäre fortlaufend.

Er konnte den PNR-Identifier der mittleren dieser drei Reservierungen auf den gleichen Namen wohl nur deshalb erraten, weil er mitten in der Nacht innerhalb weniger Sekunden drei Reservierungen abgeschickt hat. Dann trat er im Fernsehen mit dieser Erkenntnis auf, jedoch nur einmal. Schon in der nächsten Stunde war er weg. 

Die Datenbank der PNRs hat dann die kleine Verbesserung vorgenommen, dass man sich registrieren muß, um die Daten abzurufen. So können Hotels, Limousinen-Fahrer etc. die Informationen weiterhin abrufen. Was insbesondere im November wichtig sein kann, wenn Schnee und Eis zu Verspätungen führen.

Deshalb: Bitte nicht übertreiben und die Kirche im Dorf lassen. Auch wenn ich verstehe, dass eine Gadget-begeisterte Kundschaft es möglichst kompliziert haben möchte. Anders sind ja auch die Milliardenbewertungen einiger Tech-Unternehmen nicht zu erklären. Deshalb  bleibe ich langfristig weiterhin bullish für Alphabet/Google - dann hat dieser Beitragsbaum noch mehr Nutzwert.

Ob sich "Orb" durchsetzen wird wird daran liegen, ob man eine Regierung als Großkunden  gewinnen kann.

Liebe  Grüße 

Gluecksdrache

---

@Marten68  schrieb:

Die Antwort dass man nur in 3 von 1 Millionen Versuchen Erfolg habe ist natürlich nicht ganz richtig.

Viele User nutzen Geburtdaten oder Jahre als Pin. Ein Knackprogramm weiß das und wählt zunächst zum Raten Werte die Datums entsprechen kann. z.b. 120773   oder 730830. Der Erwartungsraum ist natürlich kleiner. Lass es im pessimistischen Fall also eventuell eine Warscheinlichkeit sein von 30 zu  1 Millionen. Mache Banken schließen dann auch noch leicht zu erratende Pins aus wie 000000 oder 123456, das bemerken die Knackprogramme nach einer Weile auch und wählen dann solche dann eher nicht.

Das Risiko ist also trotzem minimal insbesondere weil man nicht ohne 2. Faktor innerhalb des Online-Bankins an die Postbox oder die

 

Im Übrigen würde ein automatisiertes Knackprogramm aus dem Internet, wenn es denn bei einem Konto scheitert durch 3malige Falscheingabe scheitert, einfach die Kontonummer um eins erhöhen und es beim nächsten Konto versuchen.  Irgendwann würde es 6 stellige Pins von beliebigen Kontonummern dann doch erraten...

 

---

Eigentlich ist zu dem Thema schon alles gesagt worden. Aber diese Aussagen möchte ich trotzdem nicht unkommentiert lassen, da sie Falschannahmen im Bereich IT-Sicherheit enthalten:

- Ein "Knackprogramm" (ist das ein Verwandter der Knackwurst?) "weiß" gar nichts, schon gar keine Geburtsdaten von Nutzern. Das Programm spult stumpf Zahlenreihen ab. Wenn jemand an das Geburtsdatum inkl. Zugangsnummer gelangt ist, dürfte das eher ein Fall von Social Engineering sein. In dem Fall liegt die Sicherheitslücke beim Nutzer selbst und ist dann unabhängig von der Login-Systematik der comdirect.

- Ein Programm "bemerkt" nicht, welche Zahlrenreihen die comdirect als Passwort ausgeschlossen hat. Das Programm bekommt lediglich die Rückmeldung, dass der Login-Versuch fehlgeschlagen ist. Der Grund ist nicht bekannt. Der Angreifer kann manuell bestimmte Zahlenkombinationen auschließen; müsste dazu aber wissen, welche es sind.

