Login ID

Liebe Leute,
es gibt Banken, die ihren Kunden als Login-ID die Kontonummer zumuten (z. B. die
gute alte Sparda).

Da Kontonummern im Internet unter Interessierten praktisch Allgemeingut sind,
kann jeder PC-Besitzer mit Internet-Zugang, der sich im Besitz einer solchen
befindet, eine Online-Sperre auslösen, indem er sich dreimal erfolglos bei diesem
fremden Konto anzumelden versucht.

Nach dreimaliger Eingabe wird das Konto gesperrt und der Kontoinhaber bekommt
anschließend die falsche Fehlermeldung über die Eingabe einer ungültigen PIN, da
die Bank es nicht für nötig hält, den Kontoinhaber über die vorherigen, durch Dritte
verursachte Fehleingabeversuche zu informieren (z. B. durch eine automatisierte
EMail).

Der Kontoinhaber hat dann das Problem,
a) Beim Service-Center die nötigen Warteschleifen zu drehen und
b) demütigende Abfragen über sich ergehen zu lassen

Was lernt man daraus?
- Eigene Kontodaten sowenig wie möglich ins Internet durchsickern lassen, vor allem
nicht via PayPal oder eBay
- Eine Bank wählen, die weniger pappnasig mit sicherheitsrelevanten Prozeduren verfährt.

Ich glaub nicht, dass Hit irgendetwas neues verbreiten möchte, sondern einfach seinen Unmut darüber, wie unzeitgemäß dieser Zustand bei der Sparda ist.
Was passiert, wenn ein DNS-Angriff auf die Sparda-Konten im großen Stil passiert, indem mal lustig alle Kontonummern durchprobiert werden, würden tatsächlich alle Konten gesperrt?
Gruß
Raimund

Das ist so nicht korrekt:

- Es erfolgt keine Meldung das die PIN falsch gewesen ist. Die Fehlermeldung ist neutral und lässt keine Rückschlüsse darauf zu, ob die Kontonummer überhaupt existiert oder nicht
- Es gibt keine Meldung das der Zugang gesperrt ist (aus demselben Grund)
- Es wird im Banking beim Login angezeigt wenn es vorherige Fehlversuche gab

Das mit den Mails ist so ein zweischneidiges Schwert. Ja könnte man machen, würde aber dazu führen, dass entsprechende Phishing Mails mit "Ihr Konto wurde gesperrt klicken Sie hier um den Zugang wieder zu aktivieren", deutlich glaubwürdiger wirken würden wenn der Nutzer das von seiner Bank bereits kennt.



Login-ID: Werden sich die Nutzer bedanken wenn die neben der IBAN, sich noch eine 10+stellige Nummer extra merken müssen

Alias: Halte ich für ein viel viel größeres Sicherheitsrisiko als die Kontonummer. Ganz einfach deshalb, weil die meisten Nutzer dann aus Bequemlichkeit einen Namen wählen den sie auch woanders verwenden. Wenn dann mal wieder irgendwo ein 0815-Forum oder Shop gehackt wird ist die Wahrscheinlichkeit sehr hoch, dass der Nutzername und das Passwort identisch zum Banking sind. Kontonummer + PIN ist da eigentlich genau der Mittelweg zwischen extra Login-ID und frei wählbaren Alias.



Und was hätte der Angreifer davon? Mal ganz abgesehen davon, dass man solche Sperren sowieso serverseitig auch in Massen ganz schnell wieder aufheben könnte. Fakt ist, ich habe es noch nie erlebt das jemand so etwas durchzieht. Und wenn das in Einzelfällen passieren sollte, kommt das wohl eher aus den persönlichen Umfeld. Die Person könnte genauso gut den Loginnamen kennen und sich damit einen Spaß machen. Oder vor der Haustür deine Schlösser am Auto zukleben. Was machst du dann? Was bleibt also? Erpressung der Bank worauf die sowieso niemals eingehen wird? Was hindert einen Angreifer denn daran anstelle der falschen PINs, einfach euren Banking-Server mit einen Botnetz totzumachen? Ist wohl die viel wahrscheinlichere Variante.



