Community

Letzte Antwort zu: Wirecard zukaufen?
  • 88.992 Mitglieder, 
  • 48.377 Diskussionen, 
  • 811 Gelöste Fragen
Antworten
AccessDenied
Gelegentlicher Autor
  • Community Junior
Beiträge: 7
Registriert: 21.11.2016
Nachricht 31 von 51 (1.609 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

@immermalanders, würdest du mir bitte einen Link zu solch einem Verfahren zukommen lassen?
Ja, die 2FA ist also eigentlich schon umgesetzt, allerdings nur auf Nachfrage am Telefon. Eine andere Möglichkeit wäre die Verwendung eines speziellen Telefonpasswort, was wohl der derzeitige Standard bei anderen Anbietern ist.
Antworten
0 Likes
immermalanders
Autorität
Beiträge: 2475
Registriert: 06.02.2015
Nachricht 32 von 51 (1.595 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

@AccessDenied, das ist doch recht einfach zu machen. Beim Übermitteln den neuen Passworts liegt dieses im Klartext vor. Jetzt bildet man die Kombinationen aus den abzufragenden Stellen und speichert den entsprechenden Hash in der Datenbank ab. Jetzt kann man die Eingabe der zwei Stellen jeweils mit dem entsprechendem Hash vergleichen. So würde ich das umsetzen.

AccessDenied
Gelegentlicher Autor
  • Community Junior
Beiträge: 7
Registriert: 21.11.2016
Nachricht 33 von 51 (1.577 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

[ Bearbeitet ]

@immermalanders

Ok, danke, die Aussage genügt mir Smiley (zwinkernd)

Antworten
0 Likes
mxscho
Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016
Nachricht 34 von 51 (1.553 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

[ Bearbeitet ]

Weil das jetzt schon mehrfach angesprochen wurde:
Es ist vollkommen irrelevant, in welcher Form das Password/die PIN gespeichert wird.
Ein Hash (egal in welcher Form, selbst ein aufwändig zu berechnender) schützt 1 aus 5^10 möglichen Zeichenketten nicht vor Offline-Brute-Force.

Wenn ich raten müsste, würde ich sagen, dass die PINs vermutlich im Klartext abgespeichert sind. Möglicherweise sogar verschlüsselt (aber nicht gehasht), um irgendwelche Regularien zu erfüllen.

Die Bank ist vermutlich der Ansicht, dass ein Offline-Angriff oder ein Leak der Datenbank sowieso den Super-GAU darstellt und es damit Risikomanagement-technisch von Belangen ist, sich diesbezüglich abzusichern.

 

Der Schutz des Verfahrens beruht aktuell auf der Tatsache des Lockouts bei zu vielen Fehlversuchen.

Ein Problem könnte sein: Angenommen, jemand im Besitz eines Botnets mit bspw. > 10.000 verschiedenen IP-Adressen probiert nun bei 10.000 verschiedenen Accounts dasselbe Passwort (am besten noch eines der oft genutzten Kombinationen).
Wie hoch ist die Chance, sich an nur 1 der Accounts anzumelden?
Der IT-Sicherheits-Maximalist würde sagen: Inakzeptabel hoch.

Die Bank sagt (vermutlich): Wir haben genug Kapital, um den Schaden in so einem Fall auszugleichen.
Es kann natürlich auch einfach sein, dass derartige Angriffe auf andere Weise bspw. automatisiert erkannt und damit abgewehrt werden.

 

Das, was mich daran stört, ist eigentlich nur, dass ich in jedem Satz das Wort "vermutlich" benutzen muss, weil dieses Risikomodell nicht in zufriedenstellender Weise kommuniziert werden kann, weil die Bank nicht möchte, dass ihr Risikomodell bekannt ist.

Dies könnte man umgehen, indem man auf Vorschläge eingeht wie bspw. optionales 2FA beim Login zu ermöglichen, denn dann wäre man nicht mehr in der Bringschuld, sondern es wäre für jeden offensichtlich, dass das System bspw. gegen den zuvor angeführten Angriff abgesichert wurde.

