Community

Antworten
Highlighted
strand78
Routinierter Autor
Beiträge: 131
Registriert: 22.07.2015
Nachricht 1 von 67 (3.101 Ansichten)

unsichere Pin mit nur 5 Stellen

[ Bearbeitet ]

Liebes Consors Team,

 

es wurde schon öftern von der Community der Wunsch geäußert die Pin Länge zu ändern.

Da Sie als Bank ja für uns Kunden da sind, sollten Sie auch diesem Wunsch nachgehen.


In einem Ihrer Threads teilen Sie mit, dass 5 Stellig vollkommen ausreiche. Das ist falsch! 

Ein Computer mit entsprechendem Programm benötigt nachstehende zeit um entsprechende Pin Länge mit allen möglichen Kombinationen durchzugehen und zu knacken.

Ihre 5 Stellen wären dann wahrscheinliich in 30 Minuten durch:

Stellen                               Zeitbedarf:

PASSWORD                     3 Stunden

PASSWORDS                   6 Tage

PASSWORDSE                344 Tage

PASSWORDSEC               48 Jahre

PASSWORDSECU             2.000 Jahre

PASSWORDSECUR         125.000 Jahre

PASSWORDSECURI      6 Mio Jahre

PASSWORDSECURIT   325 Mio Jahre

PASSWORDSECURITY 16 Milliarden Jahre

 

Sie können sicher erkennen, wie schnell CONSORSBANK hier jedes Konto deutlich sicherer machen kann. Der jetzige Zustand ist untragbar! 

 

 

 

 

Highlighted
CB_Kai
Moderator
Beiträge: 817
Registriert: 17.09.2015
Nachricht 2 von 67 (3.073 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Hallo @ Strand78,

die Sicherheit des uns von unseren Kunden anvertrauten Geldes hat für uns die höchste Priorität. Entsprechend sicher haben wir die den Kontozugang gestaltet. Im Kern ist dies hier genau dargelegt.

https://wissen.consorsbank.de/t5/PIN-TAN/Ist-meine-5-stellige-PIN-sicher/ta-p/15827

Bitte beziehen Sie  in Ihre Überlegungen zur Sicherheit mit ein, dass zum einen bereits bei 3  falschen  Eingaben der PIN eine Sperrung des Zuganges erfolgt. Des Weiteren kann ein ein Transfer von Guthaben nur durch die zusätzliche Eingabe einer TAN erfolgen, welche für jeder Transaktion neu errechnet wird und zudem noch zeitlich in ihrer Gültigkeit
beschränkt ist.

Ein hoher Sicherheitsstandard, wie bei uns, ist allerdings auch kein Grund sich auf den  Lorbeeren auszuruhen. Sicherheit ist ein permanenter Prozess. Daher möchte ich Ihnen Dank für Ihr Feedback aussprechen und die genannten Aspekte gerne auch intern weiterleiten.

Beste Grüße

CB_Kai

Highlighted
jb4711
Enthusiast
Beiträge: 201
Registriert: 13.02.2016
Nachricht 3 von 67 (3.070 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Hallo @strand78,

 

mehr als 5 Stellen für die PIN sind grundsätzlich als sicherer einzustufen.

 

Da aber nach 3 erfolglosen Login-Versuchen der Online-Zugang automatisch gesperrt wird, wird man mit o.g. Brute-Force-Angriffen auch nicht in 30 Minuten drin sein.

 

Viele Grüße

JB4711

Antworten
0 Likes
Highlighted
strand78
Routinierter Autor
Beiträge: 131
Registriert: 22.07.2015
Nachricht 4 von 67 (2.995 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Hallo CB Kai: Vielen Dank für die Rückmeldung.

Ich habe die oben erwähnten Information aus einer CNBC Sendung. Ich weiß nicht welches Programm dort genau gemeint ist, aber eigentlich ist mir kein relevantes Konto bekannt das mehr als 10 Pin Versuche zulässt. Eventuell umgeht dieses Programm ja diesen Prozeß indem es auf einem anderen Server dies probiert. Ich bin da auch kein Kenner, aber Möglichkeiten gibt es da sicherlich.

Der einfachste Weg ist die Pin deutlich zu verlängern. Selbst meine örtliche Sparkasse lässt dies ja zu. 

Und die zweite Absicherung mit der Tan ist so nicht ganz richtig. Nehmen wir zb einen Einbruch bei dem der Generator gestohlen wird. Oder selbst beim relativ sicheren SMS tan Verfahren. Auch hier gibt es ja leider Möglichkeiten.

Natürlich gibt es nie 100% Sicherheit. Aber wenn ein Rechner mehrere Jahre benötigt um alle Möglichen Kombinationen durchzugehen, so ist das eigentlich eine 100% Sicherheit. 

