comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Immer öfter "Die mobileTAN zum Datenabruf lautet" SMS bekommen

Zum hilfreichen Beitrag
Ruslan
Autor ★★
18 Beiträge

am ‎06.01.2024 01:10

am ‎06.01.2024 01:10

Ich mache mir sorgen um mein Konto,

 

nachts, wenn ich schlaffe, bekomme ich SMS "Die mobileTAN zum Datenabruf lautet: XXXXXX". Ich bin mir sicher, dass mein  Steuerberater im Urlaub ist, und es gerade sicherlich nicht macht (ich glaube er kann es auch so nicht), aber woher kommen diese Nachrichten?!

 

Ich finde es heutzutage ehrlich gesagt komisch, dass comdirect immer noch sowas zulässt, wie login aus 8 Ziffern und Password aus 6 Ziffern: und man kann es nicht absagen... Wie kann das sein?! jedes kleines Softwareanbieter anfordert, dass in dem Password mindestens ein Ziffer, ein groß und klein Buchstaben und ein Sonderzeichen vorkommt. Und eine Bank auf elementare Sicherheitsmaßnahmen Augen zu macht... 

 

Ich ändere mein "Password" was aus 6 Ziffern besteht zum 3ten mal schon. Hoffentlich sind die Angreifer dieses mal zu blöd um es zu erraten. Mal schauen. Gute Nacht an alle.

 

Liebe Grüße,

Ruslan

ragimov.software

 

P.S.: jetzt kann ich nicht mal mich beschweren, weil beim absenden sehe ich folgendes: 

 

Bildschirmfoto 2024-01-06 um 01.08.20.png

 

 

Na ja, für eine Stunde jemandem nicht was sagen zu lassen, ist natürlich eine Lösung, aber eine blöde, ich probiere ich es nochmal später...

Beschriftungen:
0 Danke
23 ANTWORTEN

Zum hilfreichen Beitrag
Ruslan
Autor ★★
18 Beiträge

am ‎09.01.2024 11:36

am ‎09.01.2024 11:36

Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 🙂

 

Wenn man eine bestimmte IP-Adresse nach drei Fehlversuchen sperrt, wechselt der Angreifer einfach die IP-Adresse. Die Chance, dass genau mein Konto gehackt wird, ist zwar gering, ähnlich wie beim Lotto-Gewinn, aber die Wahrscheinlichkeit, dass irgendein comdirect Konto gehackt wird, ist nicht so niedrig. Es gibt ja nicht nur ein 14-stelliges Konto, sondern mehrere. Wenn man parallel arbeitet, könnte man in kurzer Zeit mehrere Treffer landen.

 

Glücklicherweise gibt es eine SMS, die einen stoppt. Ich bin mir nicht sicher, wie es aussieht, wenn man sich dann telefonisch mit diesen Daten legitimiert. Dieses "schwache" Passwort war ursprünglich für die einfache telefonische Legitimation gedacht.

 

Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.
- Als Kunde kann man sich relativ sicher fühlen, besonders weil eine SMS wie in meinem Fall wahrscheinlich hilft.
- Als Bank sollte man sich Gedanken darüber machen, wie man das System besser gestalten kann.

Zum hilfreichen Beitrag
Avenger
Experte
90 Beiträge

am ‎09.01.2024 12:25

am ‎09.01.2024 12:25

Ich stimme dem zu, was Ruslan oben gesagt hat.


Hinzu kommt:

 

Wenn ein Passwort aus der geleakten Datenbank geknackt wird, helfen einem die drei Grenzversuche nicht weiter, und 1,0 Millionen Versuche können in Stunden gemacht werden.😉

 

Bei dieser künstlichen Begrenzung der Passwortlänge möchte ich gar nicht daran denken, welchen Hash-Algorithmus Comdirect verwendet.

0 Danke

Zum hilfreichen Beitrag
Avenger
Experte
90 Beiträge

‎09.01.2024 14:35 - bearbeitet ‎09.01.2024 14:54

‎09.01.2024 14:35 - bearbeitet ‎09.01.2024 14:54

Doppelposten

0 Danke

Zum hilfreichen Beitrag
alba96
Experte ★
195 Beiträge
Als Antwort auf Ruslan

‎09.01.2024 15:59 - bearbeitet ‎09.01.2024 16:48

‎09.01.2024 15:59 - bearbeitet ‎09.01.2024 16:48

@Ruslan  schrieb:

Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 

Ja, genau das wird passieren. Wenn jemand deine Login-ID (XXXXXX) kennt, kann er Dich trollen und mit drei absichtlichen Fehlversuchen Deinen Zugang sperren.‌

Deswegen sollte man die Login-ID auch vertraulich behandeln.

Sorry, aber wenn das so trivial zu knacken wäre wie Du oben beschreibst, wäre das schon längst passiert.

 

Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.

Nö, haben wir nicht 😁

Ein Passwort mit 6 Ziffern erfordert eine 1/333.333 Trefferrate _und_ Zugang zur TAN-App für einen erfolgreichen Angriff.

Das ist vielleicht nicht bombensicher, aber sicher auch nicht "sehr schwach".

Es ist sicher genug - und das ist es was im Alltag zählt.

li.common.scroll-to.top
Kurz zustimmen zu Cookies und vergleichbaren Webtechnologien
Um Ihnen insbesondere ein optimales Website-Erlebnis zu bieten, werden mit Ihrer Einwilligung Cookies und Webtechnologien zu Funktions-, Statistik-, Komfort- und Marketingzwecken sowie zur Darstellung personalisierter Inhalte verwendet. Im Einzelnen sind dies (Details unter nachfolgenden Links):

Adobe Analytics: Reichweitenmessung zur Verbesserung des Nutzungserlebnisses der Website sowie Optimierung der Marketingkampagnen.

Adform: Aussteuerung und Optimierung von Werbemitteln, die durch Kunden von Adform geschaltet werden.

Adition: Aussteuerung und Optimierung von Werbemitteln, die durch Kunden von Adition geschaltet werden.

comdirect-Surfertracking: Optimierung und Aussteuerung nutzerbezogener Werbung, die von comdirect auf Drittseiten geschaltet wird

Community Umfrage: Aussteuerung von Umfragen für Besucher der comdirect community.

DoubleClick Floodlight: Analyse des Nutzerverhaltens zur Optimierung des Nutzungserlebnisses.

Meta: Nachverfolgung von Verhalten nach Klick auf Meta-Werbeanzeigen und Personalisierung von Meta-Werbung.

Google Ads: Nachverfolgung von Verhalten nach Klick auf Google-Werbeanzeigen und Personalisierung von Google-Werbung.

Personalisierte Angebote: Aussteuerung und Optimierung von personalisierten Werbeflächen im persönlichen Bereich.

Smartadverser: Aussteuerung und Optimierung von Werbemitteln, die durch Kunden von Smartadverser geschaltet werden.

Wenn Sie mindestens 16 Jahre alt sind, können Sie durch Klicken auf „Alle akzeptieren“ bestätigen, dass wir diese Webtechnologien verwenden dürfen. Anderenfalls klicken Sie auf „Alle verweigern“. Durch Klicken auf „Einzeln einstellen“ können Sie jederzeit Ihre Einwilligung widerrufen oder Ihre Einwilligungseinstellungen anpassen.

Hier finden Sie weitere Informationen zum Datenschutz und unser Impressum.
Impressum | Datenschutz