 

Ich für meinen Teil hab aber mittlerweile einfach hingenommen, dass in 2018 jeder einzelne meiner Social-Media-Zugänge mehr abgesichert erscheint als sämtliche Accounts von Unternehmen aus stark regulierten Sektoren.

immermalanders
Autorität
Beiträge: 2475
Registriert: 06.02.2015
Nachricht 35 von 51 (1.538 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

@mxscho, da wir nicht wissen, wie die Passwörter gesichert sind, ist das alles reine Spekulation. Wird das Kennwort verschlüsselt oder "nur" als Hash gespeichert, könnte das im Finanzsektor gegen diverse Vorgaben verstoßen. Da in diesem Sektor regelmäßiger Audits stattfinden (sollten), wird an dieser Stelle sicherlich immer weiter nachgerüstet. Eine genaue Auskunft wird man dazu nicht bekommen.

 

Antworten
0 Likes
expat
Enthusiast
Beiträge: 402
Registriert: 14.11.2016
Nachricht 36 von 51 (1.506 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

"Ein Problem könnte sein: Angenommen, jemand im Besitz eines Botnets mit bspw. > 10.000 verschiedenen IP-Adressen probiert nun bei 10.000 verschiedenen Accounts dasselbe Passwort (am besten noch eines der oft genutzten Kombinationen)." (mxscho)

Mal zwei Gedanken dazu:

- Der Angreifer hat beim Login nur drei Versuche. Danach ist das Login gesperrt. Passiert sowas kurz hintereinander bei einer ganzen Anzahl Accounts, ruft das (hoffentlich) die IT Security der Bank auf den Plan. In jedem Fall aber war der Angriff dann ein Misserfolg.

- Angenommen, der Login / Angriff funktioniert tatsächlich bei dem einen oder anderen Konto aufgrund der hohen Anzahl (IMHO unwahrscheinlich): Was macht der Angreifer dann? AFAIK benötigt man für alle relevanten Transaktionen den TAN Generator.

 

Antworten
0 Likes
AccessDenied
Gelegentlicher Autor
  • Community Junior
Beiträge: 7
Registriert: 21.11.2016
Nachricht 37 von 51 (1.499 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

Der Angreifer weiß dann wem er ggf. mal einen Besuch abstatten sollte, da er für die Einsicht in die Vermögensbestände keine TAN benötigt.
Wie wird dieser Schaden quantifiziert? Wer würde in diesem Fall darauf vertrauen, dass die Consorsbank einen darüber informiert, so sie es denn überhaupt selbst mitbekommen?
Das ist schon ein gewaltiges Pokerspiel was die Consorsbank hier treibt. Leider bietet aber meines Wissens so gut wie keine Bank eine 2FA an. Allerdings werde ich da zumindest nicht nach meiner PIN gefragt und der Login ist nicht identisch mit meiner Kontonummer.
Sikk
Aufsteiger
Beiträge: 4
Registriert: 21.07.2015
Nachricht 38 von 51 (1.448 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

Wenn sich ein Angreifer Zugriff auf ein Kundenkonto verschafft hat, kann er natürlich noch keine Transaktionen durchführen, richtig. Er hat aber dafür Zugriff auf die (verifizierten) persönlichen Daten des Kunden. Ist DAS nicht schon Grund genug, die 2FA einzuführen?
Name, Adresse, Geburtsdatum, Mobilfunknummer, das alleine sind Daten, die in einschlägigen Kreisen eine Menge Geld wert sind. Dazu kommen noch die Daten übers Konto und das Depot: Wieviel Geld kommt rein, wo geht es hin? Wie legt er sein Geld an, eher vorsichtig und auf Sicherheit bedacht oder doch eher hohes Risiko? Das macht den Datensatz gleich noch wertvoller.

