Betreff: unsichere Pin mit nur 5 Stellen – Seite 3

strand78 · 22.07.2015

Liebes Consors Team,

es wurde schon öftern von der Community der Wunsch geäußert die Pin Länge zu ändern.

Da Sie als Bank ja für uns Kunden da sind, sollten Sie auch diesem Wunsch nachgehen.

In einem Ihrer Threads teilen Sie mit, dass 5 Stellig vollkommen ausreiche. Das ist falsch!

Ein Computer mit entsprechendem Programm benötigt nachstehende zeit um entsprechende Pin Länge mit allen möglichen Kombinationen durchzugehen und zu knacken.

Ihre 5 Stellen wären dann wahrscheinliich in 30 Minuten durch:

Stellen Zeitbedarf:

PASSWORD 3 Stunden

PASSWORDS 6 Tage

PASSWORDSE 344 Tage

PASSWORDSEC 48 Jahre

PASSWORDSECU 2.000 Jahre

PASSWORDSECUR 125.000 Jahre

PASSWORDSECURI 6 Mio Jahre

PASSWORDSECURIT 325 Mio Jahre

PASSWORDSECURITY 16 Milliarden Jahre

Sie können sicher erkennen, wie schnell CONSORSBANK hier jedes Konto deutlich sicherer machen kann. Der jetzige Zustand ist untragbar!

Wiederaufsteher · 15.11.2016

Hallo zusammen.
Also ich hab mich mit der recht kurzen fünfstelligen PIN schon gut angefreundet. Und auch keine Sicherheitsbedenken.
Das positive: eine fünfstellige PIN kann man sich doch leichter einprägen.
Wenn jemand eine zehnstellige PIN verwendet… Läuft auch die Gefahr, dass man vielleicht diese PIN auch in anderen Kunden etc. vergibt oder man läuft die Gefahr die PIN zu vergessen.
Und außerdem so wie es der CB Moderator schon geschrieben hat;
Selbst wenn jemand die PIN knackt,
Ohne einer Tan, kann niemand von deinem Depot aus Überweisungen tätigen.
Also im Ganzen gesagt finde ich es nicht schlecht was die Consors Bank an Sicherheit bietet.

as_no5 · 11.05.2014

Ich finde es bedenklich, gerade beim Sicherheitsaspekt durch Halbwissen Panik zu schüren. Die Anzahl der Stellen des Passworts in "Jahre fürs knacken" anzugeben, finde ich geradezu lächerlich...
Als IT-Consultant empfinde ich 5 alphanumerische Stellen als ausreichend, da der User nach 3 falschen Eingaben gesperrt wird.
Lange Passwörter sind ja in der Handhabung schwerer. Da wird das Passwort schon mal gern im Browser gespeichert. Das ist zB ein hohes Risiko.
User müssen verstehen, dass der Mensch das größte Sicherheitsrisiko ist und nicht das IT-System.

Totti · 18.12.2014

Da das Passwort oder jeweils zwei Stellen davon unverschluüsselt übers Telefon übertragen werden wenn man bei der CB anruft gibt es doch praktisch gar keine ernst zu nehmende Sicherheit wenn man nicht aufs Anrufen verzichtet.

VG Torsten

Wiederaufsteher · 15.11.2016

@totti

Hi Torsten,
Ach mach dir da nicht so viele Sorgen 🙂
Irgendwie muss man sicher autorisieren...
Ist ja auch beim Telefon Banking oder wenn ich bei meinem MobilfunkAnbieter anrufe nichts anderes.
Und selbst wenn im Hintergrund einer das Telefon abhört oder mir ist es auch passiert das Der Consors Mitarbeiter dich auch fragt nach der Autorisierung... Was will denn einer damit anfangen?
Ohne einer Tan Nummer, die nur du ganz alleine, entweder vom Smartphone oder von deinem PC aus anfordern kannst… und diese Tan auch nur auf deinem Handy/Smartphone landet...( wo hoffentlich nur du persönlich einen Zugriff drauf hast)
Ohne diese TAN, kann niemand etwas von deinem Konto aus transferieren.

Also sei erst mal beruhigt.
Und falls wirklich einmal ein Sicherheits Problem auftritt und mal Murks gemacht wird... Will ich niemals hoffen...ABER dann muss die Bank dafür gerade stehen sonst verklagen wir sie 😉
Viele Grüße
Oliver

antispy · 21.11.2016

Ich wünsche mir auch, dass man die PIN/Passwort selber festlegen kann mit systemischen Anforderungen wie z.B. mind 8 Zeichen, mind. 1 Sonderzeichen und 1 Ziffer.

Eine 5stellige PIN ist für den Zugang viel zu unsicher. Selbst wenn max. 3 Anmeldeversuche möglich sind.

Das sollte die BANK dringend ändern!

as_no5 · 11.05.2014

Erstens sind es fünf Stellen und zweitens ist die Sicherheit ausreichend. Wenn wir nur die 95 druckbaren Zeichen des ASCII-Satzes als Grundlage nehmen, sind die Kombinationsmöglichkeiten (da Zeichen wiederholt verwendet werden dürfen) wie folgt:

95 ^ 5 = 95 x 95 x 95 x 95 x 95 = 7.737.809.375

Drei Versuche für eine PIN, bei der es über 7,7 Mrd. Möglichkeiten gibt!! Empfinde ich als 99,99% sicher. In der IT gibt es keine 100% Sicherheit, auch nicht bei einer PIN mit 44332 Stellen...

Und vor allem, mit der PIN lassen sich ja nicht mal Transaktionen freigeben!!! Nur mal so zum Nachdenken...

flaks · 05.12.2015

@totti

Beim Anruf reicht es einfach nicht auf die Aufforderung des Systems zu reagieren, wenn nach der Pin gefragt wird.

Sobald man mit einem Mitarbeiter verbunden wird, sagt man dass man die Pin nicht telefonisch mitteilen möchte und wird nach einer Tan gefragt.

Myrddin · 08.12.2014

@as_no5: DANKE!

Leider kann man das noch so oft wiederholen, die Botschaft kommt in der nötigen Breite nicht an. 😞

antispy · 21.11.2016

Danke. Du hast recht. Ich muss einfach Zeichen verwenden nicht nur Buchstaben.
Dann sollte es sicher genug sein.

as_no5 · 11.05.2014

@antispy das macht nur bei Brute-Force einen Unterschied. Im Fall der PIN ist es egal, ob diese nur numerisch oder alphanumerisch ist. Es ändert ja nichts am Pool der möglichen Zeichen.