Meinung gefragt: Logindaten nicht korrekt

Wie teilt man es dem Nutzer einer Webseite mit.

 
...
 
Avatar
 
Betreff:

Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 06.09.2013 - 13:02 Uhr  ·  #1
Hallo Allesamt,

ich führe gerade eine Diskussion, wie man einem Nutzer einer Webseite mitteilt, dass seine Login-Daten falsch sind.

Ist es besser zu schreiben:
1. "Die Username/Passwort-Kombination ist inkorrekt"

oder aufgeschlüsselt:
2. "Der Username ist nicht bekannt" und "Das Passwort ist inkorrekt"


Was seht ihr für Vor- und Nachteile.

Viele Grüße
Jens
SDI
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 64
Dabei seit: 06 / 2011
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 06.09.2013 - 13:33 Uhr  ·  #2
Nachteil: Ein Angreifer weiß bei aufgeschlüsselter Anzeige schonmal, ob es den Usernamen gibt oder eben nicht.

Vorteil: Dem Kunden hilft es mehr ;)

Greets
SDI
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 06.09.2013 - 19:31 Uhr  ·  #3
Mit einem wirklich vernünftigen Captcha im Formular würde ich es differenziert anzeigen. Denn das Captcha schreckt vor Roboterangriffen ab.
Aber ohne Captcha würde ich es in jedem Fall nur mit "Anmeldedaten falsch" anzeigen ohne Aufschlüsselung.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7720
Dabei seit: 08 / 2002
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 07.09.2013 - 12:44 Uhr  ·  #4
Hallo Jens,
willkommen im Forum.

Das Thema ist - je mehr man drüber nachdenkt - zumindest meiner Meinung nach ziemlich komplex und ich bin auch nicht sicher, ob wir wirklich zu einem Ergebnis kommen, weil auch noch einige Unbekannte dabei sind.

Erstmal möchte ich klarstellen, dass wir hier die Anmeldung im Onlinebanking meinen. Hier gibt es Parameter, die auf "normalen Webseiten" häufig so ja nicht gelten.
Dazu gehört eine wichtige Prämisse: Der Bankrechner sperrt den Zugang, wenn die PIN mehrfach falsch eingegeben wurde. ("PIN" finde ich als Namen inzwischen ziemlich unglücklich, weil sie naturgemäß gerne mit Zahlen assoziiert wird.)

Vorab auch noch:
Die aktuelle Bedrohung geht ja eher von trojanischen Pferden und durch Schadsoftware ausgespähte Daten aus. Hier sind echten Probleme vorhanden, ich denke, das sollte allen klar sein, aber ist hier eher nicht das Thema.

Es ist ebenfalls auch keine Frage, ob es rein aus Sicherheitsgründen wünschenswert wäre, ob ein Angreifer erfährt, wo sein Fehler liegt, also Anmeldung oder PIN falsch ist.

Meine Meinung:
Es ist ziemlich unwahrscheinlich, dass ein Angriff durch Ausprobieren der möglichen Kombinationen innerhalb der erlaubten Versuche zu einem Ergebnis führt. Ein Brute-Force-Angriff benötigt die Kombination Anmeldenamen und die PIN, um zu einem verwertbaren Ergebnis zu kommen. Meiner Meinung nach ist es ziemlich sinnlos, dass dies jemand auf breiter Ebene probiert, weil der "Ertrag" in keinem Verhältnis zum Aufwand steht.

Dies unter dem Eindruck, dass bis bei vielen Banken vor kurzem sogar die Anmeldung über die Kontonummer erlaubt war, also eine durchaus einfach zu errechnende Komponente des Anmeldevorgangs. (Die Genobanken an der GAD stellen gerade auf die Anmeldung auf das Gespann VR-Kennung und Alias um und schalten die Kontonummernanmeldung ab, >>siehe hier.)

Eine groß angelegte Attacke führt also höchstens zur Sperrung einiger Bankzugänge, also wäre dies eher eine DoS-Angriff.
Ich bin ziemlich sicher, dass die große Anzahl durchprobierter Anmeldungen vom Rechenzentrum nicht unbemerkt bliebe und zur temporären Sperrung der AnmeldeIP führen würde (unabhängig davon, ob der Webserver nicht schon zusammengebrochen wäre, etc.)

Jetzt zur Theorie, bei der ich mir aber nicht sicher bin, ob ich nicht etwas übersehe. Bitte korrigiert mich, falls etwas nicht stimmt. Die Zahlen sind angenommen und entsprechen nicht der Realität, das ganze ist also nur ein Gedankenspiel.

