Passwortbeschränkungen im Internet

[the_chaos]

Hallo

Ich hab nun schon mehrfach die Erfahrung gemacht, das diverse Internetseiten, unter anderem von VErsicherungen, Banken(onlinebanking) usw. für ihre Zugöänge keine sicheren Passwörter zulassen.

Entweder es gehen keine sonderzeichen und das PW darf nur 10 Zeichen lang sein. Oder wie bei meiner Bank ist für das Onlinebanking eine 5-Stellig Pin aus Buchstaben und ziffern scheinbar "sicher". Auf Nachfrage bekommt man nur die Info das das doch ausreichend ist.

Ok, vlt wollen sich die Betreiber aufwand ersparen, aber ich hab da kein verständniss für wenn ich mein PW nicht so gestalten darf wie ich es will.

Kann mir das einer erklären?

Grüße

Bearbeitet 18. Februar 2009 von the_chaos

[robotto7831a]

Woau. 5stellig alphanumerisch. Das ist ja schon fast luxus. Es gibt Online Zugänge 4stellig nur numerisch! Oder wenn zwei Leute Vollmacht für ein Konto haben dann können die beiden Leute nicht die gleiche Pin verwenden. Denn anhand der Pin wird erkannt welche Person gerade am Rechner sitzt.

Andere Banken verlangen dann wieder mindestens 6stellig mit mindestens einen Buchstaben und einer Zahl aber dafür keine Sonderzeichen.

Ich kann es nicht verstehen. Wir leben doch nicht mehr in den 80er wo Speicher verdammt viel Schotter kostet. Speicher ist doch heute erschwinglich auch für Serversysteme.

Frank

[the_chaos]

lol? die Pin aus 4 ziffern ist User und PW in einem? ok, dann würd ich wohl einfach die bank wechseln.

Ich denk nicht das es am Spiecher liegt. Es wäre nur einfach angebracht wenn man anerkannte Grundregeln für Sichere Kennwörter umsetzen würde...

[kein-tee]

[...] für das Onlinebanking eine 5-Stellig Pin aus Buchstaben und ziffern scheinbar "sicher". Auf Nachfrage bekommt man nur die Info das das doch ausreichend ist.

[...]

Kann mir das einer erklären?

Die Aussage ist richtig. Der Zugang zum Onlinebanking wird nach einer bestimmten Anzahl an Fehleingaben gesperrt, insofern reicht ein 5-stelliges Kennwort aus.

Gruß

[Crash2001]

Sinn macht es aber dennoch nicht.

ICh meine - es ist kein Problem, Sonderzeichen im Passwort zu akzeptieren und das "beliebig lang" zu machen, wenn gewünscht. Da sind diverse Banken schon sehr unflexibel.

Mag zwar mit der Software zusammenhängen, die sie nutzen, aber da würde ich beim Hersteller mal anklopfen, dass das bitte schleunigst ermöglicht wird, oder aber den Hersteller wechseln.

Besonders bei Banken, wo es doch ums ehr sensible Daten geht, ist das schon sehr wichtig finde ich.

WEnn eine PIN aus nur Zahlen ermöglicht wird, dann nehmen doch viel zu viele Leute ihr Geburtsdatum oder ihres Partners, was man durch Social Hacking schnell rausfinden kann.

[SoL_Psycho]

Also meine Bank (Volkswagen Bank direct) erlaubt zumindest seeeehr lange Passwörter

Mein Passwort dort ist auch 28 Zeichen lang. Nen bisschen übertrieben, aber setzt sich nunmal aus mehreren anderen Passwörtern zusammen, so dass ichs mir merken kann :D:D

[the_chaos]

Die Aussage ist richtig. Der Zugang zum Onlinebanking wird nach einer bestimmten Anzahl an Fehleingaben gesperrt, insofern reicht ein 5-stelliges Kennwort aus.

Gruß

ok, vlt ist der Account dann sicher, aber das ist doch keine Art, den zugang dadurch zu regulieren. Ich finds einfach sinnlos.

