Hallo Wissende!
Ich habe eine Frage. Wenn ich mich bei der Bank einlogge, muss ich eine Kennung und ein Passwort angeben.
Für jede Aktion die ich starte, will die Bank eine mobile Tan eingegeben bekommen.
Wie komplex muss das Passwort sein, da ich ja noch die mobile TAN als Sicherheit habe?
Danke für die Hinweise
sagt
Feinkostmusik
Hi,
komplexe pw sind immer gut! Aber wie Du schon sagst: Selbst wenn ich Dein pw habe brauche ich ja immer noch eine mTAN um Geld zu überweisen. Ohne die habe ich zwar Zugriff auf Dein Konto (wenn ich Dein pw kenne), aber kann dort keinen Schaden anrichten.
Gruss
K
Hallo,
- Komplex wie möglich (wie empfohlen) oder
generell keine Wörter benutzen , wenn dann Sätze ,
am besten quer durch die Tastatur inklusive Sonderzeichen .
und ums so mehr Zeichen um so sicherer bzw länger hält ein Passwort.
- reicht so was wie bspw. 12Uhr30.
ist ein Wort drinne und wird wohl nicht ganz so lange dauern bis
sowas ,rein durch ausprobieren, geknackt wird.
Am besten ab und zu das Passwort wechseln .
Dann greift „ausprobieren“ nicht mehr .
Danke für die Hinweise
sagt
Feinkostmusik
Bitte
TechPech
Hi,
der große Vorteil dieses Systems ist, dass ein Einbrecher ohne TAN nur gucken kann. Er kann nichts ändern.
Als nächstes wird bei vielen Banken der Zeitpunkt des letzten Logins angezeigt. Da sollte man regelmäßig drauf gucken und sofort das Passwort ändern wenn dort eine ungewöhnliche Aktivität zu erkennen ist.
Um die Frage selber zu beantworten: Passwörter sollten immer so lang und so komplex wie möglich sein.
Durch die Verwendung von
„Brutforce Attacken“(einfach alles durchprobieren),
„Dictionary Attacken“(systematisches ausprobieren vom Wörtern aus einem Wörterbuch sortiert nach Häufigkeit mit 1 bis 2 Ziffern am Ende) und neuerdings
„Social Attacken“(Durch Informationen aus Facebook und Co lässt sich das zuvor genannte Wörterbuch so sortieren, dass sich schneller Treffer finden lassen zB Begriffe aus einem Hobby)
Ein komplexes Passwort mit Groß/Kleinschreibung Zahlen und Sonderzeichen lässt sich schwieriger finden als Ein Wort, dass im deutschen Duden steht.
Zu guter Letzt nimmt die Suchzeit für ein Passwort mit der Länge exponentiell mit der Größe des verwendeten Zeichensatzes zu.
MFG
Mit Gaming-PC an einen Tag geknackt
- reicht so was wie bspw. 12Uhr30.
ist ein Wort drinne und wird wohl nicht ganz so lange dauern
bis
sowas ,rein durch ausprobieren, geknackt wird.
Auch ohne Wort braucht ein aktuelle Gaming-PC dafür nur einen Tag, wenn der Hash bekannt ist. Allerdings dürfte das Angriffszenario bei einer Bank irrelevant sein.
Ciao, Allesquatsch
Wie komplex muss das Passwort sein, da ich ja noch die mobile
TAN als Sicherheit habe?
Hallo Feinkostmusik,
so komplex, wie es die Bank vorschreibt.
Ansonsten hast Du schon recht: Bei Online-Banking ist die Komplexität des Kennworts nicht besonders relevant. Wenn jemand erst im Bankensystem eingebrochen ist, ist die Kompromittierung der Kennworte wohl das geringste Problem.
Viel wichtiger ist, dass Du es nicht auch woanders einsetzt. Und natürlich die Sicherheit des Endgeräts.
Komplexe und individuelle Kennworte sind aber fast überall sonst angeraten, erst recht, wo es um Internet und kostenlose Angebote geht.
Ciao, Allesquatsch
Kaspersky sagt „12Uhr30“ dauert mit einem normalen PC 9 Tage (mit den Anführungsstrichen übrigens gleich 200 Jahre). Vollast, 24/7 versteht sich. http://password.social-kaspersky.com/en
Kann mir vorstellen dass die Bank nach ein paar Versuchen die innerhlab von ein paar Millisekunden kommen den Zugang eh sperrt. Von daher geht von einer Brute-Force oder Dictionary Attack wohl hier, wie Du sagst, keine Gefahr aus. Somit gibt es keinen wirklichen Grund für ein 37stelliges alphanumerisches pw mit Sonderzeichen.
Ich meine dass ein pw dann gut ist wenn man es niemals in seinem Wortschatz benutzt. Nur dann schützt es auch gegen social engineering. Oder es ist halt so allgemein wie eben „12Uhr30“.