Nehmen wir mal großzügig an, es würde ein fettes Botnetz für einen Angriff genutzt, mit 5 Mio. Rechnern. Jeder Rechner erhält die Gelegenheit, 100 Angriffe durchzuführen, bevor seine IP für 10 Minuten gesperrt würde. Damit wären 5 Mio x 100 x 6, also 3 Mrd. Anmeldungen in einer Stunde drin, 72 Mrd. am Tag.

Betrachten wir die Anmeldung bei einer GAD-Bank. Die Alias-Anmeldung lasse ich mal lieber gleich weg, da mind. 7 Zeichen verlangt werden, Groß- und Kleinschrift und einige Sonderzeichen sind ebenfalls möglich. Ich kann leider nicht beurteilen, wie erfolgreich Wörterbuchattacken sein würden, aber allein von den möglichen Kombinationen her sind die Zahlen schon recht groß und "unhandlich".

Für mein Gedankenspiel würde ich also eher einen Angriff auf die VR-Kennung selbst starten, da die Zusammensetzung einfacher ist. Die 19-stellige VR-Kennung beginnt immer mit VRK, das ist bekannt, bleiben 16 Zahlen-Stellen. Im Moment bin ich nicht ganz sicher, ob eine davon eine Prüfziffer ist, nehmen wir also zur Sicherheit 15 Stellen an, also 999.999.999.999.999, aufgerundet: 1.000.000.000.000.000 = 1 Billiarde.
Diese möglichen Kennungen verteilen sich auf eine große GAD-Genobank, mit praktischen 1 Mio. Kennungen. Die Wahrscheinlichkeit, bei dieser Bank eine gültige Kennung zu treffen, müsste also 1 Billiarde/ 1 Mio, also 1:1 Mrd sein.

Bei 72 Mrd. Angriffen ergeben sich unter diesen angenommenen idealen Bedingungen also potentielle 72 gültige Treffer am Tag.

Betrachten wir eine 5-stellige PIN, mit 36 möglichen Buchstaben und Zahlen, also 36 hoch 5 Kombinationen (etwa 60 Mio).
Ziemlich wahrscheinlich würden also nur 72 Kennungen gesperrt, die die Bank im Notfall mit wenig Aufwand neu generieren könnte.

Ich halte es daher für unnötig, die Fehlermeldung zu ändern, weil sie eher Anmelde-Probleme lösen hilft, als Sicherheitslücken zu verursachen.

Jetzt seid ihr dran, hab ich etwas übersehen oder mich irgendwo verrechnet?

Gruß
Raimund
...
 
Avatar
 
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 10.09.2013 - 18:12 Uhr  ·  #5
Hallo zusammen.

Vorab vielen Dank für euer Feedback.

An Captchas habe ich bspw. noch gar nicht gedacht.
Allerdings sind diese (zumindest für mich als Anwender) absolut nervig.
Nach meinem Dafürhalten sind diese für einen Registrierungsprozess ggf. sinnvoll,
allerdings für einen regelmäßigen Login eher nicht zu gebrauchen.


Ich vertrete ganz klar die Ansicht, dass eine aufgeschlüsselte Darstellung "Nutzername falsch" / "Passwort falsch" ein erhebliches Sicherheitsrisiko darstellt.


Ich werde meine Argumentation jedoch nicht wie Raimund auf Statistiken und Berechnungen stützen, sondern anhand von Erfahrungen arbeiten.
Kernpunkt meiner Argumentation ist, dass Anwender Anmeldedaten nutzen, die einfach zu merken sind.


I. Nutzerkennung ermitteln
gerade Nutzerkennungen werden einfach merkbar gewählt.

1. automatisierter Angriff
Um eine Liste mit Nutzerkennungen zu ermitteln würde ein Angreifer sicherlich nicht alle Möglichkeiten durchprobieren, sondern einfache Kombinationen von möglichen Wörtern und Namen nutzen (Wörterbuchattacke).
Ein Angreifer würde hiermit sicherlich nicht alle Loginnamen ermitteln, aber doch sicherlich eine erhebliche Anzahl.
bspw. Alexander, Superman, Christina2, ...

hier könnte ggf. ein SIEM automatisierte Angriffe erkennen und melden.


