Online-Banking-Seiten oft mit Sicherheitslücken

Sicherheitslücken Die meisten Online-Banking-Angebote weisen in ihrer Architektur Sicherheitsrisiken auf. Über diese können sich Angreifer Zugriff zum Konto verschaffen oder Identitätsdiebstahl begehen, so eine aktuelle Untersuchung. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Bei mir ist es sogar nur möglich 5 Zahlen als Passwort zu nehmen, keine Buchstarben oder sonstiges, genau 5 Zahlen.

Sowas find ich auch schon etwas dreist.
 
@Aaron 86: Bei uns gibt es einen Anmeldenamen, der darf schonmal sehr lang sein und auch versch. Zeichen enthalten. Beim Passwort bin ich jetzt nicht sicher, aber das immerhin schonmal eine Möglichkeit.
 
@Aaron 86: Bei der Postbank kann man wenigstens 5 Zeichen bestehend aus Buchstaben und Ziffern nehmen, finde ich aber immer noch zu wenig. Bei der Bank, bei der ich mein Aktiendepot habe, wird ein Passwort aus 10 Zeichen vorrausgesetzt, das aus Buchstaben, Ziffern UND Sonderzeichen bestehen MUSS.
 
@Aaron 86: bei meiner Bank, kann man auch nur ein Passwort mit 5 Buchstaben und Zahlen kombinieren. Ein Hacker hätte da ein leichtes Spiel wie ich finde dass Konto leer zu räumen!
 
@25cgn1981: naja ganz so einfach ist es nun auch nicht das Konto leer zu räumen, die TANs werden ja auch noch benötigt. Ich kann bei meiner Bank aber auch nur 5 Buchstaben und Zahlen kombinieren und bin damit nicht gerade zufrieden.
 
@Aaron 86: Dreist auf alle Fälle. Aber was speziel hier 25cgn1981 vergessen zu scheint ist die Tatsache, dass ein erfolgtes Einloggen auf der Bank Homepage noch lange nicht dazu befähigt wirklich Überweisungen zu tätigen. Diese müssen logischerweise erst weiter bestätigt werden, und genau hier fängt meiner Meinung nach die richtige Sicherheit an. Ich benutze seit Jahren transaktionsgebundene TANS, die mir auf mein Handy geschickt werden. Das soll erstmal ein Hacker knacken.
 
@ 25cgn1981: Wenn das pw 3 mal falsch is wird ein Tan abgefragt.
 
@Aaron 86: Nur 5 Zahlen? Ist ja fast schon grob fahrlässig das eine Bank so was überhaupt zu lässt. -.- Da ich mein Konto eigentlich ausschließlich Online führe, wäre das für mich ein überlegenswerter Grund die Bank zu wechseln.
 
@Aaron 86:

Also so schlimm ist es dann auch wieder nicht. Da eine Bank normalerweise nach 3 Fehlerversuchen das Online-Banking komplett sperrt, hat ein Angreifer schon bei 5 Zahlen nur eine Erfolgswahrscheinlichkeit von

1/(10^5)+1/(10^5-1)+1/(10^5-2) = 1 : 33.333

Wenn man noch Buchstaben dazu nehmen kann, wird ein Angriff sinnlos, denn die Trefferwahrscheinlichkeit sinkt auf:

1/(56^5)+1/(56^5-1)+1/(56^5-2) = 1 : 183,58 Millionen

Wenn man nun bedenkt, dass man mit einer Wahrscheinlichkeit von 1/49nCr6 = 1 : 13,98 Millionen 6 richtige im Lotto hinbekommt, scheint ein Angriff unrealistisch.

Und weiter räumt ein solcher Glückpilz auch noch kein Konto leer, da man ohne TAN keine Transaktionen tätigen darf. Der Hacker kann jetzt aber sehen, dass du letzte Woche nen Porno gekauft hast :-)

Dennoch ist es nicht zu verstehen, warum die Banken nicht einfach sichere Passwörter erlauben.

(Wer Rechenfehler findet, darf sie behalten)
 
@Aaron 86: Wie soll ein Hacker ein Konto leerräumen, wenn nix drauf ist ?
 
@Aaron 86: Und die PIN mit der du dich am Automaten authentifizierst hat mehr als 4 Ziffern? Ich würde sagen da ist 5 schon ein großer Fortschritt.
 
@k!ll3r: du meinst echt man könnte ohne TAN nicht das Konto lehr räumen ?
Hmm .. mir fällt da spontan ne möglichkeit ein wie es einem angreifer möglich wär auch ohne TAN an das geld zu kommen .. VIA Pay-Pal kann man mit einem fremdem Konto nett Einkaufen gehen oder sich auch selber das Geld zu schieben und es wird im ganzen vorgang von der Anmeldung bis hin zum bezahlen via Pay-Pal nicht eine TAN benötigt, ledigtlich den Zugrif auf dem Kontostand muss man haben
 
Sollte es nicht eher heißen: Online Banking ist meistens eine einzige Sicherheitslücke? oO
 
@Fusselbär: Verstehe diese typischen Vorurteile nicht. Mir ist es als versierter Anwender mit bankkaufmännischer Ausbildung nach wie vor schleierhaft, wie man online um sein Geld bei der Bank gebracht werden kann.
 
