comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Immer öfter "Die mobileTAN zum Datenabruf lautet" SMS bekommen

23 ANTWORTEN

Zum hilfreichen Beitrag
Ruslan
Autor ★★
18 Beiträge

am ‎09.01.2024 11:36

am ‎09.01.2024 11:36

Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 🙂

 

Wenn man eine bestimmte IP-Adresse nach drei Fehlversuchen sperrt, wechselt der Angreifer einfach die IP-Adresse. Die Chance, dass genau mein Konto gehackt wird, ist zwar gering, ähnlich wie beim Lotto-Gewinn, aber die Wahrscheinlichkeit, dass irgendein comdirect Konto gehackt wird, ist nicht so niedrig. Es gibt ja nicht nur ein 14-stelliges Konto, sondern mehrere. Wenn man parallel arbeitet, könnte man in kurzer Zeit mehrere Treffer landen.

 

Glücklicherweise gibt es eine SMS, die einen stoppt. Ich bin mir nicht sicher, wie es aussieht, wenn man sich dann telefonisch mit diesen Daten legitimiert. Dieses "schwache" Passwort war ursprünglich für die einfache telefonische Legitimation gedacht.

 

Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.
- Als Kunde kann man sich relativ sicher fühlen, besonders weil eine SMS wie in meinem Fall wahrscheinlich hilft.
- Als Bank sollte man sich Gedanken darüber machen, wie man das System besser gestalten kann.

Zum hilfreichen Beitrag
Avenger
Experte
93 Beiträge

am ‎09.01.2024 12:25

am ‎09.01.2024 12:25

Ich stimme dem zu, was Ruslan oben gesagt hat.


Hinzu kommt:

 

Wenn ein Passwort aus der geleakten Datenbank geknackt wird, helfen einem die drei Grenzversuche nicht weiter, und 1,0 Millionen Versuche können in Stunden gemacht werden.😉

 

Bei dieser künstlichen Begrenzung der Passwortlänge möchte ich gar nicht daran denken, welchen Hash-Algorithmus Comdirect verwendet.

0 Danke

Zum hilfreichen Beitrag
Avenger
Experte
93 Beiträge

‎09.01.2024 14:35 - bearbeitet ‎09.01.2024 14:54

‎09.01.2024 14:35 - bearbeitet ‎09.01.2024 14:54

Doppelposten

0 Danke

Zum hilfreichen Beitrag
alba96
Experte ★
232 Beiträge
Als Antwort auf Ruslan

‎09.01.2024 15:59 - bearbeitet ‎09.01.2024 16:48

‎09.01.2024 15:59 - bearbeitet ‎09.01.2024 16:48

@Ruslan  schrieb:

Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 

Ja, genau das wird passieren. Wenn jemand deine Login-ID (XXXXXX) kennt, kann er Dich trollen und mit drei absichtlichen Fehlversuchen Deinen Zugang sperren.‌

Deswegen sollte man die Login-ID auch vertraulich behandeln.

Sorry, aber wenn das so trivial zu knacken wäre wie Du oben beschreibst, wäre das schon längst passiert.

 

Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.

Nö, haben wir nicht 😁

Ein Passwort mit 6 Ziffern erfordert eine 1/333.333 Trefferrate _und_ Zugang zur TAN-App für einen erfolgreichen Angriff.

Das ist vielleicht nicht bombensicher, aber sicher auch nicht "sehr schwach".

Es ist sicher genug - und das ist es was im Alltag zählt.