Hi.

Ich bin seit einigen Tagen dabei meine Online-Passwörter zu überarbeiten und sicherer zu machen.
Gerade habe ich bei meiner Bank (Sparkasse) die Online-PIN geändert.
Eigentlich hatte ich vor ein relativ langes und komplexes Passwort zu verwenden.

Allerdings erlaubt die Sparkasse maximal 5 Zeichen und auch nur einige "Sonderzeichen". :freak:

Mit dieser Funktion können Sie Ihre bisherige persönliche Identifikations-Nummer (PIN) ändern.


Bitte wählen Sie eine fünfstellige PIN, die nur Ihnen bekannt ist, und notieren oder speichern Sie diese nicht.
Erlaubte Zeichen zur Vergabe der PIN sind:
Kleinbuchstaben von a - z
Großbuchstaben von A - Z
Ziffern von 0 - 9
Sonderzeichen ä,ö,ü bzw. Ä,Ö,Ü und ß
Vermeiden Sie:
Kombinationen aus den Anfangsbuchstaben Ihres Namens und Ihres Geburtsdatums
Ihre Telefonnummer oder Teile davon
Ihre Postleitzahl
gängige Tasten- bzw. Einfachkombinationen wie 123ab, 55555
gleiche oder ähnliche Inhalte wie beim Anmeldenamen oder der Legitimations-ID bzw. Teile davon

Bitte geben Sie zweimal die neue PIN ein und bestätigen Sie mit "Weiter".


Ist das nur bei meiner Bank der Fall oder ist es "normal", dass ausgerechnet die Banken, bei denen Sicherheit eigentlich überdurchschnittlich wichtig wäre, solche rückständigen Passwortrestriktionen vorgeben?

ja, das finde ich auch recht strange... ich wollte schon öfter ändern, aber die 5 Zeichen-Begrenzung ...äääh...

Ist bei mir an der Hochschule ähnlich idiotisch gelöst. Das Erstpassword, welches jeder Student erhält, ist ein Durcheinander aus Buchstaben und Zahlen. Dagegen ist erstmal nichts einzuwenden, da sicherlich zufallsgeneriert. Das Passwort darf allerdings nur zwischen (eingeschlossen) 5 und 8 Stellen haben und muss mindestens eine Zahl enthalten. Dummerweise sind meine sicheren Passwörter alle wesentlich länger. Außerdem ist es eh völlig egal, ob eine Zahl im Passwort ist oder nicht, da allein die Möglichkeit schon die Menge der Bruteforceattacken erheblich erhöht. Letzendlich ändert nahezu niemand sein Passwort, sondern vergisst es eher.

Bei meiner Bank gerade mal max. 6 Zeichen mit zeitlich unbegrenzter Gültigkeit :frown:.
Anscheinend sparen die Banken so Kosten beim Support. Wer will schon ständig wegen der Vergesslichkeit der Kunden die die Passwörter zurücksetzten?

Ist nicht nur da so, beim letzten Versuch, bei der CB etwas sinnvolles einzutippen: Sorry, no.

Gerade noch bei meinem Wüstenrot-Zugang die PIN geändert.
Dort geht immerhin schon einiges mehr: maximal 12 Zeichen und viele Sonderzeichen sind möglich.
Außerdem wird direkt nach der Eingabe der neuen PIN live überprüft und in rot/grün angezeigt, welche Kriterien das Passwort (nicht) erfüllt.


Richtlinien für die Online-PIN Vergabe
1. Die Online-PIN muss aus mindestens sechs, maximal zwölf Zeichen bestehen.
2.
Mindestens 2 der folgenden Kriterien müssen erfüllt sein:
- Die Online-PIN enthält Buchstaben (Umlaute sind nicht zulässig).
- Die Online-PIN enthält Zahlen.
- Die Online-PIN enthält Sonderzeichen (zulässige Zeichen: !@$§%^&*+=][.}:<>?~_).
3. PIN und Kontroll-PIN müssen identisch sein.

