Gelöst: Betreff: Consorbank App Android: Login mit falscher PIN möglich

glutengo · 30.07.2020

Guten Tag,

Ich habe in der Consorsbank App für Android einen Bug entdeckt:

Wenn man beim Login an seine korrekten PIN weitere Ziffern anhängt, so wird dieser dennoch akzeptiert.

Beispiel:

Meine PIN lautet (nicht in Wirklichkeit, das ist nur ein erfundenes Beispiel) 12345

Login mit PIN 12345

Erwartetes Ergebnis: Login möglich

Tatsächliches Ergebnis: Login möglich

Login mit PIN 12345678

Erwartetes Ergebnis: Login nicht möglich

Tatsächliches Ergebnis: Login möglich

Login mit PIN 12345000

Erwartetes Ergebnis: Login nicht möglich

Tatsächliches Ergebnis: Login möglich

Ich finde das ist ziemlich kritisch, insbesondere wirft es die Frage auf, wie die PIN übertragen / verglichen wird. Wird hier bereits vor Absenden abgeschnitten, weil die Länge fix ist? (Ist sie das?) Falls nicht: Wie wird denn dann auf dem Server verglichen? Üblicherweise vergleicht man ja einen in der Datenbank gespeicherten Hash und nicht die echten Passwörter, aber das lässt sich mit dem hier beobachteten Problem nicht vereinbaren.

Ich finde das gerade für eine Bank nicht besonders vertrauenserweckend und würde empfehlen, das Problem schnellstmöglich zu beheben.

Viele Grüße

glutengo · 30.07.2020

Auf der Website geht das übrigens auch

stocksour · 21.07.2017

Im AT geht es dann natürlich auch.

Und bei meiner Sporgosse kann ich hinten auch dran hängen was ich will.

Wer die ersten 5 richtig macht, hat gewonnen; wer mehr tippt, bekommt auch keine Extrapunkte, weil das systemseitig ignoriert wird.

glutengo · 30.07.2020

Was bedeutet hier AT?

Dass die Länge fix auf 5 ist, wusste ich nicht. In dem Fall kann natürlich vor jedem Vergleich alles nach dem fünften Zeichen abgeschnitten werden und dann kann man wie gewohnt den Hash vergleichen (oder welcher Mechanismus auch immer hier zum Einsatz kommt).

Ich habe im Netzwerkverkehr beim Web Login nachgesehen. Daraus wird ersichtlich, dass die PIN nicht clientseitig abgeschnitten wird, sondern komplett übertragen wird.

Vielleicht wäre es einfacher und transparenter, das Eingabefeld dann gleich auf 5 Zeichen zu beschränken.

immermalanders · 06.02.2015

@glutengo

[...] Vielleicht wäre es einfacher und transparenter, das Eingabefeld dann gleich auf 5 Zeichen zu beschränken. [...]

In den Handy-Apps bzw. im AT (ActiveTrader) mag eine Begrenzung des Kennwort-Feldes sinnvoll erscheinen. Ich bin mir nicht sicher, ob bei einem reinen Watchlist/Community-Account, das Kennwort auch auf 5 Zeichen begrenzt ist. Wenn nicht, würden sich diese Nutzer, bei einer Begrenzung der Eingabe auf 5 Zeichen, nicht mehr anmelden können.

SmithA1 · 05.12.2016

Ich würde meinen, dass das kein Sicherheitsrisiko darstellt. Entweder jemand kennt mein Pin oder nicht. Bruteforce Attacken sind ohnehin nicht möglich und selbst wenn, würde die aufsteigend verlaufen; also 1-stelling dann 2-stellig etc. Und wenn die 5 Stellen geknackt sind hat man das Passwort. Keiner wird den Angriff noch weiterlaufen lassen.

CB_Stephan · 23.05.2018

Hallo @Community,

vielen Dank für die Beiträge zu diesem Thema.

Sicherheit ist bei der Consorsbank ein sehr wichtiges Thema.

Aus diesem Grund habe ich Ihre Anfragen noch einmal an die zuständige Abteilung weitergeleitet.

Sobald uns eine Rückmeldung vorliegt, werden wir Sie an dieser Stelle selbstverständlich umgehend informieren.

Viele Grüße

CB_Stephan
Community Moderator

urvater · 22.11.2016

@SmithA1 Ich sehe dies etwas anders. Wenn man weiß, dass nur die ersten fünf Zeichen wichtig sind, hat man zumindest rein theoretisch eine höhere Chance. Auch wenn es nur theoretisch "leichter" ist.

Im schlimmsten Fall gibt es noch eine "Lücke" und dann kann es zu einem Problem werden. Sicherlich muss man aktuell jetzt nicht gleich in Panik verfallen. Geändert sollte die Prüfung aber auf jeden Fall werden.

SmithA1 · 05.12.2016

@urvater könnte so sein, ich denke aber, dass sämtliche Hack-Tools nicht erst mit 8 Stellen durchrechnen sondern man fängt immer mit einer Stelle an. Und das erweitert man dann sukzessive um eine Stelle. Demnach wäre es auch nicht theoretisch leichter.
Nagel mich nicht fest, ich bin jetzt kein Hack-Profi; Hatte mich aber mal eine Zeit lang darin eingelesen (aus Interesse).
Aber das ist eh nur Theorie und ich denke in der Praxis muss man sich keine allzu großen Gedanken machen.
Ich stimme aber mit dir überein, dass man den Fehler beseitigen sollte.

CB_Stephan · 23.05.2018

Hallo @glutengo, liebe Community,

vielen Dank für Ihre Geduld.

Nach Rücksprache mit unseren Kollegen, kann ich ihnen folgendes mitteilen: Es ist tatsächlich so, wie von Ihnen diskutiert, dass die von Ihnen eingegebene Online-PIN immer nach der 5.Stelle abgeschnitten wird. Das heißt es ist gleichgültig, welche weiteren Zeichen eingegeben werden.

Gespeichert wird die Online-PIN bei uns nicht im Klartext sondern, nach den üblichen Sicherheitsstandards, nämlich als sogennanten salted Hash-Wert.

Da zusätzlich zur Online-PIN auch noch eine mindestens 6-stellige TAN eingegeben werden muss, ist auch eine Länge von 5 Zeichen mehr als ausreichend.

Viele Grüße,
CB_Stephan
Community-Moderator

Consorbank App Android: Login mit falscher PIN möglich

Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Re: Betreff: Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Betreff: Consorbank App Android: Login mit falscher PIN möglich

Re: Betreff: Consorbank App Android: Login mit falscher PIN möglich