comdirect

Ich sehe hier kein wirklich größeres Problem.

Eine random brute force Attacke dürfte mit 6-stelliger PIN mit mehr als ausreichender Wahrscheinlichkeit nix werden, wenn man denn den Zugang nach der 3. Falscheingabe sperrt. Und wenn ein Angreifer aus irgendeinem Grund mehr als nur Raten kann, nämlich wenn er/sie auf anderem Wege an die PIN gekommen ist, dann ist es egal, ob es eine 6-stellige PIN ist oder ein 128-stelliges Passwort mit allen Sonderzeichen etc.

Dazu kommt ja, dass man alle ich glaube 90 Tage sogar eine Photo-Tan auf dem Gerät eingeben muss. Und das reicht dann auch nur, wenn man Cookies erlaubt. Das Anmelden von einem neuen Gerät, an dem man sich noch nie angemeldet hat, klappt also nur mit einer Photo-Tan, sprich 2FA. Der Datendieb, der aus welchen Gründen auch immer Deine PIN kennt und Einblick in Dein Konto haben will, müsste also Zugriff auf Dein Endgerät haben oder eine Photo-Tan generieren können. Egal ob das eine oder das andere gelingen würde, in beiden Fällen hättest Du ganz andere Probleme, als den Einblick in Deinen Kontostand....

Zwingend schon bei jeder Anmeldung eine Photo-Tan wäre nicht meins. Das wäre mir für quasi null zusätzliche Sicherheit einfach zu unbequem am heimischen Rechner. Ich betreibe das banking bewusst am Computer und nutze bewusst ein autonomes Photo-Tan Gerät. Wer sich Gedanken um die Sicherheit der 6-stelligen PIN macht, kann sich nämlich mindestens genauso gut Gedanken über die Sicherheit von App-to-App-Push-Tans machen....

---

@Keine Angabe  schrieb:

Und wo ist das Problem, es einfach zuzulassen? Es will doch niemand verbieten ein schlechtes Passwort zu verwenden, aber ich würde gerne ein sicheres Passwort haben.

Ich verstehe hier die Gegenseite einfach nicht. Ihr habt doch nichts davon, dass es verboten ist, ein sicheres Passwort zu benutzen.

---

Im Prinzip natürlich richtig: Aber, Du hast halt keine höhere Sicherheit durch eine Änderung. Eine 6-stellige numerische PIN innerhalb von 3 Versuchen zu erraten ist statistisch extrem unwahrscheinlich. Danach wird der Zugang gesperrt. 

Wenn ein Angreifer aber nicht raten muss, ist es egal, wie lang die PIN oder ggf. ein alphanumerisches Passwort ist.

Längere Passworte in diesem Kontext führen nur dazu, dass z.B. Leute sich das Passwort aufschreiben und unsicher verwahren. Oder dass Leute es ständig vergessen und die Zahl der Sperrungen und supportträchtigen Reaktivierungen sprunghaft steigt. Aber es erhöht die Sicherheit nicht.

Eine Änderung des Verfahrens stellt prinzipiell ein Eingriff in die bestehende IT dar, was aus prinzipiellen Überlegungen heraus sogar neue Lücken aufreißen könnte und somit zumindest theoretisch sogar die Sicherheit für alle senken könnte.

Und spätestens, seit mindestens beim ersten Zugriff auf die Seite von einem neuen Gerät aus auch immer eine Photo-Tan abgefragt wird (und alle drei Monate erneut), ist jede Sicherheitsbefürchtung hinfällig, weil ein Angreifer Zugriff auf Deinen Rechner haben muss. Wenn er das aber hat kann er sich mit Keylogger und allem sonstigen auf Deinem Rechner breit machen und hört halt Deine Eingabe von PIN/Passwort mit, egal, wie lang die sind.....

> Eine random brute force Attacke dürfte mit 6-stelliger PIN mit mehr als ausreichender Wahrscheinlichkeit nix werden, wenn man denn den Zugang nach der 3. Falscheingabe sperrt.

Das hatte ich weiter vorne im Thread bereits durchgerechnet. Statistisch kann man in plausibler Zeit einige Accounts öffnen - auch wenn nicht alle.

> Das Anmelden von einem neuen Gerät, an dem man sich noch nie angemeldet hat, klappt also nur mit einer Photo-Tan, sprich 2FA.

Ja, inzwischen ist das der Fall und erhöht die Entropie auf ein erträgliches Maß.

Nichts desto trotz setzt sich die comdirect über alle Standards hinweg, beispielsweise des NIST. Und auch global agierende große IT Konzerne haben wesentlich fortschrittlichere Sicherheißtsmaßnahmen. Ich habe absolut kein Verständnis dafür, dass eine Bank hinterherhinkt statt vorne dabei zu sein. Ich erwarte einfach, dass vernünftige(!) Standards wie TOTP und FIDO2 sowie etablierte Passwörter unterstützt werden und keine weitgehend unprüfbaren selbst erfundenen Methoden implementiert werden. Im Bereich IT-Sicherheit ist eben auch eine der Grundreglen, auf etablierte Verfahren zu setzen und nicht selbst zu versuchen Dinge zu erfinden.

Dass das Passwort als Telefonpin benutzt wird, heißt doch, es muss als Klartext gespeichert werden, was ebenfalls entgegen jeder Vernunft ist. Wobei ich zugeben muss, dass bei sechsstelligen Passwörtern das Hashen eh keine Sicherheit bieten würde.