- Wenn das Programm nach drei Fehlversuchen eine Nutzernummer weiterspringt, bleiben die Wahrscheinlichkeiten trotzdem die gleichen. Hierzu gibt es in der Wahrscheinlichkeitsrechnung anschauliche Beispiele mit Würfeln oder ähnlichen.

- Die Aussage "Irgendwann würde es 6 stellige Pins von beliebigen Kontonummern dann doch erraten" ist mathematisch nicht haltbar. Man knackt übrigens auch nicht irgendwann den Lottojackpot, wenn man nur oft genug spielt.

Ich gebe dir aber in der Hinsicht Recht, dass eine 2FA beim Login (= TAN) prinzipiell immer Sinn macht und es mich verwundert, warum ausgerechnet Banken dies noch nicht zwangsweise eingeführt haben bzw. regulatorisch dazu verdonnert wurden (nicht, dass ich es mir unbedingt wünschen würde...). Wobei man ohne TAN im Login-Bereich auch jetzt schon nur beobachten und nicht aktiv eingreifen kann. Abbuchungen, Trades, Datenänderungen...mir fällt nichts besonders gefährliches ein, was ein Eindringling im persönlichen Bereich ohne TAN tun könnte. Außer ein paar Kleckerbeträge zu überweisen.

---

@Marin  schrieb:

---

 

Ich gebe dir aber in der Hinsicht Recht, dass eine 2FA beim Login (= TAN) prinzipiell immer Sinn macht und es mich verwundert, warum ausgerechnet Banken dies noch nicht zwangsweise eingeführt haben bzw. regulatorisch dazu verdonnert wurden (nicht, dass ich es mir unbedingt wünschen würde...). 

---

Eine "2FA light" gibt es doch bereits: An einem bekannten Endgerät wird alle 90 Tage eine TAN verlangt, auf fremden Geräten (wovon die meisten "Hacker" aus arbeiten) bereits beim ersten Mal.

VG,

Jörg

---

@Marin  schrieb:

---

 

Ich gebe dir aber in der Hinsicht Recht, dass eine 2FA beim Login (= TAN) prinzipiell immer Sinn macht und es mich verwundert, warum ausgerechnet Banken dies noch nicht zwangsweise eingeführt haben bzw. regulatorisch dazu verdonnert wurden (nicht, dass ich es mir unbedingt wünschen würde...). 

---

Einige Marktbegleiter handhaben dies ja auch so, Login = 2FA. 

Auch wenn man mit dem Login scheinbar noch nicht viel anfangen kann, kommt man damit aber lesend an weitere Informationen ran, die man dann als Angreifer nutzen kann. Z.B. Postanschrift, weitere Bankverbindungen wie Referenzkonto, Steuer-ID, Namen von Bevollmächtigten usw.

---

@CurtisNewton  schrieb:

---

---

Einige Marktbegleiter handhaben dies ja auch so, Login = 2FA. 

Auch wenn man mit dem Login scheinbar noch nicht viel anfangen kann, kommt man damit aber lesend an weitere Informationen ran, die man dann als Angreifer nutzen kann. Z.B. Postanschrift, weitere Bankverbindungen wie Referenzkonto, Steuer-ID, Namen von Bevollmächtigten usw.

 

---

Ich bin jetzt gedanklich mal alle meine Bankverbindungen durchgegangen und muss sagen, dass die comdirect tatsächlich die einzige ist, bei der ich nicht bei jedem Login eine Freigabe erteilen muss. 

Aber auch bei der comdirect sind die aufgezählten Informationen nur in Bereichen einsehbar, auf die man erst nach 2FA-Freigabe Zugriff hat. Einzig die Daten ausgehender Überweisungen der letzten 90 Tage bilden da eine Ausnahme. Für diese sind Empfänger und IBAN abrufbar. Ob man das aber nun für eine wesentliche Information halten muss? Ich sehe das jedenfalls sehr entspannt.

---

@Marin  schrieb:

---

@Marten68  schrieb:

...

