Wissen

... statt vermuten

abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Gelegentlicher Autor
  • Community Junior
  • Community Beobachter
  • Community Junior
  • Community Junior
Beiträge: 6
Registriert: 21.11.2016

Wenn dem so wäre, dann die hätte Sonja, die Sprecherin der Consorsbank doch glatt gelogen. Auch ich erwarte hier dringend eine Klarstellung!

 

Auch die Aussage von @CB_Sonja nichts über die Sicherheitsmaßnahmen zum Schutz der Datenbanken zu verraten wirft ein schlechtes Licht auf die Consorsbank (vgl. https://de.wikipedia.org/wiki/Security_through_obscurity).

 

Auch das Rechenbeispiel mit der Brute-Force-Attacke ist realitätsfremd. Wieso sollte der Angreifer nicht von einem Botnetz aus agieren, was die Response-Zeit damit als Variable der Rechnung entfernt? Es ließen sich Angriffe auf alle möglichen Konten zeitgleich ausführen und wenn dann erst einmal die PIN eines einzigen Kontos verifiziert wurde, glaube ich nicht, dass man durch Social Engineering nicht auch noch dazu kommt, seine Mobilfunknummer ändern zu lassen. Wie sehen die Sicherheitsmaßnahmen diesbezüglich aus? Oder herrscht hier auch wieder das Prinzip "Security through Obscurity"?

 

Das Sperren eines Kontos bei mehrfacher Falscheingabe der Credentials eröffnet übrigens einen anderen Angriffsvektor. Jeder Mensch, der die Kontonummer eines Consorsbank-Kunden hat, den er nicht mag, kann diesen dann ganz einfach aus dem System sperren indem er mehrfach falsche Daten eingibt. Wie geht die Consorbank hiermit um? Warum wird überhaupt die Kontonummer als Login verwendet? Das ist auch ein totales Unding!

 

Wie kann man sich bei all den Problemen hinstellen und laut in die Welt posaunen, dass das System hier sicher wäre? So ein schlechtes System habe ich ehrlich gesagt noch nie angetroffen, ich werde mich nun definitiv nach einer anderen Bank umsehen, so nervig das auch ist, aber hier muss die Marktmacht des Verbrauchers auch im Sinne der Allgemeinheit genutzt werden.


Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

Wie bereits schon erwähnt, will ich niemandem persönlich auf den Schlips treten. Man muss allerdings eingestehen, dass das dem Kunden einer Bank wie dieser, die weiterhin die Strategie fahren will, auf Sicherheitsbedenken nur mit Inkompetenz oder Ignoranz zu reagieren, nicht weiterzuhelfen scheint.

 

Da es anscheinend doch immer wieder Leute gibt, die es tatsächlich interessiert (und ich weiß wirklich nicht warum ich noch mehr Argumente für meinen Standpunkt bringen muss):

 

Das NIST (Bundesbehörde der USA u.a. für Sicherheitsstandards) arbeitet gerade (mal wieder) an einem Entwurf für die aktualisierten/neuen Authentifikations-Richtlinien, die von der kompletten Regierung (und besonders im öffentlichen Bereich) eingehalten werden müssen.

Hier einige kurze Auszüge dazu:

  • NIST’s new guidelines say you need a minimum of 8 characters.
  • NIST says you should allow a maximum length of at least 64, so no more “Sorry, your password can’t be longer than 16 characters.”
  • Applications must allow all printable ASCII characters, including spaces, and should accept all UNICODE characters, too, including emoji!

Und besonders:
"This is great advice, and considering that passwords must be hashed and salted when stored (which converts them to a fixed-length representation) there shouldn’t be unnecessary restrictions on length."


Quellen:

Ganzer Artikel (Englisch)

NIST Digital Authentication Guideline (Public Preview)

 

Wenn man bedenkt, dass bei dieser Bank hier keine einzige dieser Anforderungen auch nur ansatzweise erfüllt ist, muss man sich nicht wundern, warum Deutschland in vielen Bereichen anderen Ländern so weit hinterher ist, wenn es um (Achtung, Buzzword) Digitalisierung geht. Diese Bank ist keine Ausnahme.
(Mal ganz zu schweigen von der Tatsache, dass mein 2FA-Vorschlag den ich hier gemacht habe komplett unter den Tisch gekehrt wurde).

 

Euer Verfahren ist nicht sicher.

Tut was dagegen.