Mit diesen Daten kann man auch wunderbar bei Consors (oder anderswo) anrufen und sich für den Kunden ausgeben. Ich will das gar nicht weiter ausmalen.

Ein Blick auf das Referenzkonto, bei einer anderen Bank? Mal schauen, ob die PIN dort auch funktioniert? Ist natürlich Schuld des Kunden, aber wer "12345" als Passwort nimmt, macht auch sowas. Und Consors verhindert die 12345 _nicht_ als PIN, ich habe das ausprobiert, als ich mich das erste Mal dafür interessierte (und natürlich sofort wieder geändert).

Vielleicht würde es die Consorsbank auf die eigene Kappe nehmen, wenn doch irgendwie Geld verloren ginge, aber ganz bestimmt nicht ohne den Rechtsweg und der ist für den Kunden wesentlich anstrengender als für die Bank. Wenn man bei einem fehlerhaften Login eine Nachricht darüber bekäme, und sei es nur eine E-Mail, besser natürlich eine TAN, dann wäre man als Kunde ja wenigstens gewarnt.

Ich habe in den letzten paar Tagen zweimal meine PIN falsch eingegeben und keine Mail darüber bekommen, dafür bekam ich für jede Antwort, die seit gestern hier einging eine gesonderte Mail. Es geht doch offenbar und es kostet auch nichts. Und wenn ich zwei Euro von einem auf das andere Konto verschiebe, bekomme ich eine TAN, um das abzuschließen, warum denn nicht auch beim Login? (Ja, Community und Bank sind unterschiedliche Systeme und blablabla, aber um hier in der Community zu posten muss ich drüben in der Bank eingeloggt sein...)

Jetzt fange ich schon an zu schimpfen und höre besser auf :-) Sorry dafür.
Aber wenn Consors einmal gehackt wird, wird auch diese Diskussion hier wieder ans Licht gezerrt und man wird nicht sagen können, man hätte von nichts gewusst...
Antworten
0 Likes
Sigrid_W
Autorität
Beiträge: 1163
Registriert: 30.08.2016
Nachricht 39 von 51 (1.425 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

@Sikk

 

Ja, Community und Bank sind unterschiedliche Systeme und blablabla, aber um hier in der Community zu posten muss ich drüben in der Bank eingeloggt sein...

 

Das liegt aber daran, dass Du Dich mit Deinem Banklogin bei der Community angemeldet hast.

 

Ich habe zwei vom Banklogin unabhängige Community-Accounts (einer davon zu Testzwecken angelegt).

 

Ich wäre aber auch dafür, dass beim Banklogin zumindest nicht die Kontonummer zur Anmeldung genutzt würde. Und zusätzlich eine TAN wäre auch nicht schlecht.

Highlighted
cym80
Routinierter Autor
Beiträge: 128
Registriert: 11.10.2014
Nachricht 40 von 51 (1.381 Ansichten)

Betreff: Sicherheit der 5-stellige PIN, 2-Faktor-Authentifzierung (TAN) für Login

@mxscho:

 

"

Wenn ich raten müsste, würde ich sagen, dass die PINs vermutlich im Klartext abgespeichert sind. Möglicherweise sogar verschlüsselt (aber nicht gehasht), um irgendwelche Regularien zu erfüllen."

 

Dann hör doch auf zu raten und lies, was dir bereits in 2016 mitgeteilt wurde:

 

"Soviel sei verraten: die Passwörter werden in den Datenbanken gehashed gespeichert, mit Pepper und pro Kunde individuellem Salt."

 

https://wissen.consorsbank.de/t5/Feedback/Sicherheit-der-5-stellige-PIN-2-Faktor-Authentifzierung-TA...

 

Klar, wenn jemand tatsächlich offline Zugriff auf die DB erhalten würde, hilft das auch nur begrenzt. Aber wir dürfen doch sicherlich hoffen, dass in einem solchen Fall die DB schnellstens vom Netz genommen würde.