2. manueller Angriff
Ein manueller/gezielter Angriff würde eine Recherche vorraussetzen.
bspw. eine Liste von Nutzern einer Bank ließe sich bspw. über ein ebenfalls vorhandenes Forum ermitteln.
Namen die hier genutzt werden könnten ggf. in Abwandlung auch beim Online-Banking genutzt werden.
Auch wenn ich einen Angriff auf Accounts von gezielten Personen ausführen möchte, deren Namen ich kenne würde ich einfach probieren,
ob die Logins existieren.
bspw. sichmann1, jhamann, usw.



Ergebnis ist in beiden Verfahren eine Liste von definitiv existierenden Login-Namen.


II. Passwort ermitteln

Nun kann man wieder davon ausgehen, dass die meisten Nutzer nicht Keepass oder dergleichen nutzen um kryptische Passworte zu sichern. Wieder werden oft einfach zu merkende Passworte gewählt.
Da beim Onlinebanking meist genau definiert 5 Zeichen zu verwenden sind macht es dies dem Angreifer noch viel einfacher Passworte zu erraten

ich will nicht wissen, wie viele Nutzer Passworte wie: "qwert", "asdfg" oder "4dmin" für sicher halten.

Einfach mögliche Standardkombinationen auf die definitive Liste mit Accounts angewendet und es wird sicherlich einige Accounts geben, deren Sicherheit nun nicht mehr gewährleistet werden kann. Je näher der Angreifer hier das Opfer kennt je wahrscheinlicher ist ein erfolgreicher Angriff.

Sperrung der Accounts
Um der Sperrung der Accounts zu entgehen, kann der Angreifer bspw. jeden Tag ein Passwort probieren.
Eine erfolgreiche Anmeldung setzt den Fehlerzähler sicherlich zurück.

Wenn es etwas zu erreichen gibt kann ein Angreifer sicherlich Geduld entwickeln


Möglicherweise liegt es auch im Interesse des Angreifers der Webseite Schaden zuzufügen.
Also warum nicht einfach alle Accounts sperren.
Wenn ich mich recht erinnere beinhaltet ein Entsperrprozess bei Online Banken realen Schriftverkehr.
Also eine Art "DoS" für den Kunden. Seine Daten sind zwar sicher, aber auch sicher vor ihm....


Lösung
Die einfache Lösung ist hier aus meiner Sicht die Meldung "Username und/oder Passwort falsch".
Soweit ich weiß ich das auch heutzutage eine Art Best Practice.


Was denkt ihr - liege ich falsch?


Jens
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 10.09.2013 - 19:25 Uhr  ·  #6
Zitat geschrieben von Jens Hamann
Was denkt ihr - liege ich falsch?

Ich glaube, es gibt kein richtig oder falsch.
Es gibt nur ein "sicherer" oder "unsicherer" abhängig vom zugrundegelegten Angriffsszenario.
Ich bleibe bei meiner Meinung.
Auf jeden Fall mit Captch arbeiten, das hält Robots ab, die Massenabfragen auf gültige Benutzernamen machen könnten und damit auch das System belasten könnten.
Wenn das Captche stimmt würde ich differenziert anzeigen, ob Username oder Passwort nicht stimmen.
Wenn das Captcha nicht stimmt eine Einheitsmeldung die sich auf Captcha, User und Passwort bezieht. Das wäre für mich best practice.
Ohne Captcha auf jeden Fall Einheitsmeldung ohne Details.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 170
Dabei seit: 12 / 2006
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 11.09.2013 - 19:15 Uhr  ·  #7
Zitat geschrieben von Jens Hamann

Ich vertrete ganz klar die Ansicht, dass eine aufgeschlüsselte Darstellung "Nutzername falsch" / "Passwort falsch" ein erhebliches Sicherheitsrisiko darstellt.


Es kommt mit Sicherheit auf den jeweiligen Dienst an. Ein Webseiten Betreiber der auf Hits angewiesen ist oder ein Online-Shop, wird ein großes Interesse daran haben den Kunden das möglichst deutlich aufzuschlüsseln. Ansonsten wird dieser auf die Idee kommen vielleicht einfach woanders einzukaufen wenn er nichtmal mehr seinen Anmeldenamen auf Richtigkeit prüfen kann. Auf wirklich sicherheitsrelevanten Seiten wie Banking Logins, sehe ich das aber genauso.

Zitat

1. automatisierter Angriff
2. manueller Angriff


Viel einfacher:

Externe Seite hacken, beispielsweise Foren mit veralteter Software oder Online-Shops die entsprechende Lücken noch im System haben. Schon hat man eine wunderbare Liste an Loginnamen und oftmals auch Passwörtern die man bei beliebigen Diensten durchprobieren kann. Wird sehr häufig gemacht und ist für das betroffenden Unternehmen extrem kritisch. Denn mit Pech wird dann sogar behauptet die jeweilige Seite wäre gehackt wurden obwohl die Daten von Dritten kommen.

