abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

PIN Sicherheit lächerlich und Secure Plus bedenken

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Beobachter
Beiträge: 17
Registriert: 05.04.2020

Hallo

 

ich habe aus dem Internet eine Datei runtergelaufen mit der ich meine Passwörter überprüft habe. In dieser Datei sind alle zahlenkombinationen bis einschließlich 6 Ziffern enthalten. Also jeder der hier nur Ziffern verwendet hat schonmal verloren. Jetzt habe ich aber Buchstaben und Ziffern verwendet und mein PIN war ebenfalls in der Datei enthalten. 

 

Jetzt kommt bei mir das ungute Gefühl auf das wenn jemand meine Login Daten hat und noch an eine Tan kommt. Dann könnte jemand theoretisch auf seinem Gerät ebenfalls eine Secure plus App installieren die ihm Tan für mein Konto erstellen könnte.

 

jetzt habe ich die PIN geändert und es sind keine Sonderzeichen erlaubt was ich lächerlich finde. Nur 5 Stellen und dann keine Sonderzeichen betrachte ich als Einladung.

 

Ebenfalls würde ich mir wünschen das man die Anzahl der Verwendeten Secure Plus Geräte selbst limitieren kann und diese vielleicht sogar ganz ausschalten kann wenn man den Tan Generator besitzt.

 

ich denke das geht besser.

 

 

0 Likes
10 Antworten 10

Autorität
Beiträge: 3865
Registriert: 21.07.2017

Etwas arg viel "Ou mai Goooood!" im Thread-Titel ...

@mnefk :

Fakt beim Online Banking ist: Wer die Zugangsdaten hat, ist Master of the business.

Die Ausgestaltung der PIN ist dabei sekundär, wer sie hat, hat sie.

 

Wer sich dazu noch eine TAN fängt, kann sich bei der Consorsbank damit einloggen, mehr nicht, weil diese TAN damit verbraucht ist.


Gelegentlicher Autor
  • Community Beobachter
Beiträge: 17
Registriert: 05.04.2020

Leider sind die wenigsten Android Geräte die in Betrieb sind mit den aktuellen sicherheitspatches ausgestattet und es werden meist sogar die  androidversionen nicht weiter geupdated. Ich möchte nicht wissen wieviele Nutzer noch Kitkat auf ihren Androids verwenden.

 

Daher etwas weniger mai good. 

 

Ich persönlich empfinde es als lächerlich nur Ziffern und Buchstaben zuzulassen und würde mich freuen wenn das geändert werden würde da es in meinen Augen nicht zeitgemäß ist. Deshalb äußere ich meine Bedenken.

 

 

 

0 Likes

Autorität
Beiträge: 3865
Registriert: 21.07.2017

Weiter ist Fakt, dass der Betriebssystem(zu)stand ausschließlich dem Nutzer des Gerätes obliegt, nachzulesen in den AGB sämtlicher Online-Banken.


Gelegentlicher Autor
  • Community Beobachter
Beiträge: 17
Registriert: 05.04.2020

Das können sie so sehen vielleicht sollten sie mal ihren eigenen Pin überprüfen und mal schauen wie sie sich fühlen wenn ihre PIN in der Liste auftaucht.

 

Ich verstehe allerdings auch nicht ihre Motivation dahinter sich hier in dem Ausmaß sich so zu äußern anstatt einfach zu sagen: Jawohl jedes bisschen an Sicherheit was man heute mit Mobilgeräten dazugewinnen kann sollte man nutzen. 

 

 

0 Likes

Autorität
Beiträge: 4639
Registriert: 06.02.2015

@mnefk 

Ein weiter ist Fakt, dass man ein neues SecurePlus-Gerät nur hinzufügen kann, wenn man mit einem bereits vorhandenem Gerät einen entsprechenden QR-Code scannt.

 


Gelegentlicher Autor
  • Community Beobachter
Beiträge: 17
Registriert: 05.04.2020

Das mit dem QR-Code beruhigt mich. 

 

Trotzdem würde ich gerne die Sonderzeichen mit nutzen wenn das irgendwann möglich wäre.

0 Likes

Gelegentlicher Autor
  • Beitragsunterstützer
  • Community Junior
  • Community Beobachter
Beiträge: 14
Registriert: 06.11.2019

Hallo mnefk,

 

es stellt sich - für mich - durchaus die Frage, warum eine solche Datei überhaupt runter geladen wird? Wo könnte da das Interesse sein, und von wem?

 

Eine 5 stellige Zahl kann man durchaus - zufällig - per Zufallsgenerator generieren. Und mit noch mehr "Zufall" ist das dann die PIN zur richtigen Kontonummer. Wahnsinns-Zufall!!!

 

Moment, noch nicht ganz. Man braucht noch eine TAN um sich einzuloggen, oder eine SPA die man mit abweichender PIN auch freischalten muss, und dann kann man mit einer TAN, oder eben mit der Taste "Freigeben" den Login freigeben. Doch wo bitte will man so eine Software herbekommen? Die Software reicht doch nicht. Die muss zur passenden OPIN eingerichtet werden!!!

 

"Das geht besser". Ja? Bitteschön, dann machen Sie der Consorsbank da doch mal ein paar Vorschläge. Vielleicht werden Sie ja als IT Freak erkannt und gehört. Im Fazit kann man immer leicht sagen; "das kann ich besser". Machen, nicht sagen!

