ich würde gerne eine PIN mit mehr als 5 Stellen einrichten. Zumindest 8 Zeichen hätte ich bei Passwörtern von derartiger Bedeutung gerne, mehr ist aber natürlich immer willkommen.
Den entsprechenden Eintrag der FAQ (hier) habe ich bereits gelesen, stimme ihm aber in einigen Kernpunkten nicht zu.
Es ist sehr beruhigend, dass Brute Force Angriffe durch eine Beschränkung auf 3 Versuche verhindert werden. Mir ist natürlich klar, dass man mit 3 Versuchen quasi unmöglich ein gut gewähltes Passwort mit 5 Stellen erraten kann.
Das Problem ist: ohne andeuten zu wollen, dass Ihre Datenbanken nicht ausreichend geschützt sind, muss man leider immer damit rechnen, dass es einem Angreifer gelingt, an die Hashes der Passwörter zu gelangen. Es ist in der Vergangenheit bei anderen Diensten zu oft passiert, um das kategorisch ausschließen zu können.
Wenn dieser Fall eintritt, kann der Angreifer auf seinen eigenen Computern sämtliche Kombinationsmöglichkeiten durchprobieren. Da wären eine Milliarde Möglichkeiten dann kein nennenswertes Hindernis mehr.
In meinen Augen bezieht ein gutes Sicherheitskonzept derartige Bedrohungen proaktiv ein, anstatt nur darauf zu vertrauen, dass sie nicht eintreten.
Weiterhin will ich nicht leugnen, dass das TAN-Verfahren zusätzliche Sicherheit bietet. Die von der Consorsbank angebotenen Verfahren sind auch tatsächlich sicher, soweit ich das beurteilen kann (solange man die Hinweise im oben verlinkten Artikel beachtet). Hier ist Lob angebracht, das ist leider nicht selbstverständlich.
Aber erstens ist die Existenz einer zweiten "Verteidigungslinie" ja keine Entschuldigung, die erste "Verteidigungslinie" zu schwächen: der Sinn dieser doppelten Absicherung ist ja, zwei unabhängig voneinander funktionierende Systeme zu haben, die Sicherheit bieten. Wenn die PIN angreifbar ist, bietet effektiv nur die TAN Sicherheit. Zweitens ist es mit der PIN möglich, beliebige Informationen über das Konto abzurufen (Kontostand, Bewegungen, etc.), was einen schweren Eingriff in die Privatssphäre darstellt.
Zum Abschluss möchte ich darauf hinweisen, dass ich kein einsamer Rufer in der Wüste bin: sowohl das BSI als auch das NIST empfehlen bei Online Accounts (also dort, wo man Brute Force Angriffe normalerweise verhindern kann) eine Mindestlänge von 8 Zeichen.
Besonders merkwürdig finde ich, dass ich mich bei einem Anruf bei Consors mit 2 Stellen meiner PIN legitimieren muss. Überall heißt es doch immer "wir fragen Sie niemals am Telefon nach Ihren Login-Daten", nicht so bei Consors. Da fehlen dann nur noch 3 Stellen, falls jemand mithört :). Daher würden mehr als 5stellige Passwörter die Sicherheit entscheidend erhöhen.
Grundsätzlich sind die Kennwörter hier bei Consors katastrophal kurz und ausserdem noch falsch bezeichnet, da sie als PIN bezeichnet werden.
Dringende Änderung erbeten ! Für mich mindestens 10 Zeichen Länge
Zu der Angabe der x.ten Stelle aus der "Pin": Ich hatte bei der DAB dort schon immer steigende Nackenhaare, heute habe ich bei Consors die Angabe verweigert und siehe da, es gibt mindestens eine alternative Möglichkeit, auch ohne die Verwendung der Stellen der Pin eine Identifizierung durchzuführen !
Die Argumentation der Consorsbank ist etwas fehlgeleitet. Also man hat pro Kontonummer 3 Versuche. Aber ich habe ja mehr als ein Konto, Giro + Tagesgelt + Verrechnungskonto = 3 Konten, also habe ich 3*3 =9 Versuche. Also wenn es jemand auf ein bestimmtes Konto abgesehen hat, dann ist es in der Tat sehr schwer.
Wenn man aber nur irgendein Konto hacken möchte ist es viel leichter, denn die Consorsbank hat ja ca. 1 Mio Kunden, mit mindestens 1 Konto.
Also suche ich mir 2 schöne Passworter aus und habe 1Mio Konten die ich pro Woche durchprobieren kann. Einmal pro Woche wird man sich wohl einloggen ...
Das dauert immer noch lange, aber irgendjemand wird schon 12345 verwendet haben oder L0VEU oder ...
Es ist halt immer eine Abwegung, zwischen Komfort und Sicherheit, dennoch finde ich, daß die Consorsbank den Kunden erlauben sollte längere Passwörter zu verwenden, wenn sie es mögen.
Auch ein zusätzliches Einmalpasswort, das mit dem Tan-Generator (APPL-1) erzeugt wird, wäre eine Möglichkeit (das wird auch schon verwendet um ein, nach 3 Fehlversuchen gesperrtes Konto, wieder zu aktivieren).
Was ich nicht verstehe: Warum nicht den User entscheiden lassen (wie sonst überall auch). Wenn er nur 5 Stellen möchte, gerne. Aber unsereins möchte zumindest ein kleines Stück mehr Sicherheit und auf z.B. 10 Stellen aufstocken.
Weiterhin fehlt mir ganz klar die 2-Faktor-Authentifizierung via Smartphone oder Consorsbank-App. Mein E-Mail-Postfach ist besser gesichert als mein Onlinebanking.
@immermalanders: Der 2. Faktor beim Mobile-Banking wäre dann der Tan-Generator, was den Komfort des Mobile-Bankings allerdings stark einschränkt.
Ich stimme @legomaennchen zu, daß man es dem Anwender, bis zu einem gewissen Grad, überlassen sollte, wieviel Risiko er eingehen möchte. Man kann 2FA erzwingen, wenn man 3 mal das falsche Paßwort eingibt 🙂
Am Besten wäre es wenn man z.B. beim Einloggen ins Girokonto keine 2FA braucht, um mal schnell eine Überweisung machen zu können, dann aber nur dieses Konto sieht, und auch nur auf dieses Konto zugreifen kann. Für Depot, Tagesgeld, etc. würe ich gerne 2FA erzwingen.
Edit:
Die 2FA ist natürlich eine Alternative zum langen Paßwort, aber warum nicht Beides? Die 2FA ist vorallem deshalb eine Option, da Consors dieses Verfahren schon implementiert hat.
Ich war gestern 7.10. auf dem Berliner Börsentag am Stand von Consors. Meine Frage wie ich das Passwort verlängern kann wurde wie folgt beanwortet: "Ich (Mitarbeiterin) habe ein Passwort von 6! Stellen und mindestens 8 sind möglich". Die Frage ob sie mir das am Laptop zeigen kann wie das geht, wurde aus "Sicherheitsgründen" abgelehnt.
Fazit: Die Mitarbeiter kennen nicht einmal die Schwacstellen ihres Systems!
Sie müssen ein registrierter Benutzer sein, um hier einen Kommentar hinzuzufügen. Wenn Sie sich bereits registriert haben, melden Sie sich bitte an. Wenn Sie sich noch nicht registriert haben, führen Sie bitte eine Registrierung durch und melden Sie sich an.