Bei den meisten sicherheitsrelevanten Diensten wie auch mein Server- und Domainbetreiber, habe ich hier in Deutschland auch so gut wie immer eine Kundennummer als Login. Frei wählbare Nutzernamen/Mailadressen sieht man eigentlich nur bei kleineren Seiten oder eben wie schon erwähnt bei Shopbetreibern.

Zitat

Nun kann man wieder davon ausgehen, dass die meisten Nutzer nicht Keepass oder dergleichen nutzen um kryptische Passworte zu sichern.


Zum Glück muss man leider sagen. Es gibt schon Trojaner die gezielt warten bis Keepass vom Nutzer geöffnet wird und dann die komplette Datenbank auslesen. Ist zwar selten, aber würde jeder Keepass verwenden, würden die Angriffe gezielt darauf ausgerichtet sein.

Zitat

Wieder werden oft einfach zu merkende Passworte gewählt.
Da beim Onlinebanking meist genau definiert 5 Zeichen zu verwenden sind macht es dies dem Angreifer noch viel einfacher Passworte zu erraten


So gut wie jede Bank dürfte nach den dritten Versuch sperren. In sofern ist eine Brut Force Methode selbst bei einfachen Passwörtern sehr unwahrscheinlich da eine Entsperrung dann nur durch die Bank möglich ist.

Zitat

Möglicherweise liegt es auch im Interesse des Angreifers der Webseite Schaden zuzufügen.
Also warum nicht einfach alle Accounts sperren.
Wenn ich mich recht erinnere beinhaltet ein Entsperrprozess bei Online Banken realen Schriftverkehr.
Also eine Art "DoS" für den Kunden. Seine Daten sind zwar sicher, aber auch sicher vor ihm....


In der Bankenwelt ist das Szenario eher unwahrscheinlich. Keiner hätte finanziell etwas davon Banking Accounts aus Spaß zu sperren, da kommt kein Profit bei rum und somit ist das uninteressant. Es würde sich wohl auch keine Bank dahingehend erpressen lassen. Allerdings könnte man bei einer klaren Fehlermeldung wie beispielsweise "Zugang gesperrt", natürlich eine Liste mit aktiven Kontonummern erstellen. Deshalb sollte gerade dort auch die Meldung neutral sein.

Zitat

Die einfache Lösung ist hier aus meiner Sicht die Meldung "Username und/oder Passwort falsch".
Soweit ich weiß ich das auch heutzutage eine Art Best Practice.

Was denkt ihr - liege ich falsch?


Wie gesagt, kommt auf die Seite an. Wenn ich einen gut laufenden Online-Shop hätte, möchte ich nicht das der Kunde erst schriftlich anfragen muss wie er wieder an seinen Zugang kommt. Da bekommt der die Meldung Passwort falsch und dann per Mail ein neues und gut ist. Bei Diensten wo der Nutzer aber fester Kunde ist bzw. sicherheitsrelevante Daten lagert, also beispielsweise sein Konto bei einer Bank oder Server bei einem Hostingunternehmen hat, ist jeder Punkt in mehr Sicherheit auf jeden Fall relevant. Und dazu gehören aus meiner Sicht auch keine frei wählbaren Nutzernamen und die Meldungen sollten dort genauso neutral ausgegeben werden wie von dir beschrieben.
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 12.09.2013 - 07:10 Uhr  ·  #8
Zitat geschrieben von B.N.
Frei wählbare Nutzernamen/Mailadressen sieht man eigentlich nur bei kleineren Seiten oder eben wie schon erwähnt bei Shopbetreibern.

Einspruch!
Es gibt einen FinTS Geschäftsvorfall für die Änderung des Anmeldenamens: HKANA
Und beim Onlinebanking mindestens aller FI-Institute (alle Sparkassen außer Hamburg und Landesbanken) kann man seinen Anmeldenamen selbst ändern. Wird von der Bank so gut wie immer vorbelegt, ist aber jederzeit mit TAN änderbar.
Sowohl über Webbanking als auch über FinTS.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 170
Dabei seit: 12 / 2006
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 12.09.2013 - 10:27 Uhr  ·  #9
Ja das stimmt, wobei die wohl keine frei wählbaren Passwörter haben werden. Bei Banken werden ja PINs verwendet, die können zwar auch geändert werden, aber das Risiko das da jemand auf externen Seiten auch eine PIN als PW verwendet ist denke ich eher gering. Oder gibt es mittlerweile auch Institute die neben den Loginnamen auch das Passwort komplett frei wählen lassen?
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 12.09.2013 - 11:31 Uhr  ·  #10
Zitat geschrieben von B.N.
Ja das stimmt, wobei die wohl keine frei wählbaren Passwörter haben werden.