Neue PIN brauchste du nur wenn du deine vergessen hast. Natürlich kann die Sparda den Zugang auch einfach wieder aktivieren ohne neue PIN.

Der Rest ist aber ein Sicherheitsaspekt. Hatten wir früher. Kann man drüber diskutieren. Fakt ist aber, bekommst du nach drei Fehlversuchen die Meldung schalten Sie sich jetzt mit einer TAN frei, könnte man so einen Bot loslassen und alle validen Kontonummern erkennen. Ist zwar auch eher ein Szenario aus der Theorie, war aber ein Grund das nicht mehr zu machen sondern den sicheren Weg über die Kundenbetreuung zu gehen.

Und wenn wir sagen würden, okay...nur bei einer richtigen PIN kommt die Meldung bitte hier wieder den Zugang aktivieren, würde das ja Brute-Force Tür und Tor öffnen. Dann wartet der Angreifer bis sich der Kunde selber wieder aktiviert und kennt aufgrund der Fehlermeldung bereits die richtige PIN.

Wenn sich jeder Kunde selber entsperren könnte, wäre das ein Self-Service der auch der Sparda massiv Arbeit und Kosten erleichtern würde. Ich sage nicht das sowas nicht in Betracht gezogen würde, die ING-Diba macht das mittlerweile ja auch wieder. Aber es ist immer eine Frage zwischen Sicherheit und Komfort den man genau abwägen muss. Mit dem Wegfall der iTAN wäre ich persönlich sogar für diese Variante, aber der Grund warum das derzeit so ist, sind ausschließlich Sicherheitsaspekte.

Das die Kunden wählen können ist doch gerade dann wieder ein Sicherheitsproblem. Was wählt denn der Otto-Normal-Kunde bei Euch? Ich würde mal stark vermuten, entweder seine Kontonummer weil er die kennt oder beispielsweise die Mailadresse. Das wäre dann genauso angreifbar. Entscheidend ist doch nicht das die Nutzer es ändern könnten, sondern was sie da wirklich hinterlegt haben. Dann müsstest ihr denen schon eine VR-Kennung auszwingen.



Ja in dem man lustige Statements auf Webseiten hackt, aber doch nicht in den man wahllos versucht Konten zu sperren. Vor allem geht da ja noch viel einfacher, nimmst du einfach eine Liste mit E-Mails die man überall im Netz findet und sperrt dann sämtliche Konten auf Amazon und Co. Die haben so gut wie alle einen Mail-Login. Aber was hat der Angreifer davon? Nichts, auch keinen Ruhm. Deshalb ist das auch ein so absurdes Szenario.



Natürlich gibt es da Möglichkeiten. Da wahllos Kontonummern durchzuprobieren in der Hoffnung die stimmen, benötigt auch mehere Rechner. ist ja nicht so als könnte man nicht einfach IPs sperren, Captchas notfalls einbauen etc. Da gibt es serverseitig auch Möglichkeiten so etwas zu verhindern. Man könnte auch einfach den Login dann kurzfristig so ändern, dass zusätzlich eine Bestätigung per Freigabeverfahren notwendig ist und ansonsten da überhaupt nichts gesperrt wird. Wäre nur Unsinn solche Geschütze aufzufahren wenn wir hier von einem Szenario reden, welches extrem fern von der Praxis ist.

Ich warte ja eh ab, das der Login irgendwann über Google oder Facebook passiert...

Hm. Ich hatte das als "Ich erwarte noch eine Steigerung des Unfuges" gelesen und mir einen weiteren bösen Kommentar verkniffen

Ihr wisst das Google an sichere Passwörter forscht? so abwegig ist das gar nicht. Die sind dabei anhand des Verhaltens des Nutzers festzustellen, ob der Nutzer der richtige ist. solange gibt es auch kein Zugang zu sensiblen Daten.