Wenn Sie Ihre Online-PIN ändern, wählen Sie bitte eine schwer zu erratende Kombination. Vermeiden Sie Vornamen, Nachnamen, Geburtsdatum oder ähnliche persönliche Angaben.



Dafür bietet die Wüstenrot immer noch nur das alte iTan-Verfahren mit Papierlisten an.

Beim Online-Banking der Sparkasse kann man doch seine Benutzererkennung selbst wählen, ergo ist das schon eine Sicherheitsstufe ansich. Selbst wenn dann unbefugter Zugang zustande kommt, geht nicht mehr als Kontoauszüge anschauen. Alles andere erfordert HW-TAN + EC-Karte.

bei der volksbank gibt es auch eine magere 5 stellige pin fürs einloggen. für alles weitere braucht man aber natürlich ec karte + tan generator. und weggucken kann einem ja keiner was. :D

ich vermute mal, dass der zugang zum online banking -im gegensatz zu email konten und co- nach relativ wenigen falschen eingaben in folge gesperrt wird und erst vor ort in der filia wieder entsperrt werden kann. ich will das jetzt aber auch nicht ausprobieren. :freak:

Beim 3. Mal in Folge wird gesperrt. War zumindest bei einer echten Bank so. Vielleicht können das Volksbank und Sparkasse auch.

Also Volks und Raiffeisenbanken sperren auch nach dreimaliger Fehleingabe.
Dann muß man erst in die Bank das Konto wieder freischalten.

bei der volksbank gibt es auch eine magere 5 stellige pin fürs einloggen. für alles weitere braucht man aber natürlich ec karte + tan generator. und weggucken kann einem ja keiner was. :D

ich vermute mal, dass der zugang zum online banking -im gegensatz zu email konten und co- nach relativ wenigen falschen eingaben in folge gesperrt wird und erst vor ort in der filia wieder entsperrt werden kann. ich will das jetzt aber auch nicht ausprobieren. :freak:
also mein VB-Pin hat mehr als 5 ...

aber mit M-Tan ( Postbank ) haste ein Problem. Viele Postbank kunden die das Nutzen wurden von Kriminellen Abgezogen. Nur mal so am Rande eine Bank schickt keine E-mails. E-mail löschen und bei Bank anrufen ;).

Kam letztens auf Stern-Tv :)

mit der pin erhält man nur einsicht.
die sicherheit besteht in der bindung an die eigene ec-karte für smart-tan. ohne die kann angreifer x mit brute-force (kommt euch nicht der gedanke dass die banken nach fünf falschen eingaben mal anrufen was da los sei?!) sich auch nur die rote null angucken. :)

Ich habe bei der Deutschen Bank eine 5-ziffrige Zeichenkette als Online-PIN + 3-ziffrige Filialkennung. Weiß gar nicht, ob man die ändern kann, kam per Post.

Ist auch egal, ohne meine TAN-Liste kann man nur sehen wie reich ich bin

Mein anderes Konto ist durch Name/PW + Zufallsfrage geschützt. Hier kann ein potentieller Angreifer allerdings bloß auf das Deutsche Bank Konto überweisen :freak:

3 pin-fehlversuche: onlinebanking dicht (gilt auch für die wiso, quicken, etc-user)
3 tan-fehlerversuche (unabhängig welches tanverfahren): onlinebanking dicht)

Hier sind auch nur 3 Versuche möglich (Sparkasse). Dann ist das Onlinebanking dicht. Aber: Selbst wenn jemand die PIN rauskriegen sollte: Ohne Bankkarte und Tan-Generator geht nichts. Und selbst wenn jemand wider erwarten alles in die Hände bekommen sollte: Ich habe ein Limit eingerichtet, was den täglichen Geldbetrag betrifft. Das liegt bei 200 Euro. Mehr geht nicht, ohne dass ich bei meinem Kundenberater entsprechend angefragt habe. Dann wird entsprechend freigeschaltet.

