abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

Hallo,

 

ich weiß, dass das Thema gerade erst aktiv behandelt wurde (https://wissen.consorsbank.de/t5/Feedback/Sicherheit-der-5-stelligen-PIN/td-p/32883), möchte aber nochmals ausführlich auf das offizielle Statement eingehen. Möglicherweise gibt es auch weitere Informationen oder regulatorische Problematiken, über die noch nicht offziell informatiert wurde.

Es wurde zwar bereits "abschließend geklärt", diese Aussage ist allerdings nach meiner informationstechnischen Ansicht nicht haltbar.

 

In der FAQ befindet sich ein Artikel bezüglich der Sicherheit der 5-stelligen PIN.
Hier: https://wissen.consorsbank.de/t5/PIN-TAN/Ist-meine-5-stellige-PIN-sicher/ta-p/15827

Aus IT-sicherheitstechnischer Sicht ist die Argumentation leider (auch aus meiner Sicht) nicht ausreichend, um die Sicherheit eines Accounts vor Missbrauch zu beweisen.

Hier kurz meine Kommentare zu den in dem Artikel genannten Argumenten.

 

  • „Die 5-stellige alphanumerische PIN schütz Ihren Kontozugang sehr effektiv. Die Kombination aus fünf Buchstaben (jeweils in Groß- oder Kleinschreibung) und Zahlen bedeutet, dass es nahezu eine Milliarde verschiedener Möglichkeiten gibt, die PIN zusammenzusetzen.“

Dieses Argument spielt auf einen Brute-Force-Angriff an, bei dem Passwörter durch Ausprobieren erraten werden können. Die These ist, dass 1 Milliarde Möglichkeiten für Passwörter ausreichen sollten, um sie nicht in hinnehmbarer Zeit zu erraten.
Nach kurzem Googeln findet man allerdings schnell zahlreiche Artikel, die belegen, dass es (je nach verwendetem Passwort-Aufbewahrungs-Algorithmus) durchaus möglich ist,  ein Passwort mit 1 Milliarde möglichen Kombinationen innerhalb von Sekunden zu knacken.
Beispiel: https://www.heise.de/security/meldung/Rekorde-im-Passwort-Knacken-durch-Riesen-GPU-Cluster-1762654.h...

 

  • „Die Wahrscheinlichkeit, dass ein Angreifer die richtige PIN errät, ist außerordentlich gering. Zudem hat ein Angreifer nicht unendlich viele Möglichkeiten, um die richtige PIN zu finden. Nach drei Fehlversuchen wird der Konto-/ Depotzugang gesperrt, somit ist eine sogenannte ‘Brute-Force-Attack‚ bei der computerunterstützt einfach alle theoretisch denkbaren xxx Mio. Kombinationen ausprobiert werden, nicht möglich. “Die Wahrscheinlichkeit mit drei Versuchen unsere fünfstellige PIN zu erraten, liegt bei rund 1 zu 300 Mio.“

Die Einschränkung der Versuche, über das Online-Portal Passwörter zu erraten, ist selbstverständlich und gängige Praxis bei sämtlichen Passwort-basierenden Authentifzierungs-Diensten/Services. Es ist allerdings nicht der einzige Angriffsvektor für Passwort-gesicherte Dienste. Irgendwo müssen die Passwörter nämlich auch in einer Datenbank gespeichert sein (bestenfalls in verschlüsselter Form), auf die möglicherweise auch noch andere Leute als der Benutzer Zugriff haben (z.B. Entwickler, Administratoren, Mitarbeiter, Server-Provider-Mitarbeiter/Entwickler/Administratoren) oder eben Hacker, die es geschafft haben, in irgendeinem Glied dieser Kette Datendiebstahl zu begehen.

Gelangt jemand in den Besitz dieser Datenbank, ist es mit einem vielstelligen Passwort, das unter Verwendung von sicheren kryptographischen Algorithmen geschützt wurde, auch für diese Menschen oder Hacker nicht möglich, das Passwort aus dem Datendiebstahl zu rekonstruieren.

Wer garantiert, dass sich in dieser Kette nicht eine einzige nicht vertrauenswürdige Person befindet? Wer garantiert, dass keine Person oder Maschine in dieser Kette jemals einen Sicherheits-relevanten Fehler begeht?

Es mag überzogen klingen - aber in Zeiten, in denen wöchentlich größere Datenverluste auch von großen oder sogar in der IT angesiedelten Unternehmen bekannt werden, ist dies nur eine Frage der Zeit, bis derartiges jede Unternehmung treffen kann.

