comdirect

Ruslan · ‎08.01.2024

@GetBetter schrieb:
Mit Verlaub, aber wenn es Angreifern innerhalb kurzer Zeit mehrfach gelungen ist Dein Passwort zu "erraten", dann sollte jemand mit umfassendem Fachwissen der Gedanke kommen, dass es vielleicht doch nicht erraten wurde, sondern der Hebel an anderer Stelle anzusetzen ist.

Es ist nicht unbedingt mein Passwort, das geknackt werden könnte. Mit verteilten Netzwerken könnte man alle Logins und Passwörter durch Brute-Force-Methoden angreifen, und die Regel von nur drei Versuchen spielt dabei keine Rolle. Deshalb gibt es Foren, wo man über solche Probleme reden kann, um zu sehen, ob es anderen auch so geht.

Anstatt hilfreicher Tipps bekomme ich hier nur Verteidigungen des schwachen Systems und fühle mich nicht ernst genommen. Der einzige, der was Nützliches gesagt hat, ist @__dpk, dem danke ich sehr.

Beim Lotto wäre es ähnlich – wenn Brute-Force erlaubt wäre, könnte man die Zahlen blitzschnell erraten. Deshalb wird heutzutage ein Passwort gefordert, das Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthält. Oft wird zusätzlich eine Zwei-Faktor-Authentifizierung verlangt.

paej · ‎08.01.2024

@Ruslan schrieb:
Ich mache mir sorgen um mein Konto,

nachts, wenn ich schlaffe, bekomme ich SMS "Die mobileTAN zum Datenabruf lautet: XXXXXX". Ich bin mir sicher, dass mein Steuerberater im Urlaub ist, und es gerade sicherlich nicht macht

Die SMS-Nachrichten treffen in einem Zeitraum von etwa 1 bis 1,5 Monaten ein.

Anstatt hilfreicher Tipps bekomme ich hier nur Verteidigungen des schwachen Systems und fühle mich nicht ernst genommen

Was wäre denn für dich ein „ hilfreicher Tipp“ ?

Ich erkenne nicht, was du überhaupt möchtest.

Krügerrand · ‎08.01.2024

Ich hatte einmalig auch so eine nicht initiierte SMS zum Datenabgleich.

Die SMS kam eindeutig von der Comdirect, da es die identische war, die zuvor auch die Einbindung der VisaDebit auf der Smartwatch bestätigt hatte.

Mit einem Anruf bei der Kundenhotline konnte Datenabruf durch den Hashwert auf eine mir bekannte Bank zurückgeführt werden, bei der ich das Konto im Multibanking anzeige.

Das hatte mich in meinem Fall beruhigt und zufrieden gestellt.

Nutzt du eine Banking Software, "PSD2 Multibanking", oder vielleicht auch die Comdirect API (wobei ich nicht weiß, ob letztere sowas auslösen würde)?

HaBe · ‎08.01.2024

@Ruslan schrieb:
Mit verteilten Netzwerken könnte man alle Logins und Passwörter durch Brute-Force-Methoden angreifen, und die Regel von nur drei Versuchen spielt dabei keine Rolle.

Inwiefern werden denn solche Versuche nicht für die 3 Versuche gezählt? Ausprobieren muss der Angreifer ja. Und wenn es tatsächlich so einfach wäre (6 Ziffern ist ja tatsächlich nicht viel) müssten dann nicht längst alle unsere Konten offene Bücher sein? Kann mir das technisch nicht so recht vorstellen...

Ruslan · ‎08.01.2024

Das mache ich tatsächlich. Vielleicht kommt die SMS von Commerzbank Multibanking. Ich frage mich, warum ich die SMS bekomme. Es wäre gut, wenn comdirect die SMS klarer machen könnte, zum Beispiel indem erklärt wird, welcher Service oder welche API Zugriff angefordert hat...

Nächstes Mal werde ich eher direkt die Hotline anrufen, um unnötige Diskussionen zu vermeiden. Vielen Dank an @Krügerrand. @paej hier ist ein Beispiel auf deine Frage, danke dir trotzdem für deine Versuche im Thema zu helfen.

SMT_Jan-Ove · ‎08.01.2024

Hallo @Ruslan,

herzlich willkommen in unserer Community!

Ich bedanke mich für dein Feedback. Deine Anregung gebe ich gerne an unsere Fachabteilung weiter. Aktuell ist jedoch nicht geplant, an unseren aktuellen Sicherheitsverfahren etwas zu ändern.

Die SMS stammt tatsächlich vom Commerzbank-Multibanking und hat daher keinen Bezug zur Sicherheit der Zugangsdaten.

Beste Grüße

Jan-Ove

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag

__dpk · ‎08.01.2024

Hallo @SMT_Jan-Ove ,

es wäre schön, wenn man diese Zugriffe von Multibanking Systemen, analog zu den Drittdiensten, im Onlinebanking einsehen und idealerweise bei Bedarf auch stoppen/beenden könnte.

Wenn die Menschen nur über das sprächen, was sie begreifen, dann würde es sehr still auf der Welt sein.
- Albert Einstein -

Ruslan · ‎08.01.2024

Hallo @SMT_Jan-Ove,

vielen Dank für deine Bestätigung. Wie @__dpk schon erwähnte, wäre es praktisch, wenn man die Informationen jederzeit selbst einsehen könnte. Bezüglich der Sicherheitsfrage verstehe ich, dass solche Änderungen aufwändig und nicht schnell umsetzbar sind.

Eine schöne und produktive Woche noch euch allen!

Beste Grüße,

Ruslan

Avenger · ‎09.01.2024

Im Zweifelsfall kann es nicht schaden, deinen PIN zu ändern.

Ich habe vor ein paar Monaten auch diese mysteriösen SMS-TANs um 2 Uhr morgens erhalten. Die SMS kamen nicht mehr, als ich meine PIN geändert habe.

Die 6-stellige, nur numerische Zeichen password ist in der Tat eine komische Einschränkung, es würde mich nicht wundern, wenn sie von einer anderen gelben Bank stammt. Ich denke, die Moderne hat ihren Dualismus.

alba96 · ‎09.01.2024

Ein sechsstelliges numerisches Passwort hat 1Mio mögliche Kombinationen. Bei maximal 3 Versuchen bis zur Sperrung muß der Angreifer also mit einer Chance von 1/333333 richtig raten.

Kombiniert mit der zufälligen Zahl die an die Kontonummer für die Zugangszahl angehängt wird, erhöht sich das auf 1/3,3Mio.

Und selbst nach so einem Glückstreffer kann er mit dem Konto nichts anfangen, weil ihm die TAN-App fehlt.

Fazit: es geht immer sicherer, aber ich schlafe trotzdem ruhig

.

comdirect

Immer öfter "Die mobileTAN zum Datenabruf lautet" SMS bekommen