Das Limit trifft auch auf Barabhebungen am Automaten zu. Nachdem ich überfallen wurde, habe ich das so eingerichtet. Lediglich am Schalter geht problemlos mehr.


tobife

Ganz toll ists bei uns in der Arbeit: Für manche Logins im Internet ist bei jedem Nutzer das Passwort "Firmenname123!" und viele Accounts von Leuten die bereits seit mehreren Jahren nicht mehr in der Firma sind bestehen immer noch :rolleyes: Der finanzielle Schaden den man damit anrichten könnte ist wohl größer als das Guthaben bei vielen Privatkonten...

5 zeichen ist bei der Pestbank ebenso.

Da aber wie schon gesagt i.d.R. nach einigen versuchen gesperrt wird ist die Gefahr überschaubar.. + das man dann reinkommt, aber ohne iTan/mTan/ChipTan/TingleTan eh nichts weiteres machen kann.

Aber ich kenne das: hab mich mal über die Bank of Scotland geärgert:
Password Policy etwa so:
mindestens 3 aus [Großbuchtsanben|Kleinbuchstaben|Zahlen|Sonderzeichen]
aber nicht mehr als 2 gleiche Arten hintereinander, und keine Sonderzeichen am Ende.

also Tjoh6$&/m geht nicht (3 Kleinbuchstaben nacheinander)
aA5Aa7A!aA geht.

Dazu kam das man bei jedem (!) einloggen nach einer von drei Sicherheitsfragen gefragt wurde. Mit so schweren Knallern wie erste Schule, Name der Mutter etc..

Das dann noch google-Analystics javascript auf der Loginseite war kam dann noch als Sahnetüpfelchen dazu..

bei der volksbank gibt es auch eine magere 5 stellige pin fürs einloggen. für alles weitere braucht man aber natürlich ec karte + tan generator. und weggucken kann einem ja keiner was. :D


hm, möglicherweise kann man jetzt passwörter länger als 5 zeichen nutzen. die haben das auf kennung + passwort umgestellt...seh ich leider jetzt erst.
und ich hab keine kennung!

steam autumn sale geht los und ich komm nicht ins onlinebanking. diese unfähigen bastarde!

Die ING-Diba macht das sehr sicher muss ich sagen.
Mindestens 5 Stellen mit buntem Mix bis max. 10 Stellen.
Danach muss man nochmal eine selbst ausgewählte PIN wie am Bankautomaten anklicken, per Maus und bei jeder Transaktion nochmal SMS-Tan eingeben.

Man hat also quasi 3 Sicherheitsstufen.

Die ING-Diba macht das sehr sicher muss ich sagen.
Mindestens 5 Stellen mit buntem Mix bis max. 10 Stellen.
Danach muss man nochmal eine selbst ausgewählte PIN wie am Bankautomaten anklicken, per Maus und bei jeder Transaktion nochmal SMS-Tan eingeben.

Man hat also quasi 3 Sicherheitsstufen.
richtig bescheuert ist rabobank .. hab da vor zeiten mal ein tagesgeldkonto eröffnet:

mit dem pin rein ins konto, x-stellige nummer ist diesen rabo-"tangenerator" reinhacken, pin in den generator rein, angezeigtes ergebnis ins webformular. oder so ähnlich. mag ja sicher sein, aber die absolute krönung was komfort angeht .. ne schaufel in die hand gedrückt und im wald selber ausgraben wär praktischer ;D

Ist das nur bei meiner Bank der Fall oder ist es "normal", dass ausgerechnet die Banken, bei denen Sicherheit eigentlich überdurchschnittlich wichtig wäre, solche rückständigen Passwortrestriktionen vorgeben?

Der durchschnittliche junge Erwachsene/in kann sich Zeichenfolgen bis zu sieben Zeichen (http://en.wikipedia.org/wiki/Working_memory) gut merken — danach geht es steil bergab. Die Hälfte ist (per Definition) blöder als der Durchschnitt.

