- « Vorherige
- Nächste »
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 09.01.2024 11:36
Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden 🙂
Wenn man eine bestimmte IP-Adresse nach drei Fehlversuchen sperrt, wechselt der Angreifer einfach die IP-Adresse. Die Chance, dass genau mein Konto gehackt wird, ist zwar gering, ähnlich wie beim Lotto-Gewinn, aber die Wahrscheinlichkeit, dass irgendein comdirect Konto gehackt wird, ist nicht so niedrig. Es gibt ja nicht nur ein 14-stelliges Konto, sondern mehrere. Wenn man parallel arbeitet, könnte man in kurzer Zeit mehrere Treffer landen.
Glücklicherweise gibt es eine SMS, die einen stoppt. Ich bin mir nicht sicher, wie es aussieht, wenn man sich dann telefonisch mit diesen Daten legitimiert. Dieses "schwache" Passwort war ursprünglich für die einfache telefonische Legitimation gedacht.
Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.
- Als Kunde kann man sich relativ sicher fühlen, besonders weil eine SMS wie in meinem Fall wahrscheinlich hilft.
- Als Bank sollte man sich Gedanken darüber machen, wie man das System besser gestalten kann.
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 09.01.2024 12:25
Ich stimme dem zu, was Ruslan oben gesagt hat.
Hinzu kommt:
Wenn ein Passwort aus der geleakten Datenbank geknackt wird, helfen einem die drei Grenzversuche nicht weiter, und 1,0 Millionen Versuche können in Stunden gemacht werden.😉
Bei dieser künstlichen Begrenzung der Passwortlänge möchte ich gar nicht daran denken, welchen Hash-Algorithmus Comdirect verwendet.
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
09.01.2024 14:35 - bearbeitet 09.01.2024 14:54
Doppelposten
09.01.2024 15:59 - bearbeitet 09.01.2024 16:48
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
09.01.2024 15:59 - bearbeitet 09.01.2024 16:48
@Ruslan schrieb:Es scheint hier ein Missverständnis zu geben: Wenn ich einen Login-Versuch starte, benutze ich XXXXXXXX als Login und YYYYYY als Passwort. Wenn das Passwort dreimal falsch eingegeben wird, wird dann XXXXXXXX gesperrt? Das würde bedeuten, dass jeder aus Spaß ein beliebiges Konto sperren könnte. Ich möchte es nicht ausprobieren, um nicht gesperrt zu werden
Ja, genau das wird passieren. Wenn jemand deine Login-ID (XXXXXX) kennt, kann er Dich trollen und mit drei absichtlichen Fehlversuchen Deinen Zugang sperren.
Deswegen sollte man die Login-ID auch vertraulich behandeln.
Sorry, aber wenn das so trivial zu knacken wäre wie Du oben beschreibst, wäre das schon längst passiert.
Ich verstehe nicht, warum wir weiter darüber diskutieren. Wir haben alles Wichtige geklärt:
- Ein Passwort und Login, das nur aus Ziffern besteht, ist sehr schwach.
Nö, haben wir nicht 😁
Ein Passwort mit 6 Ziffern erfordert eine 1/333.333 Trefferrate _und_ Zugang zur TAN-App für einen erfolgreichen Angriff.
Das ist vielleicht nicht bombensicher, aber sicher auch nicht "sehr schwach".
Es ist sicher genug - und das ist es was im Alltag zählt.
- « Vorherige
- Nächste »
- photoTAN-App (iOS) und mobileTAN funktioniert nicht in Website & Apps
- Problem mit der PhotoTan und der Umstellung zur MobileTan in Website & Apps
- mobileTan-Verfahren bei comdirect in Konto, Depot & Karte
- mit der photoTAN App ist was faul in Website & Apps
- mobileTAN - Versand von SMS ohne TAN in Konto, Depot & Karte
