Wissen

... statt vermuten

abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung

Auch wenn für die Überweisung an sich eine TAN benötigt wird, möchte ich trotzdem nicht, dass es so einfach ist sich in ein Konto ein zu loggen. Kontonummer + 5 stellige PIN ist sehr weit weg von jeglicher Art von heutigen Sicherheitsstandards. Selbst die kleinsten Unternehmen vordern zumeist min 6 Stellen Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinbuchstaben.  

 

Vorschlag daher: Zwei-Faktor-Authentifizierung für die die es möchten. Entweder über die Consors Bank App oder über bspw. FreeOPT oder GoogleAuthentificator. Dann muss nach der PIN ein einmaliger temporär gültige Zahl eingegeben werden die man über das Smartphone abrufen kann.

 

Grüße

 

 

 

 

11 Kommentare

Moderator
Status geändert in: Zur Diskussion
 

Enthusiast

Aus fünf Ziffern, Groß- oder Kleinbuchstaben lassen sich 916 Mio. Passwörter zusammensetzen, von denen ein Angreifer aber nur 3 ausprobieren kann. Da man mit dem Passwort nur schauen kann aber keine Aktion auslösen, halte ich das für unkritisch. Der Login sollte nicht unnötig verkompliziert werden. Längere Passwörter zuzulassen wäre wünschenswert.


Aufsteiger

Wenn ein Angreifer ein bestimmtes Konto angreifen möchte, erscheint die Wahrscheinlichkeit vielleicht gering. tatsächlich wird ein Angreifer jedoch versuchen, irgendein Konto zu knacken und nicht das Passwort durchdeklinieren, sondern Kontonummern durchprobieren. Dann sind die Wahrscheinlichkeiten nicht mehr so einfach zu berechnen.

 

Längeres Passwort ist ein MUSS, optionale Zwei-Faktor-Authentifizierung sehr wünschenswert.


Häufiger Besucher

Es geht hierbei nicht nur um die Sicherheitsstärke des PW. Mit hilfe eines Keyloggers bekomme ich Passwörter sehr schnell. Alternative über eine Phishing Seite. Mit Zwei-Faktor-Authentifizierung bin ich dann zumindest 2-3 Schritte weiter und wesentlich sicherer. 

 

 


Häufiger Besucher

 Finde diese Idee wirklich sehr gut! Wenn eine SMS-Tan möglich ist, dürfte eine Zwei-Faktor-Authentifizierung per SMS doch auch kein Problem sein.


Gelegentlicher Autor

Da gibt es doch das von Google eingeführte offene Universal Second Factor Protocol (U2F) der FIDO Alliance, auf das sich verschiedene Internetfirmen verständigt haben. Man braucht dazu ein kleines Plastikteil, eine Art USB-Stick, den man an seinem Schlüsselbund tragen kann. Wenn man sich nun bei einer Webseite mit dem USB-Gerät registriert, dann generiert das ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Anschließend wird der öffentliche Schlüssel an den Dienst geschickt. Beim jedem weiteren Login schickt die Webseite dann eine Challenge an das USB-Gerät, die diese mit ihrem privaten Schlüssel signiert und zurückschickt. Damit ist sichergestellt, dass derjenige, der sich einzuloggen versucht, nicht nur Kontonummer und Passwort kennt, sondern auch Zugriff auf den mit dem Account verknüpften USB-Schlüssel hat. Dieses neue Verfahren zur Zwei-Faktor-Authentifizierung gilt als äußerst sicher und sehr einfach in der Handhabung, da man für die verschiedenen Dienste, die U2F unterstützen nur ein solchen USB-Schlüssel braucht. Seit ein paar Monaten unterstützt auch Dropbox diese Form der Zwei-Faktor-Authentifizierung, und seit ein paar Tagen auch die Entwickler-Plattform Github. Man kann den U2F-Key bei Amazon kaufen (FIDO U2F Security Key für 16 Euro) und damit seine verschiedenen Accounts absichern, vor allem Gmail und Dropbox, und damit z.B. auch 1Password. Toll wäre es wenn die Consorsbank sich dieser Initiative anschließen würde, denn das jetzige Login ist mehr als unsicher.


Häufiger Besucher
Wie unsicher das jetzige Login ist, sieht man zum Beispiel in diesem Bereich "Wissen". Ich verwende den Chrome Browser (neueste Version 45), und die Login-Maske hat meine Kontonummer und PIN gespeichert. Keine weitere Eingabe erforderlich, und ich bin "drin". Über den Menüpunkt Benachrichtigungen geht es dann mit einem Klick zu den Kontoauszügen: Tagesgeldkonto, Verrechnungskonto usw. Schon praktisch, aber eben unsicher. Das im Browser gespeicherte Passwort können wahrscheinlich böswillige Apps ("Malware") einfach auslesen. Wenn schon keine 2-Faktor Authentifizierung angeboten wird, dann erscheint mir dieses Login irgendwie nicht ganz durchdacht.

Autorität

Der gößte Unsicherheitsfaktor ist der Nutzer wenn er seine Bankingdaten im Browser speichert. Ist für mich persönlich eine Unmöglichkeit. Mit der 2FA wird es sicherer, solange man nicht als 2. Faktor eine SMS verwendet. Was ist in diesem Fall der 2. Faktor für ein Login am Mobile Device? Oder was soll man machen, wenn man keinen Empfang hat?


Häufiger Besucher

Da gebe ich dir recht, unsicher ist es wirklich, wenn man die Bankingdaten im Browser speichern würde!

Dein Einwand, dass man am Mobile Device keinen zweiten Faktor hat ist einerseits berechtigt. Anderseits gehe ich davon aus, dass man das Smartphone mit zusätzlichen Sicherheitsvorkehrungen geschützt hat. Beispielsweise mit einem Code oder Touch ID und keine schadhaften Apps installiert hat. Als iPhone Nutzer hast du außerdem die Möglichkeit deine Daten auf dem iPhone im Verlustfall über iCloud löschen zu können.

 


Häufiger Besucher

Ich wollte darauf eigentlich darauf hinaus, dass man dann, wenn man beim Login im Bereich Wissen das Passwort im Browser speichert, dann auch automatisch immer beim Banking angemeldet ist. Ausserdem denke ich, dass es technische Möglichkeiten gibt, damit das Speichern des Passowrtes im Browser überhaut erst gar nicht erst angeboten wird. Zumindest wird es mir nicht auf allen Webseiten angeboten, bei CB aber schon.