Zitat geschrieben von Hit
Nach dreimaliger Eingabe wird das Konto gesperrt und der Kontoinhaber bekommt
anschließend die falsche Fehlermeldung über die Eingabe einer ungültigen PIN, da
die Bank es nicht für nötig hält, den Kontoinhaber über die vorherigen, durch Dritte
verursachte Fehleingabeversuche zu informieren (z. B. durch eine automatisierte
EMail).
Das ist so nicht korrekt:
- Es erfolgt keine Meldung das die PIN falsch gewesen ist. Die Fehlermeldung ist neutral und lässt keine Rückschlüsse darauf zu, ob die Kontonummer überhaupt existiert oder nicht
- Es gibt keine Meldung das der Zugang gesperrt ist (aus demselben Grund)
- Es wird im Banking beim Login angezeigt wenn es vorherige Fehlversuche gab
Das mit den Mails ist so ein zweischneidiges Schwert. Ja könnte man machen, würde aber dazu führen, dass entsprechende Phishing Mails mit "
Ihr Konto wurde gesperrt klicken Sie hier um den Zugang wieder zu aktivieren", deutlich glaubwürdiger wirken würden wenn der Nutzer das von seiner Bank bereits kennt.
Zitat geschrieben von msa
Früher war bei eigentlich ALLEN Banken der Login die Kontonummer. Die etwas "wenigeren" Institute haben das seit vielen Jahren schon auf eine Login-ID umgestellt.
Login-ID: Werden sich die Nutzer bedanken wenn die neben der IBAN, sich noch eine 10+stellige Nummer extra merken müssen
Alias: Halte ich für ein viel viel größeres Sicherheitsrisiko als die Kontonummer. Ganz einfach deshalb, weil die meisten Nutzer dann aus Bequemlichkeit einen Namen wählen den sie auch woanders verwenden. Wenn dann mal wieder irgendwo ein 0815-Forum oder Shop gehackt wird ist die Wahrscheinlichkeit sehr hoch, dass der Nutzername und das Passwort identisch zum Banking sind. Kontonummer + PIN ist da eigentlich genau der Mittelweg zwischen extra Login-ID und frei wählbaren Alias.
Zitat geschrieben von Raimund Sichmann
Ich glaub nicht, dass Hit irgendetwas neues verbreiten möchte, sondern einfach seinen Unmut darüber, wie unzeitgemäß dieser Zustand bei der Sparda ist.
Was passiert, wenn ein DNS-Angriff auf die Sparda-Konten im großen Stil passiert, indem mal lustig alle Kontonummern durchprobiert werden, würden tatsächlich alle Konten gesperrt?
Und was hätte der Angreifer davon? Mal ganz abgesehen davon, dass man solche Sperren sowieso serverseitig auch in Massen ganz schnell wieder aufheben könnte. Fakt ist, ich habe es noch nie erlebt das jemand so etwas durchzieht. Und wenn das in Einzelfällen passieren sollte, kommt das wohl eher aus den persönlichen Umfeld. Die Person könnte genauso gut den Loginnamen kennen und sich damit einen Spaß machen. Oder vor der Haustür deine Schlösser am Auto zukleben. Was machst du dann? Was bleibt also? Erpressung der Bank worauf die sowieso niemals eingehen wird? Was hindert einen Angreifer denn daran anstelle der falschen PINs, einfach euren Banking-Server mit einen Botnetz totzumachen? Ist wohl die viel wahrscheinlichere Variante.
Zitat geschrieben von msa
Besonders böse an der Sache ist fürderhin, dass man bei Sparda NICHT sich selbst die PIN unter Verwendung der richtigen PIN und einer TAN freischalten kann, sondern sich von seiner Filiale bzw. der Kundenbetreuung der netbank (auch bei SPARDA DV laufend) eine neue PIN zuteilen/zusenden lassen muß.
Neue PIN brauchste du nur wenn du deine vergessen hast. Natürlich kann die Sparda den Zugang auch einfach wieder aktivieren ohne neue PIN.
Der Rest ist aber ein Sicherheitsaspekt. Hatten wir früher. Kann man drüber diskutieren. Fakt ist aber, bekommst du nach drei Fehlversuchen die Meldung schalten Sie sich jetzt mit einer TAN frei, könnte man so einen Bot loslassen und alle validen Kontonummern erkennen. Ist zwar auch eher ein Szenario aus der Theorie, war aber ein Grund das nicht mehr zu machen sondern den sicheren Weg über die Kundenbetreuung zu gehen.
Und wenn wir sagen würden, okay...nur bei einer richtigen PIN kommt die Meldung bitte hier wieder den Zugang aktivieren, würde das ja Brute-Force Tür und Tor öffnen. Dann wartet der Angreifer bis sich der Kunde selber wieder aktiviert und kennt aufgrund der Fehlermeldung bereits die richtige PIN.
Wenn sich jeder Kunde selber entsperren könnte, wäre das ein Self-Service der auch der Sparda massiv Arbeit und Kosten erleichtern würde. Ich sage nicht das sowas nicht in Betracht gezogen würde, die ING-Diba macht das mittlerweile ja auch wieder. Aber es ist immer eine Frage zwischen Sicherheit und Komfort den man genau abwägen muss. Mit dem Wegfall der iTAN wäre ich persönlich sogar für diese Variante, aber der Grund warum das derzeit so ist, sind ausschließlich Sicherheitsaspekte.