Gruss
K
Wobei Kennwort-Komplexität natürlich nur in dem speziellen Falle relevant ist, wenn jemand von außen oder innen Zugriff auf die gehashte Kennwortdatei erhält.
Da aber der Betreiber so etwas nicht (gleich) merkt und zugeben will (wie Schlecker oder Groupon), ist die Gefahr für den Benutzer recht hoch.
Wenn der Betreiber so inkompetent ist, die Kennwortdatei nicht fachgerecht zu kodieren, ist auch die Komplexität kein Schutz mehr. (Leider nicht so selten.)
Dumm für den Benutzer, wenn er sein Kennwort anderswo nutzt. Denn das probiert der Kriminelle zuerst aus: ob das Kennwort auch bei ebay, itunes, Mailprovider usw. funktioniert.
Ebenfalls keinen Schutz durch Komplexität hat man, wenn der Angreifer die Datei oder gar das System manipulieren kann. Dann kann er das unverschlüsselte Kennwort beim Login abgreifen oder einfach ein eigenes hinterlegen.
Oder gar jede Identität im System annehmen, ohne überhaupt durch die Login-Prozedur zu gehen.
Ansonsten sind Deine Ausführungen natürlich richtig.
Ciao, Allesquatsch
Hallo,
ihr geht die ganze zeit von einem online angriff über die webseite aus .
Aber es gibt noch viele andere Möglichkeiten, wo z.b. nur das Passwort
abgegriffen wird und dann gehäckt wird, war glaub ich mal so bei einem Kreditkarten institut.
Also den langen Weg über das Online Frontend ist wohl ausgeschlossen .
Da kommt meist dann erst die Chaptcha frage und danach die Sperrung etc.
Na, hast du ja schon gute Tipps bekommen.
Der beste Tipp m.E.n. ist: „so komplex, wie es die Bank vorschreibt“. Wenn jemand Geld von deinem Konto stiehlt, wirst du dich an die Bank halten, um es wieder zu bekommen. Dann musst du sagen können, dass du alles getan hast.
Grundsätzlich ist das Pin/Tan-Verfahren nicht so toll. Stell dir vor, du gibst eine TAN ein und wirst aufgefordert, noch eine TAN einzugeben. Sieht für dich alles ok aus und deine Transaktion funktionierte prima. Tatsächlich hatte sich aber jemand dazwischen gemogelt und eine TAN abgegriffen, mit der er dann Geld für sich abbuchen könnte.
Habe immer die URL (Internet-Adresse oben im Fenster) im Auge, damit du sicher bist, auch tatsächlich mit der Bank zu sprechen.
Besser ist das so genannte Public-Key-Verfahren mit einer externen Eingabeeinheit für die Pinnummer. Ist aber bei Bankkunden noch nicht so beliebt, muss erst noch mehr passieren.
Gruß
Rolf
Kaspersky sagt „12Uhr30“ dauert mit einem normalen PC 9 Tage
(mit den Anführungsstrichen übrigens gleich 200 Jahre).
Vollast, 24/7 versteht sich.
Kommt hin. Allerdings wird niemand, der so etwas beabsichtigt, die CPU eines normalen PCs mit einer solchen Aufgabe betrauen.
Ein gewöhnlicher Gamer-PC mit zwei schnellen Grafikkarten schafft in der Sekunde eine Milliarde MD5-Hashes zu testen. In nicht mal 6 Stunden sind bereits alle Kennworte mit 7 gewöhnlichen Zeichen (Annahme 80 Charaktere) durchgetestet.
Ciao, Allesquatsch
ihr geht die ganze zeit von einem online angriff über die
webseite aus .
Dann hast Du meine Beiträge nicht gelesen oder nicht verstanden.
Komplexität hat nur Nutzen bei Angriffen auf die Datenbank.
Aber Du hast es zumindest gut verstanden, dass das beim Online-Banking kein realistisches Risiko ist.
Ciao, Allesquatsch
Hi,
Grundsätzlich ist das Pin/Tan-Verfahren nicht so toll. Stell dir vor, du gibst eine TAN ein und wirst aufgefordert, noch eine TAN einzugeben. Sieht für dich alles ok aus und deine Transaktion funktionierte prima. Tatsächlich hatte sich aber jemand dazwischen gemogelt und eine TAN abgegriffen, mit der er dann Geld für sich abbuchen könnte.
Leute die daraufhin eine andere TAN eingeben sollten aber kein onlinebanking machen sondern für Bankgeschäfte in die Filiale gehen.
Ärzte die in eine benutzte Spritze greifen könnten sich auch Krankheiten holen. Ist daher der Beruf „Arzt“ unsicher?
Gruss
K
Ich schließe mich den vorherpostenden an.
8-10 Zeichen und beser keine Wörter
Gruß