Hallo liebe Community,
ich habe ein Schreiben wegen meines Girokonto Dispokredit erhalten (Überprüfung etc.).
Da ich dazu eine Frage hatte, habe ich mich telefonisch mit der Consorsbank in Verbindung gesetzt. Wie man es kennt kommt eine Computeransage drücken Sie 1 für blabla blubb. Das übliche eben. Dann würde ich nach meiner Kontonummer gefragt, auch alles okay.
Was mich jedoch extrem überrascht hat ist das ich nach Stellen meiner Online-PIN gefragt wurde! Ich verstehe, dass überprüft werden muss das ich wirklich die Person bin, für die ich mich ausgebe.
Aber wieso werde ich nach Stellen meine Online PIN gefragt???
Ich kenne es so, dass Passwörter gehasht und gespeichert werden. Somit liegt mein Passwort nicht im Klartext vor. Wenn ich aber nach bestimmten Stellen meiner Online-PIN gefragt wird, gehe ich davon aus, dass meine Online-PIN im Consors System im Klartext vorliegt! (Falls ich falsch liege bitte aufklären)
Das ist ein erhebliches Sicherheitsrisiko und für mich auf keinste Weise nachvollziehbar.
Die erste Sache die man zu Sicherheit lernt ist gebe niemals dein Passwort weiter. Klar nach meinem kompletten Passwort wurde nicht verlangt, aber allgemein die Tatsache das mein Online-PIN im Klartext vorliegt kann ich im besten Willen nicht nachvollziehen.
Falls jemand von Consors das liest würde mich brennend interessieren, wie das Sicherheitssystem vom Consors funktioniert, wenn mein Passwort nirgends im Klartext vorliegt.
Grüße,
accname
Hallo @accname,
wie so sollte die PIN im Klartext vorliegen? Wer in sensiblen Systemen sein Passwort nur hasht handelt auch nicht viel besser. In solchen Systemen werden, in vielen Fällen, einige weitere Maßnahmen zur Sicherung dieser Daten vorgenommen. Wie genau diese aussehen wird man nicht erfahren. Was spricht dagegen, dass die möglichen Abfrage-Kombinationen vom PWD separat abgelegt wurden?
Über welchen Weg soll denn der Kunde sonst legitimiert werden? Über eine mTAN an das Handy mit dem der Kunde anruft? Alternativ kann man auch bei der Abfrage der Daten schweigen und sich später über eine TAN (vom TAN-Generator) legitimieren.
Grüße
immermalanders
die PIN ist 5 Stellen lang, eh viel zu unsicher für ein gewöhnliches Passwort. Solche Banksysteme sind dann halt keine 0815-Webanwendungen mit SQL Datenbank sondern etwas besser designed.
Zwar gibt der Kunde bei jeder Überweisung ja eine TAN ein, sie wird dann aber vom Backend ausgeführt und da könnte man noch viel mehr Schaden anrichten, oder zB im digitalen Börsenhandel. Mit anderen Worten die Consorsbank ist mit der Speicherung der PINs wohl kaum überfordert.
Hallo @accname,
wie @immermalanders bereits erwähnt hat, läßt das geschilderte Prozedere doch nicht den Schluß zu, dass die Online-PINs im Klartext gespeichert werden ...
Neben der verschlüsselten Speicherung der gesamten PIN ("gehasht" = "verschlüsselt"), kann man doch auch ein Extrakt der Online-PIN (z.B. die 1., die 3. und die 5. Stelle) ebenfalls verschlüsselt speichern und anschließend die beiden verschlüsselten Extrakte vergleichen (das Extrakt der Online-PIN nach dem Anlagen und die z.B. 3 Stellen, die beim Telefongespräch vom Kunden angegeben werden). Auch kann man die Nummern und die Anzahl der Stellen des Extraktes variieren und speichern. Das läßt auf keinen Fall den Schluß zu, dass die Online-PIN im Klartext gespeichert wird (was in der Tat ein Skandal wäre).
Außerdem hat @immermalanders vollkommen Recht mit der Gegenfrage, wie die Autorisierung beim Anrufen den sonst erfolgen soll....
Hier könnte man sich 2-3 Zusatzfragen + Antorten vorstellen, so wie es bei einer bekannten Online-Auktionplattform der Fall ist (z.B. "Wie heißt Ihr Haustier?)". Diese Fragen sind beim ersten Anlegen des Accounts zu beantworten und werden ebenfalls verschlüsselt gepseichert.
Wesentlich amüsanter finde ich jedoch die Frage im letzten Absatz des Posts ("...würde mich brennend interessieren, wie das Sicherheitssystem vom Consors funktioniert, ..."). Soll die CB diese Frage wirklich beantworten und hier ihr Sicherheits-System offen dokumentieren ...?
Wohl nicht.
Wünsche angenehme Osterfeiertage
JB4711
@jb4711, die "Sicherheitsfragen" bringen in der heutigen Zeit leider keine wirkliche Sicherheit mehr. Die Antworten auf wolche Fragen findet man leider recht einfach... z.B. bei Facebook. Anders sieht es aus, wenn man untypische Antworten auf solche Fragen verwendet. Aber selbst dann sollte man niemals eine Antwort mehrfach verwenden oder die Antworten nach einem vorhersehbarem Schema erstellen...
Grüße
immermalanders