Wäre die Möglichkeit eines mehrstelligen Passworts gegeben, hätte der Benutzer selbst die Möglichkeit, derartige Gefahrenszenarien zu eliminieren.

 

  • „Mit der PIN alleine können keine Transaktionen ausgeführt werden. Für jede Überweisung etc. ist zusätzlich eine TAN notwendig. Und die Verwendung der mobilen TAN oder des TAN Generators erhöht die Sicherheit auf ein Maximum.

Natürlich ist es selbstverständlich, dass in der heutigen Zeit das Angebot von 2-Faktor-Authentifzierung Pflicht sein sollte, wenn es um vertrauliche Daten geht. Die TAN ist eine Form der 2-Faktor-Authentifzierung. Leider deckt diese nicht vollständig den Bereich aller vertraulichen Daten ab. Kontostand, Kontoauszüge und andere vertrauliche Informationen sind nicht durch die TAN geschützt und können direkt nach Login eingesehen werden.

Denn was beispielsweise auch ein sicheres Passwort nicht verhindern kann, ist den Diebstahl des Passworts durch Malware (wie beispielsweise einen Keylogger). Ohne TAN/2-Faktor-Authentifzierung beim Login ist es für Malware/Viren ein Leichtes, sämtliche vertrauliche Informationen nur mithilfe des gestohlenen Passworts einzusehen.

 

Meine Vorschläge zur Verbesserung der Sicherheit sind daher:

- Aufheben der Passwort-Maximallänge (und die damit verbundene Softwareänderung) und Beibehaltung wirklicher Passwortverbesserungs-Kriterien (wie beispielsweise die bereits vorhandene Pflicht, Groß- und Kleinbuchstaben sowie Zahlen zu verwenden).

- Erweiterung der gültigen Passwort-Zeichen um Sonderzeichen, falls nicht vorhanden.

- Einführung der Möglichkeit, Webseiten-Logins mithilfe von TANs bestätigen zu müssen.

 

Viele für Anwender im Vergleich als unkritischere Services im Vergleich zu Online-Banking bezeichnete Dienste bieten bereits diese Form der Sicherheit. Für Online-Banking sollte es daher in jedem Fall ebenfalls so sein.

Meine Änderungsvorschläge beinhalten zudem einen optionalen Charakter, d.h. für User, denen ihre Sicherheit nicht so sehr am Herzen liegt, würde sich meiner Einschätzung nach zudem nahezu nichts ändern.

 

Für affine Interessierte hier vielleicht auch noch ein meiner Meinung nach anderer sehr interessanter Artikel bezüglich der Sache mit der Einschränkung der zulässigen Passwörter:
https://www.troyhunt.com/the-cobra-effect-that-is-disabling/

 

Ich erwarte kein vollständiges Verständnis für meinen erneuten Diskussionsanstoß, aber anscheinend hilft in diesem Fall (nämlich das Verbessern der Sicherheit) nur die Wiederholung von bereits häufig genannten Argumenten.


Viele Grüße
Maximilian S.

57 Antworten 57

Gelegentlicher Autor
  • Community Junior
  • Community Beobachter
  • Community Junior
  • Community Junior
Beiträge: 6
Registriert: 21.11.2016

Wenn dem so wäre, dann die hätte Sonja, die Sprecherin der Consorsbank doch glatt gelogen. Auch ich erwarte hier dringend eine Klarstellung!

 

Auch die Aussage von @CB_Sonja nichts über die Sicherheitsmaßnahmen zum Schutz der Datenbanken zu verraten wirft ein schlechtes Licht auf die Consorsbank (vgl. https://de.wikipedia.org/wiki/Security_through_obscurity).

 

Auch das Rechenbeispiel mit der Brute-Force-Attacke ist realitätsfremd. Wieso sollte der Angreifer nicht von einem Botnetz aus agieren, was die Response-Zeit damit als Variable der Rechnung entfernt? Es ließen sich Angriffe auf alle möglichen Konten zeitgleich ausführen und wenn dann erst einmal die PIN eines einzigen Kontos verifiziert wurde, glaube ich nicht, dass man durch Social Engineering nicht auch noch dazu kommt, seine Mobilfunknummer ändern zu lassen. Wie sehen die Sicherheitsmaßnahmen diesbezüglich aus? Oder herrscht hier auch wieder das Prinzip "Security through Obscurity"?

