Ich verstehe, dass eine 5 stellige Pin gegen Brute-Force Attacken relativ sicher ist, nachdem das Konto beim 3. falschen Versuch gesperrt wird. Allerdings schützt das nicht gegen Keylogger. Damit kann ein potentieller Angreifer sehr leicht die jeweiligen Login Daten herausfinden. Bei der Konkurrenz (die mit der Hauptfarbe Orange), habe ich eine sehr einfache Methode gesehen dies zu verhindern. Zusätzlich zu einer Login Pin, gibt es noch eine zweite 5-stellige (nur aus Zahlen bestehende) Bank-Pin. Nach jedem Login muss man 2 zufällig ausgwählte Stellen dieser Pin auf einer Bildschirmtastatur durch Anklicken eingeben. Dadurch kann ein Angreifer trotz Keylogger nichts mit den Login Daten anfangen und das Banking wird um einiges sicherer.
Diese oder eine ähnliche Lösung würde ich mir bei der Consorsbank auch wünschen
Aha, und was ist daran so viel sicherer? Was hält Schadprogramme (bzw. Audio-Treiber!!!) davon ab auch jeden Klick der Maus und gesendete Web-Formulare zu protokollieren und entsprechende Screen-Shots zu speichern? Die zusätzliche Pin geht auch nur begrenzt gut, denn irgendwann hätte der "Abgreifer" auch alle Stellen dieser Zusatz-Pin, die Daten müssen ja auch übertragen werden...
Mir ist schon klar, dass vermutlich keine Lösung so ganz sicher ist. Ich halte diese Lösung aber für um einiges sicherer als gar keine. Der Aufwand, den Sie beschreiben, ist ja dann doch um einiges höher als einen simplen Keylogger zu installieren. Und das mit dem Screenshot ist eh keine sichere/stabile Lösung für den Angriff, weil der ja minimal zeitversetzt passiert und sich die Maus schon wieder wo ganz anders befinden kann. Ich sollte vllt dazu erwähnen, dass die angeklickten Ziffern nirgends sichtbar sind. Man müsste also die Maus auf dem Screenshot gebau da erwischen, wo der Nutzer geklickt hat. Und ja, die Datenübertragung könnte man abfangen, aber 1. sind dazu dann mehrere Angriffe/Versuche nötig und 2. kann man durch entsprechende Implementierung das Abgreifen bzw die Daten, die abgegriffen werden, für den Angreifer noch schwerer nutzbar machen. Wie gesagt: 100% sicher wird es nie geben, aber man kann den Aufwand, der zum Abgreifen der Daten betrieben werden muss soweit erhöhen, dass ein Angriff immer unattraktiver wird. Und im Moment ist das Abgreifen mit Keylogger für jedes Kind machbar
Das Problem ist, dass Schadsoftware auf dem Rechner "alles" sieht und alles aufzeichnen kann. Die Systeme (Handy, PC, Laptop, ...), die man für seine Bankgeschäfte nutzt, sollte man immr auf dem aktuellsten Stand halten, soweit dies möglich ist. Zusätzlich sollte man entsprechende Sicherheitssoftware installiert haben und auch diese aktuell halten.
Ein weiterer Nachteil bei einer solchen Lösung ist, das der Login-Prozess länger dauert.
Ich kenne den beschriebenen Login-Vorgang der orangenen Bank und finde diese Lösung mehr als bescheiden, auch weil sie die Sicherheit nur marginal erhöht.
Wenn überhaupt könnte eine richtige Zweifaktorauthentifizierung angeboten werden. Lösbar wäre das z.B. unter Verwendung des TAN-Generators, den es hier ja sowieso schon gibt.
Sehr gerne auch eine Zweifaktorlösung. Je sicherer, desto besser 😉 Der Punkt ist - und ich denke da sind wir uns einig - dass es im Moment nicht gerade schwierig ist in den Banking Account zu kommen und sämtliche hoch sensible Daten abzugreifen. Klar, gegen einen zufällige Brute Force Attacke reicht die vorhandene Lösung. Sobald sich ein Angreifer aber nur minimalst mehr Mühe macht, ist die Hürde nicht wirklich hoch.
vielen Dank für Ihren Vorschlag bezüglich einer Verbesserung der Sicherheit beim Login. Heute kann ich Ihnen nun eine Rückmeldung zum Stand Ihrer Idee geben.
Mit der Umsetzung der europäischen Zahlungsverkehrsrichtlinie PSD2, wird ab September 2019 eine 2 Faktor-Authentifizierung eingeführt. Damit ist dann auch beim Login eine zusätzliche TAN zur Legitimation erforderlich.
Einen kurzen Überblick gibt es bereits auf der folgenden Seite:
Sie müssen ein registrierter Benutzer sein, um hier einen Kommentar hinzuzufügen. Wenn Sie sich bereits registriert haben, melden Sie sich bitte an. Wenn Sie sich noch nicht registriert haben, führen Sie bitte eine Registrierung durch und melden Sie sich an.