Hallo Jens,
willkommen im Forum.
Das Thema ist - je mehr man drüber nachdenkt - zumindest meiner Meinung nach ziemlich komplex und ich bin auch nicht sicher, ob wir wirklich zu einem Ergebnis kommen, weil auch noch einige Unbekannte dabei sind.
Erstmal möchte ich klarstellen, dass wir hier die Anmeldung im Onlinebanking meinen. Hier gibt es Parameter, die auf "normalen Webseiten" häufig so ja nicht gelten.
Dazu gehört eine wichtige Prämisse: Der Bankrechner sperrt den Zugang, wenn die PIN mehrfach falsch eingegeben wurde. ("PIN" finde ich als Namen inzwischen ziemlich unglücklich, weil sie naturgemäß gerne mit Zahlen assoziiert wird.)
Vorab auch noch:
Die aktuelle Bedrohung geht ja eher von trojanischen Pferden und durch Schadsoftware ausgespähte Daten aus. Hier sind echten Probleme vorhanden, ich denke, das sollte allen klar sein, aber ist hier eher nicht das Thema.
Es ist ebenfalls auch keine Frage, ob es rein aus Sicherheitsgründen wünschenswert wäre, ob ein Angreifer erfährt, wo sein Fehler liegt, also Anmeldung oder PIN falsch ist.
Meine Meinung:
Es ist ziemlich unwahrscheinlich, dass ein Angriff durch Ausprobieren der möglichen Kombinationen innerhalb der erlaubten Versuche zu einem Ergebnis führt. Ein Brute-Force-Angriff benötigt die Kombination Anmeldenamen und die PIN, um zu einem verwertbaren Ergebnis zu kommen. Meiner Meinung nach ist es ziemlich sinnlos, dass dies jemand auf breiter Ebene probiert, weil der "Ertrag" in keinem Verhältnis zum Aufwand steht.
Dies unter dem Eindruck, dass bis bei vielen Banken vor kurzem sogar die Anmeldung über die Kontonummer erlaubt war, also eine durchaus einfach zu errechnende Komponente des Anmeldevorgangs. (Die Genobanken an der GAD stellen gerade auf die Anmeldung auf das Gespann VR-Kennung und Alias um und schalten die Kontonummernanmeldung ab,
>>siehe hier.)
Eine groß angelegte Attacke führt also höchstens zur Sperrung einiger Bankzugänge, also wäre dies eher eine
DoS-Angriff.
Ich bin ziemlich sicher, dass die große Anzahl durchprobierter Anmeldungen vom Rechenzentrum nicht unbemerkt bliebe und zur temporären Sperrung der AnmeldeIP führen würde (unabhängig davon, ob der Webserver nicht schon zusammengebrochen wäre, etc.)
Jetzt zur Theorie, bei der ich mir aber nicht sicher bin, ob ich nicht etwas übersehe. Bitte korrigiert mich, falls etwas nicht stimmt. Die Zahlen sind angenommen und entsprechen nicht der Realität, das ganze ist also nur ein Gedankenspiel.
Nehmen wir mal großzügig an, es würde ein fettes Botnetz für einen Angriff genutzt, mit 5 Mio. Rechnern. Jeder Rechner erhält die Gelegenheit, 100 Angriffe durchzuführen, bevor seine IP für 10 Minuten gesperrt würde. Damit wären 5 Mio x 100 x 6, also 3 Mrd. Anmeldungen in einer Stunde drin, 72 Mrd. am Tag.
Betrachten wir die Anmeldung bei einer GAD-Bank. Die Alias-Anmeldung lasse ich mal lieber gleich weg, da mind. 7 Zeichen verlangt werden, Groß- und Kleinschrift und einige Sonderzeichen sind ebenfalls möglich. Ich kann leider nicht beurteilen, wie erfolgreich Wörterbuchattacken sein würden, aber allein von den möglichen Kombinationen her sind die Zahlen schon recht groß und "unhandlich".
Für mein Gedankenspiel würde ich also eher einen Angriff auf die VR-Kennung selbst starten, da die Zusammensetzung einfacher ist. Die 19-stellige VR-Kennung beginnt immer mit VRK, das ist bekannt, bleiben 16 Zahlen-Stellen. Im Moment bin ich nicht ganz sicher, ob eine davon eine Prüfziffer ist, nehmen wir also zur Sicherheit 15 Stellen an, also 999.999.999.999.999, aufgerundet: 1.000.000.000.000.000 = 1 Billiarde.
Diese möglichen Kennungen verteilen sich auf eine große GAD-Genobank, mit praktischen 1 Mio. Kennungen. Die Wahrscheinlichkeit, bei dieser Bank eine gültige Kennung zu treffen, müsste also 1 Billiarde/ 1 Mio, also 1:1 Mrd sein.
Bei 72 Mrd. Angriffen ergeben sich unter diesen angenommenen idealen Bedingungen also potentielle 72 gültige Treffer am Tag.
Betrachten wir eine 5-stellige PIN, mit 36 möglichen Buchstaben und Zahlen, also 36 hoch 5 Kombinationen (etwa 60 Mio).
Ziemlich wahrscheinlich würden also nur 72 Kennungen gesperrt, die die Bank im Notfall mit wenig Aufwand neu generieren könnte.
Ich halte es daher für unnötig, die Fehlermeldung zu ändern, weil sie eher Anmelde-Probleme lösen hilft, als Sicherheitslücken zu verursachen.
Jetzt seid ihr dran, hab ich etwas übersehen oder mich irgendwo verrechnet?
Gruß
Raimund