28 zeichen? omg...

wie gesagt, es würde reichen die 4 Regeln für sichere Passwörter zu zulassen, wer sie dann nicht nutzt ist eben selbst schuld. ABer auch da gibt es inzwischen schon genug seiten, bei denen das PW schon bei der eingabe darauf geprüft wird, das gewisse Regeln befolgt sind udnd as PW sicher ist. Aber gerade bei Banken wollen davon scheinbar nichts von.

[michaelmeier]

Aber das ist doch bei der EC-Karte kein Stückchen anders... 4-stellig und nach 3 falschen Eingaben ist die Karte wech. Beschwert sich doch auch niemand ernsthaft.

Viel interessanter finde ich: weiß man eigentlich, ob es da nicht regelmäßig DoS-Angriffe auf die entsprechenden Banking-Seiten gibt? Ich meine... naja, schnell in einer Schleife alle Kontonummern durchlaufen, 3 mal falsches Passwort und der Onlinebanking-Account ist gesperrt. Ist sowas schonmal vorgekommen? Gibt's dazu Infos? Irgendwelche Scriptkiddies waren da doch sicher schonmal aktiv. Klar das niemand (keine Bank) dergleichen zugeben wollen würde... aber weiß da jemand etwas drüber?

[Enno]

Trotzdem ist es absolut unsicher.

Immerhin ist es wesentlich effektiver dem Lottogewinner die EC Karte zu klauen und einfach 3 Nummern zu RATEN als selber Lotto zu spielen und zu hoffen das man gewinnt.

Lottogewinn: 1 / 139,8 Mio.

Kartendiebstahl mit raten: 3 / 1000

Nur leider kommt man nicht drum rum.

Immerhin bin ich bei einer Bank bei der ich meine Geheimzahl selber am Automaten ändern kann.

[Guybrush Threepwood]

Außerdem stellt sich die Frage wo die Passwörter bzw deren Hashs(hoffentlich) dann bei der Bank abgelegt werden, denn es ist ja schon oft genug vorgekommen das irgendwelche Bankserver gehackt wurden und wenn es dann jemandem gelingen sollte an die Passwordhashes zu kommen dann hat er ein 5 stelliges Passwort in 2-3 Sekunden raus. Bei einem 12 stelligem mit Sonderzeichen sieht das schon wieder ein wenig anders aus

Alles in allem gibt es keinen vernünftigen Grund Passwörter in ihrer komplexiblität einzuschränken.

[michaelmeier]

Trotzdem ist es absolut unsicher.

Was ersteinmal anhand von Zahlen bzw. Statistiken belegt werden sollte.

Nur leider kommt man nicht drum rum.

Immerhin bin ich bei einer Bank bei der ich meine Geheimzahl selber am Automaten ändern kann.

Das ist wahr. Man kommt kaum drum rum. Aber bei welcher Bank bist du denn, dass das da möglich ist? Würde mich mal interessieren.

[Enno]

Bei der: HypoVereinsbank Startseite

Siehe: http://www.hypovereinsbank.de/portal?view=/privatkunden/188440.jsp Bei Ihre Vorteile letzter Eintrag.

Ich habe noch ein Konto bei denen aus der Zeit als Sie noch Bayerische Hypotheken- und Wechselbank AG hiessen.

[Crash2001]

Aber das ist doch bei der EC-Karte kein Stückchen anders... 4-stellig und nach 3 falschen Eingaben ist die Karte wech. Beschwert sich doch auch niemand ernsthaft. [...]

Nur mit dem Unterschied, dass man da auch physikalisch die Karte noch braucht, um z.B. am Bankautomaten Geld abzuheben. Ist also schon anders als online...

Gut, ich habe so einen TAN-Generator, in den ich meine Karte reinschiebe und der dann anhand von 2 Nummern die ich eingeben (erscheinen auf der Seite bei einer Überweisung) muss eine TAN generiert. Die wird dann auf der Seite eingetragen. Ich brauche also auch da physikalisch meine Karte, damit es funktioniert. Zum einloggen auf dem Account und einsehen meiner Kontobewegungen braucht man aber trotzdem nur ein relativ kurzes Passwort, das nichtmals Sonderzeichen enthalten darf.