 

Im Fazit gibt es keine 100%ige Sicherheit. Die Consorsbank ist meines Wissens aber eine nachhaltige Bank, die auch für "Sicherheit" einsteht, und die Sicherheit auch schon mehrfach verbessert hat.

 

Wenn man als Kunde "Pech" hat (Konto gehackt) ist das natürlich erstmal total ätzend. Wenn man dann nicht gerade wohlhabend ist, ist es besonders ätzend - und sogar noch schlimmer. Aber mit dem von Ihnen beschriebenen Szenario glaube ich nicht, das sowas gelingen kann. Wenn man 100% Sicherheit will, kann man nur auf online-Banking verzichten. Und dann gibts immer noch genug andere Risiken. Also abwägen zwischen Risiko und Wahrscheinlichkeit des Eintreffens.

 

Nichts für ungut.

 

LG, Jürgen B.


Autorität
Beiträge: 3865
Registriert: 21.07.2017

(...) sollten sie mal ihren eigenen Pin überprüfen (...)

@mnefk :

Ich kann Dich beruhigen:

Er ist nicht in der Liste enthalten, obwohl er mit dem banalen Schema "Xyzxy" sämtlichen Empfehlungen Hohn spricht.

Es handelt sich um eine seltene Schreibweise eines überaus seltenen Namen aus einer seltsamen Gegend in Südostdeutschland, der Urhebern komplexer AI-Algos oder weniger kreativer NI-verhafteter Passwortkreationen bisher verborgen geblieben ist.

Einen Sicherheitsvorteil leite ich daraus allerdings nicht ab.

 

Zwei persönliche Hinweise:

Wenn Du schon auf dem "Sie" bestehst, dann schreibe es wenigstens groß; ich verwende ja auch durchgehend die Großschreibung, wenn ich Dich duze, ohne den Knigge neu aufzulegen.

(...) anstatt einfach zu sagen: Jawohl (...)

Den "Ja-" oder "Jawohlsager", wie Du ihn Dir wünschst, wirst Du in meinen Beiträgen nicht entdecken, dazu bin ich zu sehr Kreuz- und Längsdenker.


Gelegentlicher Autor
  • Community Beobachter
Beiträge: 17
Registriert: 05.04.2020

Ich glaube ich musss jetzt hier mal etwas Aufklärung betreiben.

 

Das Bundesamt für Sicherheit in der Informationstechnik hat vor einigen Jahren als es um Botnetze gegangen ist den Bürgern einen Dienst zur Verfügung gestellt damit diese Überprüfen können ob sie selbst Opfer geworden sind.

 

Heute hat das BSI leider diesen Dienst eingestellt jedoch verweist das BSI auf andere Webisten bei denen man seine E-Mail prüfen lassen kann. Was ich hier jetzt verlinke.

 

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/sicherheitstest_02112018.html

 

Auf diesen Websiten ist es möglich seine E-Mail Adresse einzutippen und man bekommt dann eine E-Mail ob und ggf. wann das E-Mail Konto oder bei welchen Diensten und Websiten man gehackt wurde und ob das Passwort mit ausgelesen werden konnte.

 

ist das der Fall haben dritte Zugriff auf die E-Mail Adresse und können somit selbst Passwörter für weitere Dienste und Websiten zurücksetzen.

insofern man keine zwei-Faktor Authentifizierung aktiviert hat.

 

des Weiteren gibt es im Netz diese Listen zum Runterladen die Textdatein beinhalten mit bis zu 6,5 Milliarden Nutzerdaten. Diese Datein sind dann entpackt 24-50 Gigabyte Gros und werden für sogenannte brutalere Attacken verwendet. Das bedeutet man kann wenn man Benutzerdaten kennt kann man nach und jedes Passwort durchprobieren. Was heute PC Programme erledigen die man frei und kostenlos runterladen kann (nur mal auf YouTube) suchen.

 

Ebenfalls können diese Passwortliste auch verwendet werden um zu überprüfen ob das eigene Passwort bereits im Internet frei zugänglich ist was ich gemacht habe.

 

um das zu erläutern wenn ich jetzt eine Überweisung mache oder meine Kontokarte geklaut werden würde könnte jemand über die Kontonummer und diese Liste mit der Zeit versuchen auf meinen Zugang aufzuknacken da hier bei der Consorsbank der Login mit der Kontonummer funktioniert. Eine andere Bank regelt das anders dort ist der Login mit dem sogenannten vr-netkey durchzuführen den jemand anderes auch erst erschnüffeln müsste.

 

aus diesem Grund um sicherzustellen das ein PIN mit 5 Stellen wie hier sicher ist würde ich gerne Sonderzeichen mit nutzen. mir ist sehr wohl klar wie man Fakultäten berechnet. Und das bei 5 Stellen und 10 Ziffern 26 Großbuchstaben und 26 Kleinbuchstaben es auch genügend Möglichkeiten gibt. Doch leider sind diese mit einer einfachen Formel in Excel sogar zu berechnenden auszugeben. Was ich beruflich schon gemacht habe deswegen weis ich wie schnell das möglich ist.

 

viel Spaß beim Daten überprüfen.

 

 

 

0 Likes
Antworten