Ihre Ideen. Ihre Bank.

Längere Passwörter zulassen

Status: Zur Diskussion
von Setcab am ‎12.03.2017 21:57

Hallo Consorsbank,

 

ich würde gerne eine PIN mit mehr als 5 Stellen einrichten. Zumindest 8 Zeichen hätte ich bei Passwörtern von derartiger Bedeutung gerne, mehr ist aber natürlich immer willkommen.

 

Den entsprechenden Eintrag der FAQ (hier) habe ich bereits gelesen, stimme ihm aber in einigen Kernpunkten nicht zu.

 

Es ist sehr beruhigend, dass Brute Force Angriffe durch eine Beschränkung auf 3 Versuche verhindert werden. Mir ist natürlich klar, dass man mit 3 Versuchen quasi unmöglich ein gut gewähltes Passwort mit 5 Stellen erraten kann.

Das Problem ist: ohne andeuten zu wollen, dass Ihre Datenbanken nicht ausreichend geschützt sind, muss man leider immer damit rechnen, dass es einem Angreifer gelingt, an die Hashes der Passwörter zu gelangen. Es ist in der Vergangenheit bei anderen Diensten zu oft passiert, um das kategorisch ausschließen zu können.

Wenn dieser Fall eintritt, kann der Angreifer auf seinen eigenen Computern sämtliche Kombinationsmöglichkeiten durchprobieren. Da wären eine Milliarde Möglichkeiten dann kein nennenswertes Hindernis mehr.

In meinen Augen bezieht ein gutes Sicherheitskonzept derartige Bedrohungen proaktiv ein, anstatt nur darauf zu vertrauen, dass sie nicht eintreten.

 

Weiterhin will ich nicht leugnen, dass das TAN-Verfahren zusätzliche Sicherheit bietet. Die von der Consorsbank angebotenen Verfahren sind auch tatsächlich sicher, soweit ich das beurteilen kann (solange man die Hinweise im oben verlinkten Artikel beachtet). Hier ist Lob angebracht, das ist leider nicht selbstverständlich.

Aber erstens ist die Existenz einer zweiten "Verteidigungslinie" ja keine Entschuldigung, die erste "Verteidigungslinie" zu schwächen: der Sinn dieser doppelten Absicherung ist ja, zwei unabhängig voneinander funktionierende Systeme zu haben, die Sicherheit bieten. Wenn die PIN angreifbar ist, bietet effektiv nur die TAN Sicherheit. Zweitens ist es mit der PIN möglich, beliebige Informationen über das Konto abzurufen (Kontostand, Bewegungen, etc.), was einen schweren Eingriff in die Privatssphäre darstellt.

 

Zum Abschluss möchte ich darauf hinweisen, dass ich kein einsamer Rufer in der Wüste bin: sowohl das BSI als auch das NIST empfehlen bei Online Accounts (also dort, wo man Brute Force Angriffe normalerweise verhindern kann) eine Mindestlänge von 8 Zeichen.

 

Grüße,

Setcab

Status: Zur Diskussion
Kommentare
von
am ‎15.03.2017 11:26
Status geändert in: Zur Diskussion
 
von Hol_Rin
am ‎18.03.2017 23:05

Ich finde das auch einen guten Vorschlag. Mir war dieses kurze Passwort zum login auch immer ein (vermeidbares) Sicherheitsmanko.

von sann
am ‎19.03.2017 22:37
Besonders merkwürdig finde ich, dass ich mich bei einem Anruf bei Consors mit 2 Stellen meiner PIN legitimieren muss. Überall heißt es doch immer "wir fragen Sie niemals am Telefon nach Ihren Login-Daten", nicht so bei Consors. Da fehlen dann nur noch 3 Stellen, falls jemand mithört Smiley (fröhlich). Daher würden mehr als 5stellige Passwörter die Sicherheit entscheidend erhöhen.
von PHundhausen
am ‎31.03.2017 15:22

Grundsätzlich sind die Kennwörter hier bei Consors katastrophal kurz und ausserdem noch falsch bezeichnet, da sie als PIN bezeichnet werden.

 

Dringende Änderung erbeten ! Für mich mindestens 10 Zeichen Länge

 

Zu der Angabe der x.ten Stelle aus der "Pin": Ich hatte bei der DAB dort schon immer steigende Nackenhaare, heute habe ich bei Consors die Angabe verweigert und siehe da, es gibt mindestens eine alternative Möglichkeit, auch ohne die Verwendung der Stellen der Pin eine Identifizierung durchzuführen !

von nowa
vor einer Woche

Hallo Consorsbank,

ich verstehe die Welt nicht mehr, in allen Beriechen werden Passwörter

die mehr als 5 Zeichen enthalten gefordert. Und dann sagt eine Bank

das ist alles nicht nötig.

Sicherheitsbewusstes und verantwortungsvolles umgehen mit Kunden sieht anders aus!!

 

von dom5
Mittwoch - zuletzt bearbeitet Mittwoch

Die Argumentation der Consorsbank ist etwas fehlgeleitet. Also man hat pro Kontonummer 3 Versuche. Aber ich habe ja mehr als ein Konto, Giro + Tagesgelt + Verrechnungskonto = 3 Konten, also habe ich 3*3 =9 Versuche. Also wenn es jemand auf ein bestimmtes Konto abgesehen hat, dann ist es in der Tat sehr schwer.

 

Wenn man aber nur irgendein Konto hacken möchte ist es viel leichter, denn die Consorsbank hat ja ca. 1 Mio Kunden, mit mindestens 1 Konto.

Also suche ich mir 2 schöne Passworter aus und habe 1Mio Konten die ich pro Woche durchprobieren kann. Einmal pro Woche wird man sich wohl einloggen ...

 

Das dauert immer noch lange, aber irgendjemand wird schon 12345 verwendet haben oder L0VEU oder ...

 

Es ist halt immer eine Abwegung, zwischen Komfort und Sicherheit, dennoch finde ich, daß die Consorsbank den Kunden erlauben sollte längere Passwörter zu verwenden, wenn sie es mögen.

 

Auch ein zusätzliches Einmalpasswort, das mit dem Tan-Generator (APPL-1) erzeugt wird, wäre eine Möglichkeit (das wird auch schon verwendet um ein, nach 3 Fehlversuchen gesperrtes Konto, wieder zu aktivieren).

von legomaennchen
vor 11 Stunden

Was ich nicht verstehe: Warum nicht den User entscheiden lassen (wie sonst überall auch). Wenn er nur 5 Stellen möchte, gerne. Aber unsereins möchte zumindest ein kleines Stück mehr Sicherheit und auf z.B. 10 Stellen aufstocken.

 

Weiterhin fehlt mir ganz klar die 2-Faktor-Authentifizierung via Smartphone oder Consorsbank-App. Mein E-Mail-Postfach ist besser gesichert als mein Onlinebanking.

von
vor 7 Stunden

@legomaennchen und beim E-Mail-Postfach ist der Account auch nach 3 Fehlversuchen dauerhaft gesperrt bis man sich Legitimiert hat? Verlegener Smiley

 

Und was soll dann bei der 2FA der 2. Faktor sein, wenn man Mobile-Banking nutzt?