sicherere und laengere internet pin akzeptieren

Q-Tipp, und immer schön weiter Äpfel mit Birnen vergleichen.

Hallo zusammen, seit November letzten Jahres bin ich nun auch Kunde der Consorsbank durch die Übernahme der DAB bank AG. Das erste was mich bei der Einrichtung meines Online-Zugangs an der Vergabe der Zugangs-PIN gestört hat, war die 5-stellige PIN, und das ohne Sonderzeichen! Dieser Beitrag wird nun schon seit 12/2014 diskutiert und es ist bis heute noch nichts passiert ????? Ein Mitarbeiter der Consorsbank hat mich vor kurzem, als ich dieses Thema angesprochen habe, auf die Community verwiesen. Wie soll ich das jetzt beurteilen? Will sich die Consorsbank evtl. nicht mit diesem Thema beschäftigen ?! Ich wünsche mir als erstes eine Reaktion seitens der Consorsbank mit einer Aussage, wann die Erweiterte PIN-Vergabe (mind. 5 Stellen, nach oben bis zu 20 oder mehr Stellen, die Möglichkeit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen verwenden zu können) möglich ist. Danach soll doch jeder Nutzer selbst entscheiden, ob er nur 5 Zahlen oder ein starkes Kennwort verwenden möchte.

Meine Schlußfolgerung aus dem Verlauf dieses Themas ist, das Consors keine Notwendigkeit darin sieht, das zu verbessern. Und das Thema einfach aussitzt. Immerhin wird der Thread hier nicht gelöscht und man läßt ihn stehen.

Ich verstehe die Consorsbank an dieser Stelle auch nicht. Vielleicht ist die aktuelle Lösung ja wirklich sicher genug. Aber ich kann mir nicht vorstellen das die Implementierung eines längeren Passwortes mit Sonderzeichen sooo kompliziert wäre. Und sei es nur um kritischen Kunden wie mir ein subjektives Sicherheitsgefühl zu vermitteln. Außerdem fände ich es sinnvoll als Zugangskennung nicht die (öffentlich bekannte) Kontonummer zu verwenden, sondern ein frei wählbares Wort (welches ich mir auch noch besser merken könnte und nicht aufschreiben müsste). Beides gerne als Option. Damit könnte man auf einen Schlag viele verschiedene Kundentypen glücklich machen 😉

Kann man im Kennwort Sonderzeichen verwenden, wird eine Legitimation am Telefon ... interessant. Eine mTAN zur Legitimation am Telefon sollte, meiner Meinung nach, nicht möglich sein, wenn man nicht von Gerät aus anruft auf das die mTAN geschickt wird. Ansonsten geht in meinen Augen der Schutz komplett verloren...

@immermalanders Ich muss gestehen das ich nicht weiß wie bei der Consorsbank die Legitimation am Telefon läuft. Aber ich kann mir nicht vorstellen das ich einem Callcentermitarbeiter oder sonst irgend jemandem mein Internetbankingpasswort verraten würde. Erst recht nicht am Telefon. Interessant dazu ist auch: https://www.consorsbank.de/ev/Service-Beratung/Sicherheit#Online-Sicherheit Sicherheit für PIN und TAN Außerdem würde ich es sehr bedenklich finden wenn ein Mitarbeiter der Bank Zugriff auf Passworte zum Abgleich hätte. Im Idealfall sind auf den Servern der Bank keine Passworte im Klartext gespeichert, sondern nur deren Hashes. (https://de.wikipedia.org/wiki/Kryptologische_Hashfunktion) Das heißt bei der Passworteingabe wird der Hash des Passwortes erzeugt und mit dem, auf dem Server hinterlegtem Hash verglichen. Also, gleicher Hash=richtiges Passwort. Damit sind wir bei einem (sehr unwahrscheinlichem) Szenario. Jetzt kommt etwas Sience fiction. ******* Unser Superhacker schafft es in den Bankenserver einzubrechen und Passworthashes zu erbeuten. *********Sience fiction zu Ende ******** Jetzt braucht er mittels Brute force und einem Aldirechner nur wenige Stunden um einige Passworte aus den Hashes zu errechen. Denn die Anzahl der Möglichkeiten bei einem fünfstelligen Passwort ohne Sonderzeichen ist dann doch relativ gering. ***************************** Aber wie schon erwähnt, ich gehe nicht davon aus das man so ohne weiteres in einen Bankenserver einbrechen kann. 🙂 Und Außerdem werden die Hashes sicher auch durch einen SALT (https://de.wikipedia.org/wiki/Salt_(Kryptologie)) gestärkt. Aber wie auch immer das bei der Consors gelöst ist. Ein starkes Passwort ist immer sicherer (oder zumindest nicht unsicherer) als ein schwaches 😜

Hallo @maxkun,

vielen Dank für Ihren Vorschlag eine längere PIN nutzen zu können.

Gerne möchte ich einen Zwischenstand zu dieser Idee vermelden. Wir arbeiten derzeit an einer Umsetzung dieser Idee.

Wenn alles nach unserer internen Planung läuft, so wird der Vorschlag noch in diesem Jahr umgesetzt.

Mit besten Grüßen

CB_Andy
Community Moderator

Hallo,

 

das Jahr ist mittlerweile vorbei und die Kennwörter können immer noch maximal 5 Zeichen lang sein. Gibt es einen neuen Termin, wann man mit längeren Passwörtern rechnen kann?

 

Freundliche Grüße,

Setcab

Hallo @maxkun,

 

vielen Dank für Ihren Vorschlag, die Sicherheitsstandards durch die Vergabe einer längeren PIN zu erhöhen.

 

Ich melde mich nun final bei Ihnen, da diese Idee so nicht umgesetzt wird. Dies kommt daher, dass die Sicherheit im Online-Banking durch die konsequente Umsetzung der PSD2-Richtlinien bereits gegeben und somit ausreichend ist. Das Consorsbank SecurePlus-Verfahren ist ein Sicherheitsstandard der neuesten Generation (u.a. Zwei-Faktor-Authentifizierung) und bietet damit umfassende Sicherheit ganz unabhängig von der Länge einer Online PIN.

 

Ich bitte Sie um Verständnis und freue mich über weitere konstruktive Ideen Ihrerseits.

 

Viele Grüße

 

CB_Evelin
Community-Moderatorin

Hallo,

wenn ich im Netz mal was mit der Kreditkarte zahlen will, kommt oft die Abfrage, bei der ich von meiner 5stelligen OnlinePin z.B. die 1. und 2. Stelle hintereinander eingeben soll. Fast kann man drauf wetten, dass der Bezahlvorgang dann aus mir nicht ersichtlichen Gründen mißglückt und abgebrochen wird. Man fängt dann quasi von vorne an, wenn man das Produkt haben und bezahlen will. Und mit genauso 100%igen Sicherheit kommt dann die Abfrage nach der 2.und 3. Stelle meiner Online-Pin die ich zwei mal hintereinander eingeben soll.

Damit habe ich dann 3 von 5 möglichen Zahlen schon eingetippt!!!!!!!!!!!! Ein Unding, was soll daran bitte sicher sein!?!?!?

In der Regel breche ich dann den Vorgang ab und bezahle auf anderem Wege, oder kaufe gleich wo anders!