comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Comdirect Anmelde-PIN aus 6 Zahlen zu unsicher

ehemaliger Nutzer
ohne Rang
0 Beiträge

am ‎23.07.2021 21:07

am ‎23.07.2021 21:07

Ich habe eine Anregung, die die Sicherheit der Anmeldung auf dieser Website betrifft.

Beim ändern meines Passworts, da ich nun einen Password Manager verwende, welchen Sicherheitsexperten empfehlen, stellte ich fest, dass es nur möglich ist eine 6-Stellige Ziffernkombination zu wählen und keine Buchstaben oder Sonderzeichen. Auch ist die Anzahl leider auf sechs Stellen begrenzt, was auch die Sicherheit nicht wirklich erhöht. Bei Bankkarten soll dieser ja leicht zu merken sein, aber gerade bei einer Website sollte man wenigstens die Option haben, ein sicheres Password zu wählen.

 

Mir ist auch bewusst, dass es wohl eine Ziffernkombination sein muss, da es zur Authentifizierung am Telefon benötigt wird. Leider habe ich dazu keine Lösung bzw. nur eine Idee: Könnte man nicht via PhotoTAN-App einfach bestätigen, dass man selbst am Telefon ist?

 

Denn trotz TAN-Verfahren ist eine 6-Stellige Ziffernkombination heutzutage in 2021 nicht mehr wirklich sicher und lässt sich schnell knacken. Wodurch man sich dann auch wiederum am Telefon authentifizieren kann.

 

Gerade hierbei solle man als Unternehmen nicht sparen bzw. vernünftige Sicherheitslösungen anbieten.

37 ANTWORTEN

sentry
Autor ★
7 Beiträge
Als Antwort auf Silver_Wolf

am ‎24.10.2025 09:41

am ‎24.10.2025 09:41

@Silver_Wolf  schrieb:

Das ist doch alles blanker Unsinn.

Nach dem dritten Fehlversuch wird der Zugang erstmal gesperrt.

 

Und selbst wenn du aus Zufall eine gültige Kombination finden würdest brauchst du für die erste Anmeldung von einem fremden Gerät eine 2FA Freigabe. Wo soll die her kommen?

Ja, das ist die Antwort, die ich erwartet habe. Anscheinend hast Du meinen Artikel einfach nicht verstanden, was man daran sieht, dass Du ihn als "blanken Unsinn" zur Seite packst, aber nicht einmal erklärst, warum das so ist.

 

"Blanker Unsinn" ist übrigens, dass bei der von mir beschriebenen Methode der Zugang nach dem dritten Fehlversuch gesperrt wird. Das ist ja gerade der erste Vorteil, wenn man nicht PINs durchprobiert, sondern Zugangsnummern.

Welcher "Zugang" soll denn gesperrt werden, wenn ich bei jedem Versuch die Zugangsnummer wechsele?

Das kann jeder leicht selbst probieren. Ich bin das Risiko mal eingegangen und konnte vier Anmelde-Versuche machen, dann habe ich den Versuch abgebrochen . Gesperrt ist nichts. Ich konnte danach wieder ganz normal anmelden.

 

Dass man technische Methoden entwickeln kann, so einen Angriff zu unterbinden ist klar. Und das eine 2FA die Nutzung eines ermittelten Passworts erschweren würde, meinetwegen auch unmöglich machen würde, ist auch klar.

In meinem Artikel ging es aber nicht darum, was ich mit einem ermittelten Passwort anfangen kann, sondern dass es aufgrund der rein numerischen Zugangsdaten leichter sein dürfte, ein Passwort zu ermitteln.

 

Aber hey, für mich sind alle Sicherheitsfeature meiner Bank ok, wenn sie für die Bank ok sind. Mein Artikel war nun ein Gedankenspiel...ich mag eben Rätsel.

 

 

@CurtisNewton Ich weiß, ich bin alt 😂

0 Danke

Crazyalex
Legende
9.374 Beiträge
Als Antwort auf sentry

am ‎24.10.2025 09:48

am ‎24.10.2025 09:48

@sentry  schrieb:

Welcher "Zugang" soll denn gesperrt werden, wenn ich bei jedem Versuch die Zugangsnummer wechsele?

Der Zugang zur Website: deine IP könnte geblockt werden...

Das passiert aber noch nicht nach Deinen 4 lächerlichen händischen Versuchen. 

 

Gruß Crazyalex 


An alle Neueinsteiger: Appell an alle Neueinsteiger und Interessenten.
ETF-Anfänger: Bitte intensiv durcharbeiten... ETF-FAQ. .................Danke!
0 Danke

sentry
Autor ★
7 Beiträge
Als Antwort auf Crazyalex

am ‎24.10.2025 09:54

am ‎24.10.2025 09:54

Mag sein, aber die von @Silver_Wolf vertretene These war ja auch, dass mein Zugang "nach dem dritten Fehlversuch" gesperrt wird.