Autorität
Beiträge: 3863
Registriert: 06.02.2015

@mxscho, für wie 2FA braucht man dann aber eventuell wieder ein neues Gerät. Eine mTAN zu verwendet fällt eigentlich ausider man müsste die mTAN für die mobile Seite bzw. die Apps sperren und da würden die Kunden sich beschwerer, warum sie in der App keine mTAN mehr nutzen können. Per TAN-Generator könnte es gehen, wenn es darauf eine weitere Möglichkeit der TAN-Generierung gibt, die bisher nicht genutzt wird und diese in die vorhandenen Systeme eingebunden werden kann.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

@immermalanders Ich weiß nicht, ob ich dich zu 100% verstanden hab, da ich leider die App noch nicht benutzt habe.
Basierend auf der Aussage "warum sie in der App keine mTAN mehr nutzen können": Ist damit gemeint, dass der Funktionsumfang der App in etwa dem der Weboberfläche entspricht und man dort ebenfalls beispielsweise eine Überweisung durchführen kann und es in diesem Fall ausreicht, diese dann mit einer TAN, die per mTAN mit demselben Gerät per SMS empfangen wurde, zu bestätigen?
Falls das tatsächlich so ist (ich weiß es leider nicht), ist das ja sowieso eigentlich keine (gute) 2FA. Prinzipiell ist es eigentlich nie wirkliche 2FA, wenn man für beide Faktoren dasselbe Gerät bzw. dasselbe Betriebsystem benutzt (in dem Fall das Smartphone).

Dass das nicht ausreichend sicher ist, um als annehmbare 2FA durchzugehen, wurde bereits mehrmals klargestellt:

- https://www.heise.de/newsticker/meldung/32C3-pushTAN-App-der-Sparkasse-nach-wie-vor-angreifbar-30566...


Manche gehen sogar so weit, SMS nicht als eigenen Faktor zu akzeptieren, da es ein Leichtes zu sein scheint, per Social Engineering SIM-Karten von anderen Personen zu bekommen und deren SMS mitzulesen:
- https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/

- http://fortune.com/2016/06/27/two-factor-authentication-sms-text/
Aber das ist ein anderes Thema.

 

Falls ich dich richtig verstanden habe, sehe ich aber prinzipiell kein Problem in der Tatsache, dass die Sicherheit für Mobilkunden nicht steigt. Warum müsste man es für Mobilkunden deaktivieren? Meine Idee war es ja, die 2FA optional auch für den Login freizuschalten. Das würde ja (nach meinem Verständnis, bitte korrigiert mich) ja prinzipiell nur die Sicherheit der Browser-Nutzer verbessern, aber nicht gleichzeitig die der Mobil-Nutzer verschlechtern, die bliebe ja einfach gleich. Und für den Rest würde sich nichts ändern. (Genau wie bei der Sache mit dem Passwort. Die Maximallänge anzuheben ändert grundsätzlich erst einmal nichts für andere Nutzer. Ich möchte ja mit meinem Feedback kein Unmensch sein. Mir ist die Abwägung zwischen Sicherheit und Nutzerfreundlichkeit sogar sehr bewusst, sonst würde ich noch ganz andere Dinge vorschlagen. Deswegen ist mir diese Ignoranz gegenüber diesem Feedback ja so unverständlich - es sei denn, jemand erläutert mir die bürokratische Komplexität, warum es nicht möglich ist, ein System zu bauen und Angestellte zu beschäftigen, die dieses System in annehmbarer Zeit an die selbstverständlichen Sicherheitsstandards des Jahres 2016 anpassen können. Wenn es tatsächlich auch nur eine Frage des Geldes ist - na dann Hut ab zu dieser Entscheidung.)


Community Manager
Beiträge: 411
Registriert: 14.01.2014

Liebe Community,

 

alle Ihre Beiträge rund um das Thema Sicherheit sehen wir als wertvollen Input. Diese werden bei uns intern an unsere Sicherheitsexperten weitergeleitet.

Das Feedback, welches wir auf die jüngsten Beiträge zum Thema Sicherheit erhalten haben, teilen wir gerne mit Ihnen.

 

Die Implementierung einer 2-Faktor-Authentifizierung wird ein Element unserer Weiterentwicklungen sein. Einen konkreten Umsetzungszeitpunkt kann zum derzeitigen Stand nicht kommuniziert werden.

 

Folgende Punkte möchten wir in diesem Zusammenhang noch einmal herausstellen.

Die Möglichkeit einer längeren PIN bringt keinen signifikanten Sicherheitsgewinn, da Mechanismen implementiert sind, die gegen Angriffsszenarien von extern oder intern wirksam schützen. Diese wurden an verschiedenen Stellen hier bereits diskutiert.

 

Alle Transaktionen (Trade, Überweisung) sichern wir über einen 2. Faktor ab. Hierzu bieten wir Ihnen die mTAN oder den TAN-Generator als sichere Methode an.

Bitte berücksichtigen Sie den generellen Sicherheitshinweis, welcher gleichermaßen für Passwörter und PINs gilt, und ändern Sie Ihre variablen Zugangsdaten regelmäßig ab. 

 

Zuletzt möchte ich auf das Sicherheitsversprechen der Consorsbank ihren Kunden gegenüber hinweisen. Ein Versprechen, dass wir ernst meinen und nehmen.

Dieses Versprechen gehen wir nicht leichtfertig ein. Wir sind aus den genannten Mechanismen heraus von der Qualität unserer Systeme überzeugt.

 

Michael Herbst

Community Manager

 

 

PS

Bitte beachten Sie, dass die Moderatoren dieser Community, einschließlich mir, per Definition keine Sprecher der Consorsbank sind. Diese Funktion wird von meinen Kollegen in der Unternehmenskommunikation übernommen.

