Wissen

... statt vermuten

abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

Hallo,

 

ich weiß, dass das Thema gerade erst aktiv behandelt wurde (https://wissen.consorsbank.de/t5/Feedback/Sicherheit-der-5-stelligen-PIN/td-p/32883), möchte aber nochmals ausführlich auf das offizielle Statement eingehen. Möglicherweise gibt es auch weitere Informationen oder regulatorische Problematiken, über die noch nicht offziell informatiert wurde.

Es wurde zwar bereits "abschließend geklärt", diese Aussage ist allerdings nach meiner informationstechnischen Ansicht nicht haltbar.

 

In der FAQ befindet sich ein Artikel bezüglich der Sicherheit der 5-stelligen PIN.
Hier: https://wissen.consorsbank.de/t5/PIN-TAN/Ist-meine-5-stellige-PIN-sicher/ta-p/15827

Aus IT-sicherheitstechnischer Sicht ist die Argumentation leider (auch aus meiner Sicht) nicht ausreichend, um die Sicherheit eines Accounts vor Missbrauch zu beweisen.

Hier kurz meine Kommentare zu den in dem Artikel genannten Argumenten.

 

  • „Die 5-stellige alphanumerische PIN schütz Ihren Kontozugang sehr effektiv. Die Kombination aus fünf Buchstaben (jeweils in Groß- oder Kleinschreibung) und Zahlen bedeutet, dass es nahezu eine Milliarde verschiedener Möglichkeiten gibt, die PIN zusammenzusetzen.“

Dieses Argument spielt auf einen Brute-Force-Angriff an, bei dem Passwörter durch Ausprobieren erraten werden können. Die These ist, dass 1 Milliarde Möglichkeiten für Passwörter ausreichen sollten, um sie nicht in hinnehmbarer Zeit zu erraten.
Nach kurzem Googeln findet man allerdings schnell zahlreiche Artikel, die belegen, dass es (je nach verwendetem Passwort-Aufbewahrungs-Algorithmus) durchaus möglich ist,  ein Passwort mit 1 Milliarde möglichen Kombinationen innerhalb von Sekunden zu knacken.
Beispiel: https://www.heise.de/security/meldung/Rekorde-im-Passwort-Knacken-durch-Riesen-GPU-Cluster-1762654.h...

 

  • „Die Wahrscheinlichkeit, dass ein Angreifer die richtige PIN errät, ist außerordentlich gering. Zudem hat ein Angreifer nicht unendlich viele Möglichkeiten, um die richtige PIN zu finden. Nach drei Fehlversuchen wird der Konto-/ Depotzugang gesperrt, somit ist eine sogenannte ‘Brute-Force-Attack‚ bei der computerunterstützt einfach alle theoretisch denkbaren xxx Mio. Kombinationen ausprobiert werden, nicht möglich. “Die Wahrscheinlichkeit mit drei Versuchen unsere fünfstellige PIN zu erraten, liegt bei rund 1 zu 300 Mio.“

Die Einschränkung der Versuche, über das Online-Portal Passwörter zu erraten, ist selbstverständlich und gängige Praxis bei sämtlichen Passwort-basierenden Authentifzierungs-Diensten/Services. Es ist allerdings nicht der einzige Angriffsvektor für Passwort-gesicherte Dienste. Irgendwo müssen die Passwörter nämlich auch in einer Datenbank gespeichert sein (bestenfalls in verschlüsselter Form), auf die möglicherweise auch noch andere Leute als der Benutzer Zugriff haben (z.B. Entwickler, Administratoren, Mitarbeiter, Server-Provider-Mitarbeiter/Entwickler/Administratoren) oder eben Hacker, die es geschafft haben, in irgendeinem Glied dieser Kette Datendiebstahl zu begehen.

Gelangt jemand in den Besitz dieser Datenbank, ist es mit einem vielstelligen Passwort, das unter Verwendung von sicheren kryptographischen Algorithmen geschützt wurde, auch für diese Menschen oder Hacker nicht möglich, das Passwort aus dem Datendiebstahl zu rekonstruieren.

Wer garantiert, dass sich in dieser Kette nicht eine einzige nicht vertrauenswürdige Person befindet? Wer garantiert, dass keine Person oder Maschine in dieser Kette jemals einen Sicherheits-relevanten Fehler begeht?

Es mag überzogen klingen - aber in Zeiten, in denen wöchentlich größere Datenverluste auch von großen oder sogar in der IT angesiedelten Unternehmen bekannt werden, ist dies nur eine Frage der Zeit, bis derartiges jede Unternehmung treffen kann.

