Hallo,
ich weiß, dass das Thema gerade erst aktiv behandelt wurde (https://wissen.consorsbank.de/t5/Feedback/Sicherheit-der-5-stelligen-PIN/td-p/32883), möchte aber nochmals ausführlich auf das offizielle Statement eingehen. Möglicherweise gibt es auch weitere Informationen oder regulatorische Problematiken, über die noch nicht offziell informatiert wurde.
Es wurde zwar bereits "abschließend geklärt", diese Aussage ist allerdings nach meiner informationstechnischen Ansicht nicht haltbar.
In der FAQ befindet sich ein Artikel bezüglich der Sicherheit der 5-stelligen PIN.
Hier: https://wissen.consorsbank.de/t5/PIN-TAN/Ist-meine-5-stellige-PIN-sicher/ta-p/15827
Aus IT-sicherheitstechnischer Sicht ist die Argumentation leider (auch aus meiner Sicht) nicht ausreichend, um die Sicherheit eines Accounts vor Missbrauch zu beweisen.
Hier kurz meine Kommentare zu den in dem Artikel genannten Argumenten.
Dieses Argument spielt auf einen Brute-Force-Angriff an, bei dem Passwörter durch Ausprobieren erraten werden können. Die These ist, dass 1 Milliarde Möglichkeiten für Passwörter ausreichen sollten, um sie nicht in hinnehmbarer Zeit zu erraten.
Nach kurzem Googeln findet man allerdings schnell zahlreiche Artikel, die belegen, dass es (je nach verwendetem Passwort-Aufbewahrungs-Algorithmus) durchaus möglich ist, ein Passwort mit 1 Milliarde möglichen Kombinationen innerhalb von Sekunden zu knacken.
Beispiel: https://www.heise.de/security/meldung/Rekorde-im-Passwort-Knacken-durch-Riesen-GPU-Cluster-1762654.h...
Die Einschränkung der Versuche, über das Online-Portal Passwörter zu erraten, ist selbstverständlich und gängige Praxis bei sämtlichen Passwort-basierenden Authentifzierungs-Diensten/Services. Es ist allerdings nicht der einzige Angriffsvektor für Passwort-gesicherte Dienste. Irgendwo müssen die Passwörter nämlich auch in einer Datenbank gespeichert sein (bestenfalls in verschlüsselter Form), auf die möglicherweise auch noch andere Leute als der Benutzer Zugriff haben (z.B. Entwickler, Administratoren, Mitarbeiter, Server-Provider-Mitarbeiter/Entwickler/Administratoren) oder eben Hacker, die es geschafft haben, in irgendeinem Glied dieser Kette Datendiebstahl zu begehen.
Gelangt jemand in den Besitz dieser Datenbank, ist es mit einem vielstelligen Passwort, das unter Verwendung von sicheren kryptographischen Algorithmen geschützt wurde, auch für diese Menschen oder Hacker nicht möglich, das Passwort aus dem Datendiebstahl zu rekonstruieren.
Wer garantiert, dass sich in dieser Kette nicht eine einzige nicht vertrauenswürdige Person befindet? Wer garantiert, dass keine Person oder Maschine in dieser Kette jemals einen Sicherheits-relevanten Fehler begeht?
Es mag überzogen klingen - aber in Zeiten, in denen wöchentlich größere Datenverluste auch von großen oder sogar in der IT angesiedelten Unternehmen bekannt werden, ist dies nur eine Frage der Zeit, bis derartiges jede Unternehmung treffen kann.
Wäre die Möglichkeit eines mehrstelligen Passworts gegeben, hätte der Benutzer selbst die Möglichkeit, derartige Gefahrenszenarien zu eliminieren.
Natürlich ist es selbstverständlich, dass in der heutigen Zeit das Angebot von 2-Faktor-Authentifzierung Pflicht sein sollte, wenn es um vertrauliche Daten geht. Die TAN ist eine Form der 2-Faktor-Authentifzierung. Leider deckt diese nicht vollständig den Bereich aller vertraulichen Daten ab. Kontostand, Kontoauszüge und andere vertrauliche Informationen sind nicht durch die TAN geschützt und können direkt nach Login eingesehen werden.
Denn was beispielsweise auch ein sicheres Passwort nicht verhindern kann, ist den Diebstahl des Passworts durch Malware (wie beispielsweise einen Keylogger). Ohne TAN/2-Faktor-Authentifzierung beim Login ist es für Malware/Viren ein Leichtes, sämtliche vertrauliche Informationen nur mithilfe des gestohlenen Passworts einzusehen.
Meine Vorschläge zur Verbesserung der Sicherheit sind daher:
- Aufheben der Passwort-Maximallänge (und die damit verbundene Softwareänderung) und Beibehaltung wirklicher Passwortverbesserungs-Kriterien (wie beispielsweise die bereits vorhandene Pflicht, Groß- und Kleinbuchstaben sowie Zahlen zu verwenden).
