comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Immer öfter "Die mobileTAN zum Datenabruf lautet" SMS bekommen

Zum hilfreichen Beitrag
Ruslan
Autor ★★
18 Beiträge

am ‎06.01.2024 01:10

am ‎06.01.2024 01:10

Ich mache mir sorgen um mein Konto,

 

nachts, wenn ich schlaffe, bekomme ich SMS "Die mobileTAN zum Datenabruf lautet: XXXXXX". Ich bin mir sicher, dass mein  Steuerberater im Urlaub ist, und es gerade sicherlich nicht macht (ich glaube er kann es auch so nicht), aber woher kommen diese Nachrichten?!

 

Ich finde es heutzutage ehrlich gesagt komisch, dass comdirect immer noch sowas zulässt, wie login aus 8 Ziffern und Password aus 6 Ziffern: und man kann es nicht absagen... Wie kann das sein?! jedes kleines Softwareanbieter anfordert, dass in dem Password mindestens ein Ziffer, ein groß und klein Buchstaben und ein Sonderzeichen vorkommt. Und eine Bank auf elementare Sicherheitsmaßnahmen Augen zu macht... 

 

Ich ändere mein "Password" was aus 6 Ziffern besteht zum 3ten mal schon. Hoffentlich sind die Angreifer dieses mal zu blöd um es zu erraten. Mal schauen. Gute Nacht an alle.

 

Liebe Grüße,

Ruslan

ragimov.software

 

P.S.: jetzt kann ich nicht mal mich beschweren, weil beim absenden sehe ich folgendes: 

 

Bildschirmfoto 2024-01-06 um 01.08.20.png

 

 

Na ja, für eine Stunde jemandem nicht was sagen zu lassen, ist natürlich eine Lösung, aber eine blöde, ich probiere ich es nochmal später...

Beschriftungen:
0 Danke
23 ANTWORTEN

Zum hilfreichen Beitrag
Ruslan
Autor ★★
18 Beiträge

am ‎09.01.2024 11:36

am ‎09.01.2024 11:36

Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 🙂

 

Wenn man eine bestimmte IP-Adresse nach drei Fehlversuchen sperrt, wechselt der Angreifer einfach die IP-Adresse. Die Chance, dass genau mein Konto gehackt wird, ist zwar gering, ähnlich wie beim Lotto-Gewinn, aber die Wahrscheinlichkeit, dass irgendein comdirect Konto gehackt wird, ist nicht so niedrig. Es gibt ja nicht nur ein 14-stelliges Konto, sondern mehrere. Wenn man parallel arbeitet, könnte man in kurzer Zeit mehrere Treffer landen.

 

Glücklicherweise gibt es eine SMS, die einen stoppt. Ich bin mir nicht sicher, wie es aussieht, wenn man sich dann telefonisch mit diesen Daten legitimiert. Dieses "schwache" Passwort war ursprünglich für die einfache telefonische Legitimation gedacht.

 

Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.
- Als Kunde kann man sich relativ sicher fühlen, besonders weil eine SMS wie in meinem Fall wahrscheinlich hilft.
- Als Bank sollte man sich Gedanken darüber machen, wie man das System besser gestalten kann.

Zum hilfreichen Beitrag
Avenger
Experte
83 Beiträge

am ‎09.01.2024 12:25

am ‎09.01.2024 12:25

Ich stimme dem zu, was Ruslan oben gesagt hat.


Hinzu kommt:

 

Wenn ein Passwort aus der geleakten Datenbank geknackt wird, helfen einem die drei Grenzversuche nicht weiter, und 1,0 Millionen Versuche können in Stunden gemacht werden.😉

 

Bei dieser künstlichen Begrenzung der Passwortlänge möchte ich gar nicht daran denken, welchen Hash-Algorithmus Comdirect verwendet.

0 Danke

Zum hilfreichen Beitrag
Avenger
Experte
83 Beiträge

‎09.01.2024 14:35 - bearbeitet ‎09.01.2024 14:54

‎09.01.2024 14:35 - bearbeitet ‎09.01.2024 14:54

Doppelposten

0 Danke

Zum hilfreichen Beitrag
alba96
Experte
95 Beiträge
Als Antwort auf Ruslan

‎09.01.2024 15:59 - bearbeitet ‎09.01.2024 16:48

‎09.01.2024 15:59 - bearbeitet ‎09.01.2024 16:48

@Ruslan  schrieb:

Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 

Ja, genau das wird passieren. Wenn jemand deine Login-ID (XXXXXX) kennt, kann er Dich trollen und mit drei absichtlichen Fehlversuchen Deinen Zugang sperren.‌

Deswegen sollte man die Login-ID auch vertraulich behandeln.

Sorry, aber wenn das so trivial zu knacken wäre wie Du oben beschreibst, wäre das schon längst passiert.

 

Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.

Nö, haben wir nicht 😁

Ein Passwort mit 6 Ziffern erfordert eine 1/333.333 Trefferrate _und_ Zugang zur TAN-App für einen erfolgreichen Angriff.

Das ist vielleicht nicht bombensicher, aber sicher auch nicht "sehr schwach".

Es ist sicher genug - und das ist es was im Alltag zählt.