Wäre die Möglichkeit eines mehrstelligen Passworts gegeben, hätte der Benutzer selbst die Möglichkeit, derartige Gefahrenszenarien zu eliminieren.

 

  • „Mit der PIN alleine können keine Transaktionen ausgeführt werden. Für jede Überweisung etc. ist zusätzlich eine TAN notwendig. Und die Verwendung der mobilen TAN oder des TAN Generators erhöht die Sicherheit auf ein Maximum.

Natürlich ist es selbstverständlich, dass in der heutigen Zeit das Angebot von 2-Faktor-Authentifzierung Pflicht sein sollte, wenn es um vertrauliche Daten geht. Die TAN ist eine Form der 2-Faktor-Authentifzierung. Leider deckt diese nicht vollständig den Bereich aller vertraulichen Daten ab. Kontostand, Kontoauszüge und andere vertrauliche Informationen sind nicht durch die TAN geschützt und können direkt nach Login eingesehen werden.

Denn was beispielsweise auch ein sicheres Passwort nicht verhindern kann, ist den Diebstahl des Passworts durch Malware (wie beispielsweise einen Keylogger). Ohne TAN/2-Faktor-Authentifzierung beim Login ist es für Malware/Viren ein Leichtes, sämtliche vertrauliche Informationen nur mithilfe des gestohlenen Passworts einzusehen.

 

Meine Vorschläge zur Verbesserung der Sicherheit sind daher:

- Aufheben der Passwort-Maximallänge (und die damit verbundene Softwareänderung) und Beibehaltung wirklicher Passwortverbesserungs-Kriterien (wie beispielsweise die bereits vorhandene Pflicht, Groß- und Kleinbuchstaben sowie Zahlen zu verwenden).

- Erweiterung der gültigen Passwort-Zeichen um Sonderzeichen, falls nicht vorhanden.

- Einführung der Möglichkeit, Webseiten-Logins mithilfe von TANs bestätigen zu müssen.

 

Viele für Anwender im Vergleich als unkritischere Services im Vergleich zu Online-Banking bezeichnete Dienste bieten bereits diese Form der Sicherheit. Für Online-Banking sollte es daher in jedem Fall ebenfalls so sein.

Meine Änderungsvorschläge beinhalten zudem einen optionalen Charakter, d.h. für User, denen ihre Sicherheit nicht so sehr am Herzen liegt, würde sich meiner Einschätzung nach zudem nahezu nichts ändern.

 

Für affine Interessierte hier vielleicht auch noch ein meiner Meinung nach anderer sehr interessanter Artikel bezüglich der Sache mit der Einschränkung der zulässigen Passwörter:
https://www.troyhunt.com/the-cobra-effect-that-is-disabling/

 

Ich erwarte kein vollständiges Verständnis für meinen erneuten Diskussionsanstoß, aber anscheinend hilft in diesem Fall (nämlich das Verbessern der Sicherheit) nur die Wiederholung von bereits häufig genannten Argumenten.


Viele Grüße
Maximilian S.

57 ANTWORTEN 57

Moderator
Beiträge: 45
Registriert: 22.08.2017

Liebe Community,

Ihre Sicherheit beim Online-Banking steht bei uns an höchster Stelle. Die wichtigsten Punkte hierzu führen wir in unserem Sicherheitsversprechen an Sie auf.

Es laufen derzeit Projekte zur Erhöhung der Sicherheit, welche auch die hier genannten Punkte aufgreifen.

Weitere Informationen liegen uns gegenwärtig nicht vor. 

Freundliche Grüße

CB_Julia
Community-Moderatorin

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Beobachter
  • Community Junior
  • Community Junior
Beiträge: 8
Registriert: 12.01.2017
Die IT-Abteilungen weisen gerade wieder vor dem Hintergrund von "Spectre" und "Meltdown" darauf hin: "Verwenden Sie Multi-Faktor-Authentifizierung, um auf sensible Information zuzugreifen, falls verfügbar, z.B. für Bank- oder Mail-Webseiten."

Aufsteiger
  • Community Junior
  • Community Junior
Beiträge: 2
Registriert: 12.04.2018

Hallo,

ich bin gerade mal über diesen Thread hier gestolpert.

 

Gibts den neben den ganzen Anschuldigungen und Vorwürfen auch was konkretes zum dem Thema seitens Cortal Consors?

 

Ich bin selbst Softwareentwickler ... und mal ganz ehrlich ... der Nickname hier im Forum hat fast höhere Komplexitätsanforderungen als das Passwort für den Login. Mehr muss man dazu wohl kaum sagen.