Wir leiten Ihre Fragen gerne intern weiter. Sobald uns entsprechendes Feedback vorliegt, teilen wir dieses gerne mit der Community.

 


Regelmäßiger Autor
Beiträge: 25
Registriert: 30.11.2016
Das fängt schon damit an, dass man sich mit seiner Konto(!)-Nummer einloggen muss und nur eine fünfstgellige PIN hat ...

Routinierter Autor
Beiträge: 144
Registriert: 11.05.2014

Eigentlich gibt es sogar mehr als eine Milliarde Möglichkeiten für die PIN.

 

Summe der möglichen Zeichen: 30 Buchstaben x 2(da groß und klein) + 10 Ziffern = 70

 

Möglichkeiten für die PIN:

70^5 = 70x70x70x70x70 = 1.680.700.000

 

Und was die These angeht, Passwort-Tabellen zu klauen:

Das ist Schwachsinn. PW werden nur als Hash-Wert gespeichert, die liegen nirgends in Klartext. Bei der Passwort-Eingabe wird die Eingabe zur Laufzeit in einen Hash umgewandelt und nur dieser wird mit dem gespeicherten Hash verglichen.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

@CB_Michael Danke für's Weiterleiten. Die Antwort war tatsächlich noch etwas positiver als die Resonanz zuvor. Vielleicht steigt die Signifikanz ja noch an.

 

@as_no5 Ich bin zwar nicht ganz sicher, in wie weit uns diese relativ irrelvante Korrektur der Zeitkomplexitätsabschätzung und das darauffolgende Totschlagargument (?) weiterhelfen, aber aufgrund der Tatsache dass du die Antwort noch 1:1 in drei weitere Threads gespammt hast nehme ich einfach mal an, dass du alle vorherigen Aussagen natürlich auch vollständig gelesen und in deinen Gedankenprozess mit einbezogen hast, nicht wahr? 😉


Routinierter Autor
Beiträge: 144
Registriert: 11.05.2014

@mxscho da hast sicherlich Recht, alles gelesen habe ich nicht, nur überflogen. Mir ging es nur um die PIN, die anderen Punkte überlasse ich gerne dir Smiley (zwinkernd)

 

Ich verstehe einfach die Diskussion zur PIN nicht... Nur 5 Stellen, blablabla... Schwachsinn. Mit Halbwissen lässt sich keine sachliche Diskussion führen, auch wenn das anscheinend Einige erzwingen wollen... Da werden ständig Äpfel mit Birnen verglichen. Hast ja auch die NIST-Richtlinien in die Diskussion eingebracht. Da geht es aber um Brute-Force und nicht um Logins, die nach 3 Falscheingaben gesperrt werden. Wie gesagt, Äpfel mit Birnen... Willst du mir ernsthaft sagen, dass du ein Passwort mit zB 16 Stellen immer eintippen wirst? Und es nicht im Browser speichern wirst oder sonst irgendwo? 5 Stellen kann man sich merken, das braucht man nicht aufschreiben... Das Problem bezüglich Sicherheit sitzt immer vor dem Rechner und nicht im Rechner...

 

Im Übrigen hab ich den gleichen Post reingehauen, weil in allen Beiträgen die 5-stellige PIN kritisiert wurde. Kann ja nix dafür, dass Leute nicht die Suche nutzen, bevor sie einen neuen Thread aufmachen Smiley (zwinkernd)

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Anerkannter Autor
  • Community Beobachter
Beiträge: 10
Registriert: 06.10.2016

@as_no5 Nagut. Ich sehe natürlich ein, dass in den anderen Threads teilweise tatsächlich Unwahrheiten verbreitet werden/wurden.
Bevor du mir vorwirfst, dass ich Äpfel mit Birnen vergleiche, solltest du auch den ersten Teil des Threads nochmal lesen, in dem ich meinte, dass genau der von dir erwähnte 3-Versuche-Online-Brute-Force-Angriffsvektor irrelevant und nicht wichtig für die Diskussion ist.

Wie du so schön beschreibst sitzt das Problem vor dem Rechner, womit wir bei diversen "ITlern" aus der System-am-Laufen-halten-Abteilung wären.
Außerdem habe ich bereits erläutert, warum es keinen Nachteil, sondern nur Vorteile bringen würde, meine Vorschläge umzusetzen (und dass ich auch keinem User etwas aufzwingen wollen würde, wenn sie das Alte beibehalten wollten) - will mich jetzt aber nicht wiederholen.

 

Übrigens: Meine Passwörter sind im Schnitt keine 16, sondern eher 32-64 Zeichen lang. Und ja, ich tippe die tatsächlich nicht ein. Nicht einmal in dem Moment, wo ich sie zufällig generiere. Für sowas gibt es KeePass, 1Password, LastPass o.ä. Falls das jemand für paranoid hält: Gerne, akzeptiere ich. Siehe 2 Sätze weiter vorne. 🙂

 

 

Antworten