- Erweiterung der gültigen Passwort-Zeichen um Sonderzeichen, falls nicht vorhanden.
- Einführung der Möglichkeit, Webseiten-Logins mithilfe von TANs bestätigen zu müssen.
Viele für Anwender im Vergleich als unkritischere Services im Vergleich zu Online-Banking bezeichnete Dienste bieten bereits diese Form der Sicherheit. Für Online-Banking sollte es daher in jedem Fall ebenfalls so sein.
Meine Änderungsvorschläge beinhalten zudem einen optionalen Charakter, d.h. für User, denen ihre Sicherheit nicht so sehr am Herzen liegt, würde sich meiner Einschätzung nach zudem nahezu nichts ändern.
Für affine Interessierte hier vielleicht auch noch ein meiner Meinung nach anderer sehr interessanter Artikel bezüglich der Sache mit der Einschränkung der zulässigen Passwörter:
https://www.troyhunt.com/the-cobra-effect-that-is-disabling/
Ich erwarte kein vollständiges Verständnis für meinen erneuten Diskussionsanstoß, aber anscheinend hilft in diesem Fall (nämlich das Verbessern der Sicherheit) nur die Wiederholung von bereits häufig genannten Argumenten.
Viele Grüße
Maximilian S.
Technisch ist das Thema seit 2016 zumindest von Kundenseite ausreichend bewertet worden.
Für mich bedeutet die mangelhafte Umsetzung der Sicherheit beim Login zum Online Banking, dass ich mich aktiv nach einem anderen Anbieter umschaue, der in der Lage ist mir einen zeitgemäßen Zugang mit MFA zu bieten, da ich befürchte dass das restliche Sicherheitsverständnis der Consorsbank ähnlich schwach ausgeprägt ist - meine andere Bank wird dabei auch gewechselt - mehr als 8-stellig, alphanumerisch schafft die andere Bank aktuell auch nicht.
MIr würde es schon reichen, wenn ich den Login ähnlich wie meine Finanztransaktionen per mTAN absichern könnte.
[...] MIr würde es schon reichen, wenn ich den Login ähnlich wie meine Finanztransaktionen per mTAN absichern könnte. [...]
Ich bin mir nicht sicher, ob demnächst eine 2-Faktor-Authentifzierung mithilfe einer SMS im Fananzsektor noch zulässig ist. Zur Freigabe von Transaktionen dürfen demnächst keine SMS mehr verwendet werden. Die TAN-Listen (in jeglicher Form) sind dann, wenn ich mich richtig erinnere, auch nicht mehr zulässig. Und was soll dann der 2. Faktor sein, wenn man sich in der App auf dem Handy anmeldet? Auch eine SMS??
Wie (un)sicher eine 2-Faktor-Authentifzierung mithilfe einer SMS ist konnten bereits ein paar Firmen feststellen, bei denen genau über diesen Weg unbefugte ins System eingedrungen sind.
Ich habe nichts gegen eine 2FA und würde sie begrüßen, aber sie sollte auch sicher sein und nicht "einfach" ausgehebelt werden können.
Hallo @CB_Petra,
dass "mit Hochdruck an einer zeitnahen Umsetzung neuer Sicherheitsmerkmale gearbeitet" wird, hat mich sehr beruhigt. Da Ihre Nachricht nun ein knappes Jahr zurückliegt
Hallo @kopterpilot,
vielen Dank für Ihre Nachfrage.
Ab September 2019 erhöhen wir den Schutz im Online-Banking noch weiter. Mit der 2-Faktor-Authentifizierung (2-stufiger Login) melden Sie sich mit mindestens zwei voneinander unabhängigen Faktoren an. Das ist heute bereits so, wenn Sie online Überweisungen aufgeben. Konkret heißt das, dass künftig zusätzlich zu Kontonummer und PIN ein weiterer Faktor erforderlich ist.
Unter diesem Link erhalten Sie hierzu alle aktuell verfügbaren Informationen.
Viele Grüße
CB_Mine
Community-Moderatorin
Hallo @CB_Mine ,
aha, und mein 5-stelliges Buchstaben-Passwort bleibt?
2-stufiges Login ist EU-Richtlinie, damit wird die Consorsbank ab September immernoch am untersten Ende der Sicherheitsskala bleiben.
Viele Grüße
Sören
Hallo @sjentzsch,
aktuell liegen uns zu einer möglichen Änderung der 5-stelligen Online-PIN keine anders lautenden Informationen vor.
Allerdings wurde das Thema "Sicherheit der PIN" in der Vergangenheit bereits sehr ausgiebig in der Community diskutiert. Unsere zusammengefassten Erläuterungen können Sie hier noch einmal nachlesen.
Vielen Dank und viele Grüße
CB_Mine
Community-Moderatorin
Seit heute, 09. September 2019, ist die Authentifzierung sicherer geworden, aber auch nerviger.
Zitat von der Startseite der Consorsbank:
Online-Banking noch sicherer