Viel interessanter finde ich: weiß man eigentlich, ob es da nicht regelmäßig DoS-Angriffe auf die entsprechenden Banking-Seiten gibt? Ich meine... naja, schnell in einer Schleife alle Kontonummern durchlaufen, 3 mal falsches Passwort und der Onlinebanking-Account ist gesperrt. Ist sowas schonmal vorgekommen? Gibt's dazu Infos? Irgendwelche Scriptkiddies waren da doch sicher schonmal aktiv. Klar das niemand (keine Bank) dergleichen zugeben wollen würde... aber weiß da jemand etwas drüber?

Ist mir nichts zu bekannt. Wäre aber wohl auch eher nicht von Erfolg gekrönt, weil man die PIN wenn dann wohl eher durch Social Engineering / Social Hacking herausbekommt als durch stupides durchlaufen der Kontonummern und zufällig generierten PIN-Code. Evtl würden solche Attacken auch von entsprechenden Sicherheitsmechanismen erkannt, falls es keine DDOS-Attacke ist. Davon abgesehen würde das wohl in einer möglichen Anzeige resultieren, und das ist ja normalerweise nicht grad das Ziel von Crackern o.ä., sondern sie versuchen eher im verborgenen zu agieren. Bearbeitet 20. Februar 2009 von Crash2001

[robotto7831a]

Aber bei welcher Bank bist du denn, dass das da möglich ist? Würde mich mal interessieren.

Bei der Dresdner Bank geht das auch. Deutsche Bank bin ich mir jetzt nicht ganz sicher.

Frank

[lynxian]

ich glaube das einfache PW-System hat sich nur wegen den alten gewohnheiten in den bankfilialen durchgesetzt. früher stand neben dem auszugsautomaten immer ein Papierkorb, die für die Auszüge gedacht war. das war damals absolut ausreichend, weil keiner auf die idee kam in der öffentlichkeit im papierkorb rumzuwühlen. konflikte entstanden in der vor-online-banking zeit auch nur, wenn plötzlich geld auf dem konto fehlte.

ich glaube es gab mal vor langer langer zeit das problem bei einer renommierten bank, dass passwörter im klartext übertragen wurden. letztes jahr war es eher gang und gäbe Pin Nummern direkt am automaten auszuspionieren und eine kopie von der bankkarte anzulegen.

[michaelmeier]

Ist mir nichts zu bekannt. Wäre aber wohl auch eher nicht von Erfolg gekrönt, weil man die PIN wenn dann wohl eher durch Social Engineering / Social Hacking herausbekommt als durch stupides durchlaufen der Kontonummern und zufällig generierten PIN-Code. Evtl würden solche Attacken auch von entsprechenden Sicherheitsmechanismen erkannt, falls es keine DDOS-Attacke ist. Davon abgesehen würde das wohl in einer möglichen Anzeige resultieren, und das ist ja normalerweise nicht grad das Ziel von Crackern o.ä., sondern sie versuchen eher im verborgenen zu agieren.

Nun ja... der DoS kennzeichnet sich imho nicht gerade dadurch, dass er im verborgenen durchgeführt wird. Ich meine ja schließlich nicht, dass man da rein will, sondern das man den Zugang lahm legt. Man stelle sich eine kleinere Bank vor, die derzeit ohnehin in Schwierigkeiten steckt... und bei der dann auch noch mehrfach in Folge das Onlinebanking lahmgelegt wird. Unschön.

Dass das in einer Anzeige resultiert ist klar... aber welches Script-Kiddie interessiert das schon ernsthaft?

Bearbeitet 22. Februar 2009 von michaelmeier

[the_chaos]

Alles in allem gibt es keinen vernünftigen Grund Passwörter in ihrer komplexiblität einzuschränken.

eben. natürlich ist auch EC+PIN nicht 100% sicher, aber heißt das das man es nicht im Internet besser machen könnt?

Zudem hatte ich z.B. früher bei der Sparkassen für überwesungen am Automaten ein Passwort, zwar nur BUchstaben aber immerhin. bei einer anderen Sparkasse gabs auch dafür nur ne Pin. Lokal also sehr unterschiedlich.