Mit fünf Zeichen hat man vermutlich einen guten Kompromiss zwischen Paßwortsicherheit und den Kosten durch Kundensupport-Aufwand gefunden. (Die Meisten geben das Passwort doch eher bei Fishing in's Formular ein, oder haben es irgendwo im Klartext aufgeschrieben, als dass es gecrackt wird)

Selbst schuld.
Wer so überhaupt online Banking betreibt.
Ich mach nur HBCI.
Da brauch ich nur einen PIN und ne Chipkarte.
In Fishing Mails kann ich gar nichts eintragen, weil ich keine normalen Zugangsdaten habe.

Die Problematik bei kurzen Pins sind leichte Bruteforceattacken. Diese Gefahr ist nicht gegeben, wenn man nach 3 Versuchen den Zugang komplett von Serverseite aus sperrt. Natürlich gibts da viele andere Angriffsmöglichkeiten (z. B. Zugriff auf die Server selbst macht mir mehr mehr Sorgen, nach allem was man auf heise.de regelmäßig über die Schlampigkeit einiger Firmen liest), aber die simple Bruteforceattacke fällt weg

Zugang zum Account reicht desweiteren wie schon erwähnt nicht aus. Man muss auch die Onlinetans knacken um an Geld zu kommen. Und das ist nochmal ein ganz anderer Schwierigkeitsgrad.

Zugang zum Account reicht desweiteren wie schon erwähnt nicht aus. Man muss auch die Onlinetans knacken um an Geld zu kommen. Und das ist nochmal ein ganz anderer Schwierigkeitsgrad.

Sofern man mTans verwendet ist das gar nicht so schwer.

Beim Online-Banking der Sparkasse kann man doch seine Benutzererkennung selbst wählen, ergo ist das schon eine Sicherheitsstufe ansich. Selbst wenn dann unbefugter Zugang zustande kommt, geht nicht mehr als Kontoauszüge anschauen. Alles andere erfordert HW-TAN + EC-Karte.

Genau! Meine Benutzererkennung bei der KSP sind 15-Stellen/Zeichen lang und läßt die kurze Pin vergessen. Dazu noch Keepass in Linux.. ;)

Außerdem ist es eh völlig egal, ob eine Zahl im Passwort ist oder nicht, da allein die Möglichkeit schon die Menge der Bruteforceattacken erheblich erhöht.


Nope, ist nicht völlig egal - der Zwang verringert die möglichen Passwörter sogar ;D

Selbst schuld.
Wer so überhaupt online Banking betreibt.
Ich mach nur HBCI.
Da brauch ich nur einen PIN und ne Chipkarte.FULL ACK!

Die Problematik bei kurzen Pins sind leichte Bruteforceattacken. Diese Gefahr ist nicht gegeben, wenn man nach 3 Versuchen den Zugang komplett von Serverseite aus sperrt.Stimmt, das gilt aber nur wenn die (kurze) PIN von der Bank vorgegeben und nicht geändert werden kann! Denn angeblich nutzen fast 10% das Passwort "12345"... :facepalm:

Nope, ist nicht völlig egal - der Zwang verringert die möglichen Passwörter sogar ;DAber nur wenn der Angreifer sich sicher ist, dass min. 1 Zahl im Passwort vorkommt. Das kann er aber nicht.

MfG
Rooter

Aber nur wenn der Angreifer sich sicher ist, dass min. 1 Zahl im Passwort vorkommt. Das kann er aber nicht.


Diese Vorgaben sind ja nun kein Staatsgeheimnis ^^

edit: Habe mein eigenes Argument wiederlegen können. Sry.

Sagt mal einem Mathematiker, dass du sein Passwort kennst.

Er sagt bestimmt: "Kann garnicht sein".

Und dann sagst du: "Pi".

Die Gesichter musst man sich mal geben ;D

Sagt mal einem Mathematiker, dass du sein Passwort kennst.

Er sagt bestimmt: "Kann garnicht sein".

Und dann sagst du: "Pi".

Die Gesichter musst man sich mal geben ;D:ulol:

MfG
Rooter