 

Das Sperren eines Kontos bei mehrfacher Falscheingabe der Credentials eröffnet übrigens einen anderen Angriffsvektor. Jeder Mensch, der die Kontonummer eines Consorsbank-Kunden hat, den er nicht mag, kann diesen dann ganz einfach aus dem System sperren indem er mehrfach falsche Daten eingibt. Wie geht die Consorbank hiermit um? Warum wird überhaupt die Kontonummer als Login verwendet? Das ist auch ein totales Unding!

 

Wie kann man sich bei all den Problemen hinstellen und laut in die Welt posaunen, dass das System hier sicher wäre? So ein schlechtes System habe ich ehrlich gesagt noch nie angetroffen, ich werde mich nun definitiv nach einer anderen Bank umsehen, so nervig das auch ist, aber hier muss die Marktmacht des Verbrauchers auch im Sinne der Allgemeinheit genutzt werden.


Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

Wie bereits schon erwähnt, will ich niemandem persönlich auf den Schlips treten. Man muss allerdings eingestehen, dass das dem Kunden einer Bank wie dieser, die weiterhin die Strategie fahren will, auf Sicherheitsbedenken nur mit Inkompetenz oder Ignoranz zu reagieren, nicht weiterzuhelfen scheint.

 

Da es anscheinend doch immer wieder Leute gibt, die es tatsächlich interessiert (und ich weiß wirklich nicht warum ich noch mehr Argumente für meinen Standpunkt bringen muss):

 

Das NIST (Bundesbehörde der USA u.a. für Sicherheitsstandards) arbeitet gerade (mal wieder) an einem Entwurf für die aktualisierten/neuen Authentifikations-Richtlinien, die von der kompletten Regierung (und besonders im öffentlichen Bereich) eingehalten werden müssen.

Hier einige kurze Auszüge dazu:

  • NIST’s new guidelines say you need a minimum of 8 characters.
  • NIST says you should allow a maximum length of at least 64, so no more “Sorry, your password can’t be longer than 16 characters.”
  • Applications must allow all printable ASCII characters, including spaces, and should accept all UNICODE characters, too, including emoji!

Und besonders:
"This is great advice, and considering that passwords must be hashed and salted when stored (which converts them to a fixed-length representation) there shouldn’t be unnecessary restrictions on length."


Quellen:

Ganzer Artikel (Englisch)

NIST Digital Authentication Guideline (Public Preview)

 

Wenn man bedenkt, dass bei dieser Bank hier keine einzige dieser Anforderungen auch nur ansatzweise erfüllt ist, muss man sich nicht wundern, warum Deutschland in vielen Bereichen anderen Ländern so weit hinterher ist, wenn es um (Achtung, Buzzword) Digitalisierung geht. Diese Bank ist keine Ausnahme.
(Mal ganz zu schweigen von der Tatsache, dass mein 2FA-Vorschlag den ich hier gemacht habe komplett unter den Tisch gekehrt wurde).

 

Euer Verfahren ist nicht sicher.

Tut was dagegen.


Autorität
Beiträge: 4629
Registriert: 06.02.2015

@mxscho, für wie 2FA braucht man dann aber eventuell wieder ein neues Gerät. Eine mTAN zu verwendet fällt eigentlich ausider man müsste die mTAN für die mobile Seite bzw. die Apps sperren und da würden die Kunden sich beschwerer, warum sie in der App keine mTAN mehr nutzen können. Per TAN-Generator könnte es gehen, wenn es darauf eine weitere Möglichkeit der TAN-Generierung gibt, die bisher nicht genutzt wird und diese in die vorhandenen Systeme eingebunden werden kann.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

@immermalanders Ich weiß nicht, ob ich dich zu 100% verstanden hab, da ich leider die App noch nicht benutzt habe.
Basierend auf der Aussage "warum sie in der App keine mTAN mehr nutzen können": Ist damit gemeint, dass der Funktionsumfang der App in etwa dem der Weboberfläche entspricht und man dort ebenfalls beispielsweise eine Überweisung durchführen kann und es in diesem Fall ausreicht, diese dann mit einer TAN, die per mTAN mit demselben Gerät per SMS empfangen wurde, zu bestätigen?
Falls das tatsächlich so ist (ich weiß es leider nicht), ist das ja sowieso eigentlich keine (gute) 2FA. Prinzipiell ist es eigentlich nie wirkliche 2FA, wenn man für beide Faktoren dasselbe Gerät bzw. dasselbe Betriebsystem benutzt (in dem Fall das Smartphone).