 

Das stimmt schon mal nicht und da ich meinen Computer und meinen Bank-Zugang noch brauche und auch gar kein Interesse an fremder Leute Daten habe, habe ich auch keine Lust herauszufinden, wann denn nun wirklich irgendwas gesperrt wird...und vor allem was. 

0 Danke

GetBetter
Legende
8.087 Beiträge
Als Antwort auf sentry

am ‎24.10.2025 10:13

am ‎24.10.2025 10:13

@sentry  schrieb:

In meinem Artikel ging es aber nicht darum, was ich mit einem ermittelten Passwort anfangen kann, sondern dass es aufgrund der rein numerischen Zugangsdaten leichter sein dürfte, ein Passwort zu ermitteln.

Wortklauberei at its best.

Was hilft es Dir, ein Passwort "ermittelt" zu haben, wenn Du gleichzeitig einräumen musst, nichts damit anfangen zu können.

 

Letztlich reden wir in diesem Thread doch über die Sicherheit des Zugangs (!) und die Frage, ob eine 6-stellige PIN dafür ausreichend ist.

Die Antwort darauf lautet: Nein, wäre sie nicht. Und genau aus diesem Grund gibt es als zusätzlche Sicherungsstufe noch die Notwendigkeit einer TAN-Eingabe. 

Weinlese
Mentor ★
1.456 Beiträge
Als Antwort auf GetBetter

am ‎25.10.2025 05:11

am ‎25.10.2025 05:11

@GetBetter  schrieb:

Und genau aus diesem Grund gibt es als zusätzlche Sicherungsstufe noch die Notwendigkeit einer TAN-Eingabe.

Das gilt für das Online-Banking. Allein mit der PIN kommt man per Telefonanruf beim Kundenservice aber deutlich weiter. Zumindest erhält man Zugriff auf Kundeninformationen, kann Wertpapierkäufe und -verkäufe anstoßen und eventuell sogar Überweisungen durchführen.

 

Viele Grüße

Weinlese

Floppy85
Mentor ★
1.373 Beiträge

am ‎25.10.2025 07:28

am ‎25.10.2025 07:28

Selbst wenn eine PIN 12 Stellen hätte - der größte Unsicherheitsfaktor sitzt immer vor dem Monitor. Alle Sicherheitsmechanismen sind wirkungslos, wenn der User absichtlich Alles falsch macht, was man nur falsch machen könnte. 

0 Danke

GetBetter
Legende
8.087 Beiträge
Als Antwort auf Weinlese

am ‎25.10.2025 10:45

am ‎25.10.2025 10:45

@Weinlese  schrieb:
@GetBetter  schrieb:

Und genau aus diesem Grund gibt es als zusätzlche Sicherungsstufe noch die Notwendigkeit einer TAN-Eingabe.

Das gilt für das Online-Banking. Allein mit der PIN kommt man per Telefonanruf beim Kundenservice aber deutlich weiter. Zumindest erhält man Zugriff auf Kundeninformationen, kann Wertpapierkäufe und -verkäufe anstoßen und eventuell sogar Überweisungen durchführen.

Guter Punkt.

 

Soweit ich mich erinnere, habe ich den Kundenservice bisher nur für normale Supportanfragen kontaktiert, aber noch nie, um irgendwelche Aufträge zu erteilen. Insofern verzeihe man mir meine Unwissenheit, aber wird bei der telefonischen Auftragserteilung evtl. zusätzlich zu den Zugangsdaten noch eine weitere Legitimation abgefragt, bspw. die Nennung des Geburstdatums oder der PLZ?

 

Sollte das nicht der Fall sein, dann bestünde an dieser Flanke tatsächlich ein gewisses Sicherheitsrisiko.

Crazyalex
Legende
9.374 Beiträge

am ‎25.10.2025 11:45

am ‎25.10.2025 11:45

...deswegen gibt es Banken, die zwischen Online-PIN und Telefon-PIN unterscheiden...

 

Aber hier in der Community dürfen weiterhin die Leute (auch wenn es keinen aktuellen Thread dazu gibt) meckern "ich gebe doch nicht am Telefon meine Online-PIN ein!" 

Natürlich weiß die Bank selbigen und das ist diesbezüglich kein Sicherheitsrisiko - zumal man die Nummer der Bank ja selber anruft und aus einer verlässlichen Quelle hat.

 

Aber trotzdem könnte man das verbessern. 

 

Gruß Crazyalex


An alle Neueinsteiger: Appell an alle Neueinsteiger und Interessenten.
ETF-Anfänger: Bitte intensiv durcharbeiten... ETF-FAQ. .................Danke!
0 Danke