Im Übrigen würde ein automatisiertes Knackprogramm aus dem Internet, wenn es denn bei einem Konto scheitert durch 3malige Falscheingabe scheitert, einfach die Kontonummer um eins erhöhen und es beim nächsten Konto versuchen.  Irgendwann würde es 6 stellige Pins von beliebigen Kontonummern dann doch erraten...

 

---

 

- Die Aussage "Irgendwann würde es 6 stellige Pins von beliebigen Kontonummern dann doch erraten" ist mathematisch nicht haltbar. Man knackt übrigens auch nicht irgendwann den Lottojackpot, wenn man nur oft genug spielt.

Naja, zumindest mathematisch scheint mir das Szenario durchaus erfolgversprechender als Lottospielen, wenn man es ein bisschen modifiziert.

Nehmen wir mal an, alle Zugangsnummern zur Comdirect-Plattformen wären achtstellig und alle PINs sind sechsstellig.
Dass ich vermutlich nach drei Versuchen scheitern werde, wenn ich eine beliebige Zugangsnummer wähle und dann PINs ausprobiere, ist plausibel. Aber was passiert, wenn ich es andersherum mache?
Ich wähle zuerst eine beliebige PIN und probiere damit alle achtstelligen Zahlen als Zugangsnummer genau einmal aus...
Nehmen wir mal an, comdirect hätte genau eine Million Kunden und alle sechsstelligen PINs (eine Million Möglichkeiten) wären genau einmal vergeben sind, dann hätte ich schon beim ersten Durchlauf hundertprozentig einen Treffer, oder habe ich einen Denkfehler?
Wenn die Verteilung anders ist, dauerts eben ein bisschen länger, aber für so einen richtigen Hacker, der programmieren kann und ein bisschen Zeit hat, scheint mir das machbar.

Gegen diese simple Methode spricht, dass es anscheinend noch niemand erfolgreich versucht hat. Jedenfalls habe ich nicht davon gehört.
Ich weiß natürlich auch nicht, ob es verdeckte Routinen gibt, die so einen Versuch unterbinden.
Aber ich erwidere ja auch nur auf das Zitat, das suggeriert, es wäre "mathematisch nicht haltbar", durch Hochzählen der Zugangsnummer eine PIN zu erraten. Ich bin kein großer Mathematiker und Informatik ist auch nicht mein Ding, aber ich könnte mir vorstellen, dass das mathematisch gesehen in einem System aus numerischen Zugangsnummern und numerischen PINS mit bekannter Zeichenanzahl sogar die beste Methode ist.

Fazit: Es schadet nicht, über die Sicherheit dieser Login-Methode nachzudenken.

---

@sentry  schrieb:

---

Nehmen wir mal an, alle Zugangsnummern zur Comdirect-Plattformen wären achtstellig und alle PINs sind sechsstellig.
Dass ich vermutlich nach drei Versuchen scheitern werde, wenn ich eine beliebige Zugangsnummer wähle und dann PINs ausprobiere, ist plausibel. Aber was passiert, wenn ich es andersherum mache?
Ich wähle zuerst eine beliebige PIN und probiere damit alle achtstelligen Zahlen als Zugangsnummer genau einmal aus...

Fazit: Es schadet nicht, über die Sicherheit dieser Login-Methode nachzudenken.

---

Das ist doch alles blanker Unsinn.

Nach dem dritten Fehlversuch wird der Zugang erstmal gesperrt.

Und selbst wenn du aus Zufall eine gültige Kombination finden würdest brauchst du für die erste Anmeldung von einem fremden Gerät eine 2FA Freigabe. Wo soll die her kommen?

Sowas war vor 35 Jahren mal en vogue bei script kiddies. Man kann relativ sicher davon ausgehen dass bei einem brute force attack in paar Sekunden die IP oder sogar ein ganzer IP Block geblockt wird.