Dass das nicht ausreichend sicher ist, um als annehmbare 2FA durchzugehen, wurde bereits mehrmals klargestellt:

- https://www.heise.de/newsticker/meldung/32C3-pushTAN-App-der-Sparkasse-nach-wie-vor-angreifbar-30566...


Manche gehen sogar so weit, SMS nicht als eigenen Faktor zu akzeptieren, da es ein Leichtes zu sein scheint, per Social Engineering SIM-Karten von anderen Personen zu bekommen und deren SMS mitzulesen:
- https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/

- http://fortune.com/2016/06/27/two-factor-authentication-sms-text/
Aber das ist ein anderes Thema.

 

Falls ich dich richtig verstanden habe, sehe ich aber prinzipiell kein Problem in der Tatsache, dass die Sicherheit für Mobilkunden nicht steigt. Warum müsste man es für Mobilkunden deaktivieren? Meine Idee war es ja, die 2FA optional auch für den Login freizuschalten. Das würde ja (nach meinem Verständnis, bitte korrigiert mich) ja prinzipiell nur die Sicherheit der Browser-Nutzer verbessern, aber nicht gleichzeitig die der Mobil-Nutzer verschlechtern, die bliebe ja einfach gleich. Und für den Rest würde sich nichts ändern. (Genau wie bei der Sache mit dem Passwort. Die Maximallänge anzuheben ändert grundsätzlich erst einmal nichts für andere Nutzer. Ich möchte ja mit meinem Feedback kein Unmensch sein. Mir ist die Abwägung zwischen Sicherheit und Nutzerfreundlichkeit sogar sehr bewusst, sonst würde ich noch ganz andere Dinge vorschlagen. Deswegen ist mir diese Ignoranz gegenüber diesem Feedback ja so unverständlich - es sei denn, jemand erläutert mir die bürokratische Komplexität, warum es nicht möglich ist, ein System zu bauen und Angestellte zu beschäftigen, die dieses System in annehmbarer Zeit an die selbstverständlichen Sicherheitsstandards des Jahres 2016 anpassen können. Wenn es tatsächlich auch nur eine Frage des Geldes ist - na dann Hut ab zu dieser Entscheidung.)


Community Manager
Beiträge: 393
Registriert: 14.01.2014

Liebe Community,

 

alle Ihre Beiträge rund um das Thema Sicherheit sehen wir als wertvollen Input. Diese werden bei uns intern an unsere Sicherheitsexperten weitergeleitet.

Das Feedback, welches wir auf die jüngsten Beiträge zum Thema Sicherheit erhalten haben, teilen wir gerne mit Ihnen.

 

Die Implementierung einer 2-Faktor-Authentifizierung wird ein Element unserer Weiterentwicklungen sein. Einen konkreten Umsetzungszeitpunkt kann zum derzeitigen Stand nicht kommuniziert werden.

 

Folgende Punkte möchten wir in diesem Zusammenhang noch einmal herausstellen.

Die Möglichkeit einer längeren PIN bringt keinen signifikanten Sicherheitsgewinn, da Mechanismen implementiert sind, die gegen Angriffsszenarien von extern oder intern wirksam schützen. Diese wurden an verschiedenen Stellen hier bereits diskutiert.

 

Alle Transaktionen (Trade, Überweisung) sichern wir über einen 2. Faktor ab. Hierzu bieten wir Ihnen die mTAN oder den TAN-Generator als sichere Methode an.

Bitte berücksichtigen Sie den generellen Sicherheitshinweis, welcher gleichermaßen für Passwörter und PINs gilt, und ändern Sie Ihre variablen Zugangsdaten regelmäßig ab. 

 

Zuletzt möchte ich auf das Sicherheitsversprechen der Consorsbank ihren Kunden gegenüber hinweisen. Ein Versprechen, dass wir ernst meinen und nehmen.

Dieses Versprechen gehen wir nicht leichtfertig ein. Wir sind aus den genannten Mechanismen heraus von der Qualität unserer Systeme überzeugt.

 

Michael Herbst

Community Manager

 

 

PS

Bitte beachten Sie, dass die Moderatoren dieser Community, einschließlich mir, per Definition keine Sprecher der Consorsbank sind. Diese Funktion wird von meinen Kollegen in der Unternehmenskommunikation übernommen.

Wir leiten Ihre Fragen gerne intern weiter. Sobald uns entsprechendes Feedback vorliegt, teilen wir dieses gerne mit der Community.

 


Regelmäßiger Autor
Beiträge: 18
Registriert: 30.11.2016
Das fängt schon damit an, dass man sich mit seiner Konto(!)-Nummer einloggen muss und nur eine fünfstgellige PIN hat ...

