Einer meiner Banken, bei denen ich Kunde bin, verlangt neuerdings alle 6 Monate einen Paßwortwechsel, wobei das neue PW nicht das alte sein darf. Im entsprechenden Formular wird das auch korrekt verhindert.

Allerdings kann man nach erfolgreichem Wechsel locker die selbe Prozedur nochmal starten und wieder das alte, erste PW setzen :ulol:

Ich würd mal sagen: FAIL :)

Toll, und nun?
Wäre es dir lieber, wenn jedes einmal von dir verwendete Passwort gespeichert würde, um die Liste in Zukunft bei jeder Änderung mit dem neuen Passwort abzugleichen? Eher nicht, oder?

Das ist tatsächlich ein Fail :) Password-History=1, Password-minimum-age=0. Jeder Active Diretory-Admin würde dafür einen Schlag auf den Hinterkopf bekommen.

Das wäre mir zu nervig, das ist ja fast ein Wechselgrund.

@te: na da hat aber jemand das system ganz schön ausgetrickst! du fuchs!

@te: na da hat aber jemand das system ganz schön ausgetrickst! du fuchs!
Das ist ja der Witz :rolleyes:

tombman

Erinnert mich an MS "Kompelxitätsprüfung" - Doedel1 ist "sicher" allesaufdiesemplanetenisteinhuhnunddummwiebrot - isses angeblich ned...

Mathe ist wohl in Bankenkreisen ned die Stärke - und zu Mathe gehört imho auch Logik ;).

Viel schlimmer finde ich, dass bei der Volksbank und bei der Sparkasse das Passwort nur 5 Zeichen lang sein darf. Länger gehts nicht.:freak:

Das ist dieses Minimum-Denken. Solange der Auftraggeber die Intelligenz "Auftragnehmer -1" hat, wird sowas immer wieder passieren.
Da gibt der coder dann das Formular ab, es wird "geprüft" -> "funkt" -> "bestanden" :ulol:

Fürs DENKEN wird man ja nicht bezahlt, nur fürs LENKEN ;D

Ist doch toll, so eine Sicherheitsfunktion :D

Toll ist auch der Pin (SecureCode) den man bei Kreditkarten neuerdings einrichten Kann/Muss,

tolle Sicherheitsfunktion, nur muss der Händler nicht dran teilnehmen :confused:

man selber aber schon wenn man über einen Shop einkauft der dran teilnimmt :freak:

Ist doch toll, so eine Sicherheitsfunktion :D

Toll ist auch der Pin (SecureCode) den man bei Kreditkarten neuerdings einrichten Kann/Muss,

tolle Sicherheitsfunktion, nur muss der Händler nicht dran teilnehmen :confused:

man selber aber schon wenn man über einen Shop einkauft der dran teilnimmt :freak:

der Haken daran ist daß damit die Haftung auf den Kunden abgewälzt wird

der Haken daran ist daß damit die Haftung auf den Kunden abgewälzt wird

Vor allen ist es mir ein Rätsel wie das die Sicherheit erhöhen soll,
wenn ich m ir einen Key-Logger eingefangen hab, bringt das auch nichts mehr,
selbst das mit der 3 Stelligen Sicherheitszahl auf der Rückseite ist Käse, da es Shops gibt die auch die nicht abfragen. :frown:

(wenn ich mich recht erinnere hat z.B. der Gearbox Shop die nicht abgefragt als ich die DLCs für Bordelands gekauft hab)

ich bekommen meine Kreditkartenabrechnung per Post, da ist dann alles drauf wenn mal einer so einen Brief abfängt, inklusive Adresse :mad:

ich bekommen meine Kreditkartenabrechnung per Post, da ist dann alles drauf wenn mal einer so einen Brief abfängt, inklusive Adresse :mad:
Same here- da braucht nur mal jemand regelmäßig den Müll durchsuchen und schon hat er CC-Daten ohne Ende...

Same here- da braucht nur mal jemand regelmäßig den Müll durchsuchen und schon hat er CC-Daten ohne Ende...
So etwas sollte man auch einfach schreddern.

Bzgl. Paßwortwechsel: Einfach einen Zähler einbauen, d.h. eine Zahl im Paßwort einfach immer um 1 erhöhen.

So etwas sollte man auch einfach schreddern.
.
Mach ich eh ;)

Toll, und nun?
Wäre es dir lieber, wenn jedes einmal von dir verwendete Passwort gespeichert würde, um die Liste in Zukunft bei jeder Änderung mit dem neuen Passwort abzugleichen? Eher nicht, oder?
Hash, anyone? :S

ich bekommen meine Kreditkartenabrechnung per Post, da ist dann alles drauf wenn mal einer so einen Brief abfängt, inklusive Adresse :mad:

Auch toll: Früher, als Online-Banking noch hip und modern war, schickte die Bank die TAN-Liste versiegelt (zum Aufreissen). Mittlerweile kommt die neue Liste einfach so unversiegelt auf einem DIN A4 Papier... :facepalm:

Das wäre mir zu nervig, das ist ja fast ein Wechselgrund.

+1

Schlimm finde ich auch Seiten wie Click&Buy. Das PW dort muss aus Buchstaben, Zahlen und Sonderzeichen bestehen, total nervig. Ist vor allem nervig wen man ein "standardpasswort" für Seiten hat die sich um Geldangelegenheiten kümmern das zwar 12 Buchstaben und Zahlen hat aber keine Sonderzeichen. Jedesmal wen ich mich da einloggen will mache ich einen blöden PW Reset weil ich natürlich auch zu faul zum aufschreiben bin und ein Gedächtnis wie ein Sieb habe.

welche bank ist es denn? um die shame komplett zu machen ;)

Hash, anyone? :S

Natürlich nicht im Klartext.. Aber eine Liste von allen jemals genutzten Passworthashs bleibt eine potentielle Sicherheitslücke ohne Nutzen.

Dass die User hin und wieder ihr Passwort ändern liegt meiner Meinung nach in ihrem eigenen Verantwortungsbereich und nicht in dem der Bank.. Und ich denke, wenn Tombmans Konto leergeräumt wird weil er die Bank so wahnsinnig genial ausgetrickst hat wird die Rechtslage auch genau so aussehen. Find ich auch gut so :)

+1

Schlimm finde ich auch Seiten wie Click&Buy. Das PW dort muss aus Buchstaben, Zahlen und Sonderzeichen bestehen, total nervig. Ist vor allem nervig wen man ein "standardpasswort" für Seiten hat die sich um Geldangelegenheiten kümmern das zwar 12 Buchstaben und Zahlen hat aber keine Sonderzeichen. Jedesmal wen ich mich da einloggen will mache ich einen blöden PW Reset weil ich natürlich auch zu faul zum aufschreiben bin und ein Gedächtnis wie ein Sieb habe.

KeePass (http://keepass.info/) ist prima, um solche Passwörter zu verwalten. Bei der Gelegenheit würde ich die Standardpasswörter aber auf jeden Fall auf individuelle ändern ;)

Natürlich nicht im Klartext.. Aber eine Liste von allen jemals genutzten Passworthashs bleibt eine potentielle Sicherheitslücke ohne Nutzen.

Dass die User hin und wieder ihr Passwort ändern liegt meiner Meinung nach in ihrem eigenen Verantwortungsbereich und nicht in dem der Bank.. Und ich denke, wenn Tombmans Konto leergeräumt wird weil er die Bank so wahnsinnig genial ausgetrickst hat wird die Rechtslage auch genau so aussehen. Find ich auch gut so :)
Wenn dein Konto leergeräumt wird, würde ich das auch gut finden :)