 

 

Highlighted
VollDerGangster
Enthusiast
Beiträge: 320
Registriert: 30.12.2014
Nachricht 5 von 67 (2.948 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Sehe ich genauso, die ganz langen Passwörter braucht man dort, wo es unbegrenzt Rateversuche gibt. Das ist hier nicht der Fall. Im übrigen sollte man bedenken, dass selbst wenn der Angreifer das Passwort hat, er nur ins Konto/Depot "gucken" kann, wodurch er aber noch immer keinen Cent gewonnen hat.

Antworten
0 Likes
Highlighted
mneu
Regelmäßiger Autor
Beiträge: 62
Registriert: 2014-06-16
Nachricht 6 von 67 (2.947 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Aber wenn ein Rechner mehrere Jahre benötigt um alle möglichen Kombinationen durchzugehen, so ist das eigentlich eine 100% Sicherheit.

 

Nein. Die erste Kombination kann ja schon die richtige sein.

 

Die Wahrscheinlichkeit nimmt mit der Anzahl der Kombinationsmöglichkeiten nur ab. 

 

 

Ich habe die oben erwähnten Information aus einer CNBC Sendung. Ich weiß nicht welches Programm dort genau gemeint ist, aber eigentlich ist mir kein relevantes Konto bekannt das mehr als 10 Pin Versuche zulässt. Eventuell umgeht dieses Programm ja diesen Prozeß indem es auf einem anderen Server dies probiert.

 

Gerade im Bereich der Sicherheit kann Unkenntnis ein erhebliches Risiko sein. Informieren Sie sich und andere genauer, damit "wir" den Angriffsvektor verstehen und effektiv dagegen vorgehen können.

Highlighted
mneu
Regelmäßiger Autor
Beiträge: 62
Registriert: 2014-06-16
Nachricht 7 von 67 (2.935 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

[ Bearbeitet ]

PASSWORD                     3 Stunden

PASSWORDSECURITY 16 Milliarden Jahre

 

Ein Programm, dass alle Kombinationen durchgeht, ist ein denkbar schlecht geschriebenes Programm und hat bei einer Zugangsmöglichkeit, die nach drei Versuchen gesperrt wird schlechte Karten.

 

EIn intelligent geschriebenes Programm ist an den Abfragemechanismus angepasst. Zum Beispiel könnte es Wörterbücher nutzen.

Dann ist

IchBinEinUnglaublichSchlauesKennwort

wesentlich unsicherer als

xA&8P2e+

 

Antworten
0 Likes
Highlighted
strand78
Routinierter Autor
Beiträge: 131
Registriert: 22.07.2015
Nachricht 8 von 67 (2.861 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

ich soll mich informieren, damit die Bank handeln kann?

Normalerweise sollte die Bank stets up to date sein.

Und tatsache ist nunmal, je länger das Kennwort ist, desto sicherer ist es.

 

natürlich kann auch der erste Versuch ein Treffer sein, aber das ist ja deutlich unwahrscheinlicher als bei nur 5 Stellen.

Highlighted
mneu
Regelmäßiger Autor
Beiträge: 62
Registriert: 2014-06-16
Nachricht 9 von 67 (2.829 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Sie haben micht nicht verstanden.

Ihre Ausführungen sind in wesentlichen Punkten unvollständig. Sie könnten beispielsweise einfach die Quelle angeben.

 

Die Länge des Passwortes sagt bedingt etwas über die Sicherheit aus.

Ein langes, aber simples Passwort aus zusammengesetzen Worten ist tendenziell unsicherer als ein kürzeres, das aus einer zufälligen Zeichenfolge besteht.

 

Faktum ist, dass es drei Versuche für den (Bank/Kreditkarten) PIN gibt.

Die Durchprobiergeschwindigkeit und die Hochrechnungen, die Sie angeführt haben, sind also nicht relevant.

 

 

Antworten
0 Likes
Highlighted
immermalanders
Autorität
Beiträge: 3351
Registriert: 06.02.2015
Nachricht 10 von 67 (2.824 Ansichten)

Betreff: unsichere Pin mit nur 5 Stellen

Hallo @strand78 und alle anderen,

 

man sollte auch bedenken, dass bei einem langen Passwort macher denkt "oh, da kann ich ein 12 Zeichen langes Passwort eingeben, da hab ich ja schon ein passendes Passwort..." (was er eventuell auch auf 100 anderen Seiten benutzt, und wie sicher sowas ist sollte jeder wissen). Und genau über diesen Weg hebeln manche Nutzer die Sicherheit selbst aus. Manch einer findet sogar gefallen dran die Zugangsdaten für Finanz-Accounts im Browser zu speichern... Frustrierte Smiley Smiley (wütend)

 

In der realen Welt sollte man daran denken, dass der Nutzer sehr häufig die Schwachstelle ist und dann ist es egal wie lang ein Passwort ist.

 

 

Grüße

immermalanders