Routinierter Autor
Beiträge: 142
Registriert: 11.05.2014

Eigentlich gibt es sogar mehr als eine Milliarde Möglichkeiten für die PIN.

 

Summe der möglichen Zeichen: 30 Buchstaben x 2(da groß und klein) + 10 Ziffern = 70

 

Möglichkeiten für die PIN:

70^5 = 70x70x70x70x70 = 1.680.700.000

 

Und was die These angeht, Passwort-Tabellen zu klauen:

Das ist Schwachsinn. PW werden nur als Hash-Wert gespeichert, die liegen nirgends in Klartext. Bei der Passwort-Eingabe wird die Eingabe zur Laufzeit in einen Hash umgewandelt und nur dieser wird mit dem gespeicherten Hash verglichen.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

@CB_Michael Danke für's Weiterleiten. Die Antwort war tatsächlich noch etwas positiver als die Resonanz zuvor. Vielleicht steigt die Signifikanz ja noch an.

 

@as_no5 Ich bin zwar nicht ganz sicher, in wie weit uns diese relativ irrelvante Korrektur der Zeitkomplexitätsabschätzung und das darauffolgende Totschlagargument (?) weiterhelfen, aber aufgrund der Tatsache dass du die Antwort noch 1:1 in drei weitere Threads gespammt hast nehme ich einfach mal an, dass du alle vorherigen Aussagen natürlich auch vollständig gelesen und in deinen Gedankenprozess mit einbezogen hast, nicht wahr? 😉


Routinierter Autor
Beiträge: 142
Registriert: 11.05.2014

@mxscho da hast sicherlich Recht, alles gelesen habe ich nicht, nur überflogen. Mir ging es nur um die PIN, die anderen Punkte überlasse ich gerne dir Smiley (zwinkernd)

 

Ich verstehe einfach die Diskussion zur PIN nicht... Nur 5 Stellen, blablabla... Schwachsinn. Mit Halbwissen lässt sich keine sachliche Diskussion führen, auch wenn das anscheinend Einige erzwingen wollen... Da werden ständig Äpfel mit Birnen verglichen. Hast ja auch die NIST-Richtlinien in die Diskussion eingebracht. Da geht es aber um Brute-Force und nicht um Logins, die nach 3 Falscheingaben gesperrt werden. Wie gesagt, Äpfel mit Birnen... Willst du mir ernsthaft sagen, dass du ein Passwort mit zB 16 Stellen immer eintippen wirst? Und es nicht im Browser speichern wirst oder sonst irgendwo? 5 Stellen kann man sich merken, das braucht man nicht aufschreiben... Das Problem bezüglich Sicherheit sitzt immer vor dem Rechner und nicht im Rechner...

 

Im Übrigen hab ich den gleichen Post reingehauen, weil in allen Beiträgen die 5-stellige PIN kritisiert wurde. Kann ja nix dafür, dass Leute nicht die Suche nutzen, bevor sie einen neuen Thread aufmachen Smiley (zwinkernd)

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

@as_no5 Nagut. Ich sehe natürlich ein, dass in den anderen Threads teilweise tatsächlich Unwahrheiten verbreitet werden/wurden.
Bevor du mir vorwirfst, dass ich Äpfel mit Birnen vergleiche, solltest du auch den ersten Teil des Threads nochmal lesen, in dem ich meinte, dass genau der von dir erwähnte 3-Versuche-Online-Brute-Force-Angriffsvektor irrelevant und nicht wichtig für die Diskussion ist.

Wie du so schön beschreibst sitzt das Problem vor dem Rechner, womit wir bei diversen "ITlern" aus der System-am-Laufen-halten-Abteilung wären.
Außerdem habe ich bereits erläutert, warum es keinen Nachteil, sondern nur Vorteile bringen würde, meine Vorschläge umzusetzen (und dass ich auch keinem User etwas aufzwingen wollen würde, wenn sie das Alte beibehalten wollten) - will mich jetzt aber nicht wiederholen.

 

Übrigens: Meine Passwörter sind im Schnitt keine 16, sondern eher 32-64 Zeichen lang. Und ja, ich tippe die tatsächlich nicht ein. Nicht einmal in dem Moment, wo ich sie zufällig generiere. Für sowas gibt es KeePass, 1Password, LastPass o.ä. Falls das jemand für paranoid hält: Gerne, akzeptiere ich. Siehe 2 Sätze weiter vorne. 🙂

 

 

Antworten