ich würde gerne eine PIN mit mehr als 5 Stellen einrichten. Zumindest 8 Zeichen hätte ich bei Passwörtern von derartiger Bedeutung gerne, mehr ist aber natürlich immer willkommen.
Den entsprechenden Eintrag der FAQ (hier) habe ich bereits gelesen, stimme ihm aber in einigen Kernpunkten nicht zu.
Es ist sehr beruhigend, dass Brute Force Angriffe durch eine Beschränkung auf 3 Versuche verhindert werden. Mir ist natürlich klar, dass man mit 3 Versuchen quasi unmöglich ein gut gewähltes Passwort mit 5 Stellen erraten kann.
Das Problem ist: ohne andeuten zu wollen, dass Ihre Datenbanken nicht ausreichend geschützt sind, muss man leider immer damit rechnen, dass es einem Angreifer gelingt, an die Hashes der Passwörter zu gelangen. Es ist in der Vergangenheit bei anderen Diensten zu oft passiert, um das kategorisch ausschließen zu können.
Wenn dieser Fall eintritt, kann der Angreifer auf seinen eigenen Computern sämtliche Kombinationsmöglichkeiten durchprobieren. Da wären eine Milliarde Möglichkeiten dann kein nennenswertes Hindernis mehr.
In meinen Augen bezieht ein gutes Sicherheitskonzept derartige Bedrohungen proaktiv ein, anstatt nur darauf zu vertrauen, dass sie nicht eintreten.
Weiterhin will ich nicht leugnen, dass das TAN-Verfahren zusätzliche Sicherheit bietet. Die von der Consorsbank angebotenen Verfahren sind auch tatsächlich sicher, soweit ich das beurteilen kann (solange man die Hinweise im oben verlinkten Artikel beachtet). Hier ist Lob angebracht, das ist leider nicht selbstverständlich.
Aber erstens ist die Existenz einer zweiten "Verteidigungslinie" ja keine Entschuldigung, die erste "Verteidigungslinie" zu schwächen: der Sinn dieser doppelten Absicherung ist ja, zwei unabhängig voneinander funktionierende Systeme zu haben, die Sicherheit bieten. Wenn die PIN angreifbar ist, bietet effektiv nur die TAN Sicherheit. Zweitens ist es mit der PIN möglich, beliebige Informationen über das Konto abzurufen (Kontostand, Bewegungen, etc.), was einen schweren Eingriff in die Privatssphäre darstellt.
Zum Abschluss möchte ich darauf hinweisen, dass ich kein einsamer Rufer in der Wüste bin: sowohl das BSI als auch das NIST empfehlen bei Online Accounts (also dort, wo man Brute Force Angriffe normalerweise verhindern kann) eine Mindestlänge von 8 Zeichen.
vielen Dank für Ihren Vorschlag. Uns ist aufgefallen, dass es sich bei Ihrer Idee um ein Duplikat zu einer bereits früher bestehenden Idee von „maxkun" handelt. Daher habe ich den Status auf Duplikat gesetzt. Sie können die ursprüngliche Idee hier einsehen.
Es freut mich allerdings Ihnen sagen zu können, dass sich die Idee bereits in der Umsetzung befindet.
Ein genauer Termin für die Umsetzung liegt uns derzeit nicht vor, jedoch werden wir Sie darüber gerne auf dem Laufenden halten.
Sie müssen ein registrierter Benutzer sein, um hier einen Kommentar hinzuzufügen. Wenn Sie sich bereits registriert haben, melden Sie sich bitte an. Wenn Sie sich noch nicht registriert haben, führen Sie bitte eine Registrierung durch und melden Sie sich an.