Betreff: unsichere Pin mit nur 5 Stellen – Seite 4

strand78 · 22.07.2015

Liebes Consors Team,

es wurde schon öftern von der Community der Wunsch geäußert die Pin Länge zu ändern.

Da Sie als Bank ja für uns Kunden da sind, sollten Sie auch diesem Wunsch nachgehen.

In einem Ihrer Threads teilen Sie mit, dass 5 Stellig vollkommen ausreiche. Das ist falsch!

Ein Computer mit entsprechendem Programm benötigt nachstehende zeit um entsprechende Pin Länge mit allen möglichen Kombinationen durchzugehen und zu knacken.

Ihre 5 Stellen wären dann wahrscheinliich in 30 Minuten durch:

Stellen Zeitbedarf:

PASSWORD 3 Stunden

PASSWORDS 6 Tage

PASSWORDSE 344 Tage

PASSWORDSEC 48 Jahre

PASSWORDSECU 2.000 Jahre

PASSWORDSECUR 125.000 Jahre

PASSWORDSECURI 6 Mio Jahre

PASSWORDSECURIT 325 Mio Jahre

PASSWORDSECURITY 16 Milliarden Jahre

Sie können sicher erkennen, wie schnell CONSORSBANK hier jedes Konto deutlich sicherer machen kann. Der jetzige Zustand ist untragbar!

Helmuth · 15.11.2016

wie schon Du schon erwähnt hast - eine Brute-Force mit 3 Versuchen bis zur Sperre - ist eher wie ien 6er im Lotto.

Was mich viel mehr stören würde, dass man jemanden damit ärgern kann indem man 3x die Pin falsche eingibt und so den Zugang desjenigen sperren kann. Voraussetzung man kennt seine Kontonummer.

Nein wirklich zur Sicherheit gibt's hier bei der Konsors definitiv nix zu meckern.

PIN, SMS TAN und wenn man will kann man auch auch noch Referenzkonten einrichten.

Gruß

Helmuth

as_no5 · 11.05.2014

@Helmuth was die PIN angeht, sehe ich es genauso. Allerdings weisen die TANs einige Bedenken auf.

Ich verwende hauptsächlich den TAN-Generator. Dieser ist IMHO sicherer als die mTAN. Das mTAN-Verfahren wurde bereits mehrmals gehackt. Die Schwachstelle dabei sind zum Einen die Mobilfunkanbieter, und zum Anderen die fehlende Verschlüsselung von SMS (darauf gehe ich mal nicht näher ein).

Häufig wird durch gekonntes Social Engineering eine zweite SIM-Karte mit derselben Nummer beim Mobilfunkanbieter bestellt. In Verbindung mit der PIN können dann Transaktionen durchgeführt werden.

Naja, die einzige Sicherheit für mich ist, dass sich der Aufwand für Kleinanleger-Abzocke (5-20t€) nicht lohnt... Kann daher noch beruhigt schlafen 😉 Als zB Millionär würde ich das Verfahren jedoch nicht mehr verwenden...

Totti · 18.12.2014

@Wiederaufsteher

Mit der PIN, die man durch Abhören des Telefons erlangen könnte, kann man sich einloggen. Wenn man eingeloggt ist kann man die Handynummer ändern, das geht ohne TAN (das alte Handy könnte ja verloren oder inaktiv sein) aber die neue PIN für den Zugang kommt per gelbe Post. Wenn jetzt der Telefonabhörer auch noch Zugang zum Briefkasten hat (er braucht nur das Briefkastenschloss gegen ein Nullschloss in dem jeder Schlüssel passt zu tauschen) kann er das Konto/Depot abräumen.

VG Totti

as_no5 · 11.05.2014

Auch eine Möglichkeit. Aber wie gesagt, denke der durchschnittliche Consorsbank-"Investor" wird kein Ziel sein, da viel zu aufwändig...

flaks · 05.12.2015

Mit genug Zeit und entsprechendem Aufwand kann man jedes System umgehen.

Sofern ich mich an die Spielregeln gehalten habe und dennoch ein Schaden entsteht, würde ich mich auf das Sicherheitsversprechen der Consorsbank berufen und Ersatz einfordern, notfalls auch vor Gericht.

Wiederaufsteher · 15.11.2016

@totti

Hi Totti,
Daran hab ich jetzt nicht gedacht.
Bin erst seit einer Woche bei der Consors Bank und wusste daher nicht was man, wo man, in seinem Konto ändern kann.
Das hieße; Erst muss jemand deine PIN haben… Dann muss er in deinen Kontoeinstellungen die Mobilfunknummer ändern... Und noch deine Post abfangen?
Bekommt man eigentlich per E-Mail Bescheid wenn man in seinem Konto zum Beispiel die Mobilfunknummer ändert... so als Sicherheitshinweis?

Also ganz ehrlich, Der Verschlüsselung des Telefon hatte ich bisher schon vertraut… was mich höchstens ein bisschen verunsichert,
Das mich ein Berater der Kundenbetreuung am Telefon nach meines Pins beziehungsweise zwei Ziffern davon als Autorisierung fragte!
Der jetzt könnte man dem Berater auch unterstellen, heute fragte dich nach die ersten beiden Ziffern… Wenn du das nächste Mal anruft fragt er dich nach den übrigen Ziffern...
Aber vielleicht hatte auch die komplette Einsicht deines Pins bevor er sie abgleicht? Oder wird er vom Computer nach den zwei Ziffern gefragt die er ein gibt das heißt er hat keinen Einblick auf den eigentlichen Pin.
Aber dazu hat jemand anders hier in der community geschrieben, Das wenn man dem Berater sagt man möchte übers Telefon seine PIN nicht preisgeben bekommt man eine Tan zu gesendet...

Ich gebe also zu, so 100-prozentig ist die Sache nicht ganz… Wobei es natürlich auch nirgends 100 % Sicherheit gibt...

Wiederaufsteher · 15.11.2016

Ja sehe das auch so wie @flaks.

Falls da wirklich mal was schief gehen sollte machen wir die Bank verantwortlich...
Bei Sicherheitslücken muss die Bank den Schaden übernehmen beziehungsweise ersetzen

as_no5 · 11.05.2014

@Wiederaufsteher Telefone sind nicht verschlüsselt. Zumindest nicht die normalüblichen Leitungen. Nur mal so als Info...

Natürlich sieht der Berater nicht die komplette PIN. Alles andere wäre Schwachsinn. Passwörter und PINs sieht niemand in Klartext. Es werden willkürlich zwei Stellen abgefragt, dann gibt er deine Antwort ein, die wird mit dem gespeicherten Hash-Wert verglichen und der Berater bekommt Rückmeldung, ob passt oder nicht. So in etwa läuft das ab, natürlich vereinfacht.

Ist mir aber auch zu unsicher, besser funktioniert die Authentifizierung per TAN. Nur einmal gültig und nur für diesen Zweck und gut ist. Respekt an @Consorsbank, gefällt mir super!

flaks · 05.12.2015

Mal so am Rande @Consorsbank kann man das Telefonbanking sperren lassen? Ich finde es etwas unglücklich, dass telefonisch nur ein Authentifizierungsfaktor benötigt wird (Pin oder Tan)

immermalanders · 06.02.2015

@flaks, vielleicht geht das per unterschriebenem Brief. Danach könnte es sein, dass alle Anfragen nur noch per Brief gestellt werden können. Ob die Antworten dann portofrei sind?