Doch, natürlich ist auch das Passwort frei wählbar. Zwar häufig stellenbegrenzt auf 5 aber inhaltlich völlig frei wählbar.

Zitat geschrieben von B.N.
Bei Banken werden ja PINs verwendet, die können zwar auch geändert werden, aber das Risiko das da jemand auf externen Seiten auch eine PIN als PW verwendet ist denke ich eher gering.

Im Onlinebanking gibt es lediglich noch die Begrifflichkeit PIN. Hat aber nichts mit z.B. einer Karten-PIN zu tun.
Im Onlinebanking ist die PIN schon lange zu einem völlig frei wählbaren Passwort geworden. Lediglich die Erst-PIN durch die Bank vergeben ist rein nummerisch. Hat aber nichts zu sagen.
Vermutlich machst du kein Onlinebanking in Deutschland oder gar kein Onlinebanking. Auf jeden Fall bist du diesbezüglich gänzlich falsch informiert.

Das Risiko ist also keinesfalls gering, dass ein Onlinebanking Passwort/PIN mehrfach Verwendung - auch außerhalb des Bankings - findet.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 170
Dabei seit: 12 / 2006
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 12.09.2013 - 12:32 Uhr  ·  #11
Das ist von Bank zu Bank unterschiedlich, es gibt auch Banken die weiterhin ausschließlich nummerische PINs verwenden.
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 12.09.2013 - 16:37 Uhr  ·  #12
Zitat geschrieben von B.N.
Das ist von Bank zu Bank unterschiedlich, es gibt auch Banken die weiterhin ausschließlich nummerische PINs verwenden.

Dann reden wir aber nicht vom Standard FinTS sondern etwas bankeigenem gebastelten.
Hast du ein Beispiel?
...
 
Avatar
 
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 16.09.2013 - 16:24 Uhr  ·  #13
Hallo Allesamt,

Vielen Dank für eure Beiträge!

In der Diskussion zwischen Raimund und mir geht es um eine Onlinebanking-Website welche:
1. frei wählbare Logins (7-16 Stellen) zulässt und
2. einen PIN (genau 5 Stellen) erfordert

aktuell wird beim Login detailiert angezeigt ob PIN oder User falsch sind.
Da ich Kunde dieser Online-Bank bin fühle ich mich entsprechend verunsichert.

Ich wollte nun wissen, ob ich es übertrieben sehe oder ob meine Bedenken gerechtfertigt sind.

Es scheint als ob alle (mit Ausnahme von Raimund) meine Bedenken teilen.

Mein Passwort ist relativ komplex gewählt (soweit es 5 Stellen zulassen)
Allerdings fühle ich mich nicht wirklich sicher.

Meine Forderung an die Bank wäre:
1. keine detailierten Meldungen für Loginfehler
2. variable Passworte mit einer Länge ab 8 Zeichen zulassen.

Ich überlege echt die Bank zu wechseln, obwohl dies aktuell der einzige Grund wäre.

Jens
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 16.09.2013 - 17:20 Uhr  ·  #14
Die Bank zu wechseln wegen der Passwortlänge halte ich für übertrieben. Ich kenne keinen einzigen Fall, wo durch Brute Force ein Onlinebanking Zugang ermittelt werden konnte.
Selbst wenn man zufällig den richtigen Anmeldenamen herausbekommen würde ist nach drei Versuchen ja eh Schluß mit Probieren, weil der Zugang gesperrt wird.
Außerdem musst du erstmal eine Bank finden, die mehr Stellen anbietet. Das ist eher die Minderheit, soweit ich das beobachte.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7720
Dabei seit: 08 / 2002
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 16.09.2013 - 20:07 Uhr  ·  #15
erstmal vorab an Jens: Ich teile deine Bedenken für kurze Passwörter auch - aber nicht für die Bankanmeldung, bei denen entsprechende Sicherheitsmaßnahmen greifen und der Zugang nach 3 Fehlversuchen gesperrt würde.