 

Wenn eine IT-Abteilung einer Bank nicht in der Lage ist zumindest in der Zeit in der dieser Post läuft eine zuverlässige Aussage zu machen ... Geschweige den eine echte Verbesserung zu liefern dann würde ich erwarten das hier seitens des Managements reagiert wird.

 

Gruss

 

Jürgen

 

 

 

 


Regelmäßiger Autor
Beiträge: 41
Registriert: 10.12.2015

Die Consorsbank sollte sich hier wirklich mal bewegen, zumal die Kennwörter wohl fahrlässigigerweise im Klartext abgespeichert werden. Wie sonst könnte der Telefonsupport Teile der Zugangsdaten zur Authentifizierung abfragen?


Moderator
Beiträge: 568
Registriert: 17.09.2015

Hallo @Lion-King, Hallo @JürgenM,

haben Sie vielen Dank für Ihre Anfragen. Ich darf an dieser Stelle auf unsere noch immer aktuelle Stellungnahme verweisen. Diese finden Sie hier.

https://wissen.consorsbank.de/t5/Feedback/Sicherheit-der-5-stelligen-PIN/m-p/33048/highlight/true#M1...

@Lionking.

Ihre Vermutung, dass in der Telefonischen Kundenbetreuung Zugriff auf die PIN besteht ist nicht richtig. Weder die Kollegen dort, noch an anderer Stelle haben Zugriff auf Klartext PIN.

Beste Grüße

CB_Kai

Community Moderator

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

Die Implementierung einer 2-Faktor-Authentifizierung wird ein Element unserer Weiterentwicklungen sein. Einen konkreten Umsetzungszeitpunkt kann zum derzeitigen Stand nicht kommuniziert werden.

Quelle: @CB_Michael, 28.11.2016

 

@CB_Kai 

Das ist jetzt 1,5 Jahre her.
Ist die Consorsbank transparent genug, um den Grund anzugeben, warum es aktuell noch kein 2FA für Login gibt?

0 Likes

Moderator
Beiträge: 455
Registriert: 21.08.2017

Hallo @mxscho,

vielen Dank für Ihren Beitrag und die erneute Nachfrage. 

Wir haben Ihre Anfrage zur weiteren Klärung an die zuständigen Kollegen weitergeleitet. Sobald uns eine Rückmeldung vorliegt, werden wir Sie an dieser Stelle selbstverständlich umgehend informieren. 

Vielen Dank und viele Grüße

CB_Susan
Community-Moderatorin

0 Likes

Gelegentlicher Autor
Beiträge: 32
Registriert: 14.01.2015

@CB_Julia Gibt es schon etwas Neues über die "derzeit laufenden Projekte zur Erhöhung der Sicherheit", die in diesem Thread immer wieder erwähnt werden, zuletzt vor knapp einem Jahr?

 

0 Likes

Moderator
Beiträge: 478
Registriert: 15.10.2015

Hallo @kopterpilot,

vielen Dank für Ihre Nachfrage zur Erhöhung der Sicherheit.

Seien Sie vergewissert, dass dies ein sehr wichtiges Thema sowohl für die Kunden aber auch nicht minder für die Consorsbank selbst ist.

Es wird mit Hochdruck an einer zeitnahen Umsetzung neuer Sicherheitsmerkmale gearbeitet.

Weitere Informationen werden wir selbstverständlich an dieser Stelle bekannt geben, sobald uns diese als gesichert vorliegen.

Freundliche Grüße

CB_Petra
Community Moderatorin

0 Likes

Aufsteiger
  • Community Junior
  • Community Beobachter
  • Community Junior
Beiträge: 2
Registriert: 12.12.2018

Also ganz ehrlich, ich muss einmal loswerden dass ich das etwas peinlich finde, was Consorsbank hier mit der Sicherheit veranstaltet. Ich als Freiberufler in der IT habe viele Accounts auf allen möglichen Plattformen - und das am schlechtesten abgesicherte ist meine Bank! 5 Zeichen ... kein MFA ... ich bin fast geneigt zu sagen, das alleine ist schon ein Grund mich nach Alternativen umzuschauen.

 

"Es wird mit Hochdruck an einer zeitnahen Umsetzung neuer Sicherheitsmerkmale gearbeitet." - Hochdruck heißt in der IT heutzutage innerhalb von 24 Stunden maximum. Jetzt sind wieder 5+ Monate vergangen.

 

Ich weiß dies ist kein sonderlich konstruktiver Beitrag, aber ich musste einmal meinen Unmut äußern. Und ich denke das geht nicht nur mir so.

Antworten