Bisher halte ich diese ganze Diskussion für eine theoretische: Glaub jemand hier ernsthaft, diesen Aufwand würde irgendjemand treiben? Es ist tausendfach einfacher und vermutlich auch billiger, einen Virus zu bemühen, um an verwertbare Login-Daten zu kommen.

Ehrlich: Wenn ich an diesen Daten interessiert wäre, brächte ein kurzer Besuch einer Altpapierverwertungsstelle oder das Durchsuchen der Papierkörbe rund um eine Bank wesentlich schneller und sicherer ein verwertbares Ergebnis...

@Jens: Wenn du schreibst: "Ich überlege echt die Bank zu wechseln, obwohl dies aktuell der einzige Grund wäre.", hast du tatsächlich wirklich selbst Angst um deine Daten oder geht es dir eher um ein Statement?

Im ersteren Fall gibt es eine einfache Lösung: Du solltest einfach sichere Passwörter und Anmeldedaten verwenden, die deine geschilderten - in meinen Augen extrem unwahrscheinlichen - Szenarien einfach apprallen lassen. Oder du kannst eine Alternative wählen, wie z.B. den Secoder.

Wenn es um ein Statement geht: Mich hat die ganze Diskussion noch nicht überzeugt, wir können ja noch weiter machen:

Hier sehe ich z.B. eine kleine Schwachstelle in der Argumentation:
Zitat
Sperrung der Accounts
Um der Sperrung der Accounts zu entgehen, kann der Angreifer bspw. jeden Tag ein Passwort probieren.
Eine erfolgreiche Anmeldung setzt den Fehlerzähler sicherlich zurück.

Wenn es etwas zu erreichen gibt kann ein Angreifer sicherlich Geduld entwickeln

Erstmal - es gibt - außer ein paar Auszugsdaten - nicht viel zu erreichen, das Interesse dürfte sich also ziemlich in Grenzen halten.

Bei 5 Stellen und einfachen 36 Buchstaben mit Ziffern ohne Sonderzeichen haben wir 36^5 Möglichkeiten, also mehr als 60 Mio. Wieviel Jahrhunderte soll denn ein Angriff dann dauern?

Und davon abgesehen: Jeder macht mal >3 Tage am Stück Urlaub, ich halte täglich für ziemlich aussichtslos täglich zu probieren. Wenn dann mind. wöchentlich oder monatlich, damit es nicht zur Sperrung kommt.

Vergesst auch bitte nicht: Im Rechenzentrum würden breit angelegte brute-force Angriffe entdeckt werden. Da bin ich ziemlich sicher, auch wenn verständlicherweise keine Details der Schutzmaßnahmen veröffentlicht werden.

Und: Bei Brute-Force-Attacken weiß keiner, welchen Zugang er gerade hackt. Eine Nähe zum Opfer kann hier nicht ausgenutzt werden.

Zur Forderung nach längeren Passwörtern:
Ich habe einfach die Befürchtung, dass dies kontraproduktiv ist. Mathematisch gesehen stimmt das alles natürlich - die Sicherheit im realen Leben würde aber eher sinken, weil viele Menschen vergesslich sind und dazu neigen, sich überall die gleichen Passwörter einzurichten. Genau deshalb:
Zitat
Externe Seite hacken, beispielsweise Foren mit veralteter Software oder Online-Shops die entsprechende Lücken noch im System haben. Schon hat man eine wunderbare Liste an Loginnamen und oftmals auch Passwörtern die man bei beliebigen Diensten durchprobieren kann. Wird sehr häufig gemacht (...)

Genau deswegen habe ich persönlich große Bedenken gegen den Zwang, längere Passwörter zu verwenden (beim Banking wohlgemerkt). Eine Wahlfreiheit wäre hier schön, ich würde mir Passwörter mit mindestens 5 Stellen wünschen...

Gruß
Raimund
SDI
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 64
Dabei seit: 06 / 2011
Betreff:

Re: Meinung gefragt: Logindaten nicht korrekt

 · 
Gepostet: 16.09.2013 - 20:08 Uhr  ·  #16
Zitat geschrieben von onlbanker
Die Bank zu wechseln wegen der Passwortlänge halte ich für übertrieben. Ich kenne keinen einzigen Fall, wo durch Brute Force ein Onlinebanking Zugang ermittelt werden konnte.


Volle Zustimmung, auch wenn ich bei der Bank mal nahhaken und eine Begründung/Erklärung verlangen würde.

Gruß
SDI
Gewählte Zitate für Mehrfachzitierung:   0