@kinley: Wenn Dir die Sicherheitslücke Online Banking immer noch"schleierhaft" ist, obwohl Du die Behauptung aufstellst, "versiert" zu sein und obendrein zusätzlich die Behauptung aufstellst, eine "bankkaufmännische Ausbildung" zu haben, so zeigt dies doch überdeutlich, wie gefährlich die unterschätzte Sicherheitslücke Online Banking ist. Die Banker haben genau null Plan und die angeblich "versierten" Kunden auch nicht, so das zusammen mit den schlechtgemachten Online-Banking-Angeboten der Banken für die Bösen die wohl größte Schwierigkeit ist, sich bei dieser Riesenauswahl an Ansatzpunkten für einen Angriffsvektor auf ihre Opfer zu entscheiden.
 
@Fusselbär: Ja, es ist kinderleicht. Jeder, der ein paar Monate das Linux-Magazin gelesen hat, kann sein Geld problemlos im Internet klauen. *augenroll*
Wahnsinn...
 
@Fusselbär: Also sorry, aber ich habe es noch nie erlebt, dass jemand vollkommen unschuldig um sein Geld gebracht wurde. Wie oft werden TAN Nummern in irgendwelchen lokal gespeicherten Porgrammen abgespeichert, wie oft wird auf Phishing-Mails reagiert und wie oft haben die Leute keine lokalen Sicherheitsmaßnahmen (aktuelle Virenscanner, Firewall, gescheiten Browser, aktuelles OS, UVM!). Ich rücke von meiner Meinung nach wie vor nicht ab, dass Online-Banking, richtig angewendet, sicher ist, selbst in der Standard Version mit PIN/TAN. Und wem das nicht reicht soll halt auf transaktionsgebundene zeitlich gültige TAN legen, die einem auf sein eigenes Handy geschickt werden. Das kostet aber unter Umständen etwas, weil es ein Service ist. Aber wenn es um Sicherheit geht, die etwas kostet, schreckt ja ab :o
 
@kinley: Hast Du eine Merkbefreiung? "Virenscanner" und "Firewall" sind also Deiner Meinung nach "Schutzprogramme", hat nur den Nachteil, das die auf einem Windows bloß Scheinsicherheit vorgaukeln. "Friere" mal eine Windows Installation, von der du glaubst, sie sei Schädlingsfrei, ein halbes Jahr oder ein Jahr ein, also baue einfach die Festplatte aus und lege sie in einen Schublade. Nach Ablauf der Wartezeit, in der die Festplatte mit der Windows Installation nicht angerührt wurde, die angeblich so gut geschützt und vollkommen Schädlingsfrei war, mounte diese Festplatte in ein System, das nicht von den Windows Schädlingen kompromittiert werden kann und benutze einen Scanner mit aktuellsten Signaturen, das Ergebnis ist mit großer Wahrscheinlichkeit, dass Schädlinge entdeckt werden, welche die angeblichen "Schutzprogramme" zum Zeitpunkt, als die Windows-Installation "eingefroren" wurde, nicht erkannten, meist sind das eine ganze Menge Schädlinge vor denen die "Schutzprogramme" nicht schützen konnten. Ganz klassisch hingegen Überweisungen schön auf Papier, da hat man was in der Hand (den Durchschlag). Auch erhält es Arbeitsplätze, wenn man persönlich in die Bankfiliale geht. Merkwürdig, das ausgerechnet Banker so dümmlich unsolidarisch gegenüber ihren eigenen Kollegen sind und sich selbst die Arbeitsplätze im eigenen Land ruinieren, schließlich versucht das Banken-Managment Arbeitsplätze im Banken-Gewerbe zu streichen. Natürlich ist es mehr als überfällig, das der Service-Gedanke endlich auch mal in die Banken-Welt Einzug hält und die Bankfilialen mit anständigen Öffnungszeiten upgegradet werden, also durchgängig geöffnet, Minimum bis 20 Uhr (Richtzeit Öffnunszeiten des Einzelhandels in der Stadt) und selbstverständlich auch Samstags. Legal Downladen und ausdrucken lässt sich Bargeld vom eigenen Konto ohnehin nicht, so das man sich gelegentlich ohnehin Richtung Bank bewegen muss (per Pedes, Fahrrad, ÖPVN, Auto oder wie auch immer), bei der Gelegenheit lassen sich auch Überweisungen ganz klassisch auf Papier abwickeln, zumal gelegentlich etwas Bewegung auch mal ganz gut tut.
 
jaja, wer über Webseiten Onlinebanking macht ist doch selbst schuld wenn ihn mal ein "phisher" einfängt :-), ansonsten setzt ich voll und ganz auf Banking-Soft + HBCI über nen Cardreader.

Ist in meinen Augen die sicherste Variante die man derzeit fürs Online-Banking nutzen kann.

Was "phisher" angeht, wer solche Mails richtig liest wird oftmals haarsträubende Grammatik oder/und Rechtschreibfehler finden sowie ein Webadresse die seiner Bank nu ganz und gar nicht entspricht.

Achja, das PW-Prob geht mir am A.... vorbei weil ich aus allen Varianten wählen kann, sowohl Länge als auch Zeichen
 
@flohdd: Da sag ich nur "Wieso Mein Geld" wobei ich auf der Webseite der Bank 1 Tag früher meine Daten habe. Wenn ich mit Wieso Update hat er die Daten erst nen Tag später. Alternativen für mich ?
 
@flohdd: Wenn das angeblich "sichere" HBCI aber komplett auf der schlimmstmöglich unsichersten Basis ActiveX aufbaut, ist HBCI auch für den Popo, meine Bank wollte mir auch so eine Windows-ActiveX-Placebo-"HBCI"-Sicherheit andrehen, habe ich mir mal angeschaut, ist aber bloß lächerliche Scheinsicherheit gewesen. Mit umgebogenem DNS, oder aber XSS dank Hilfe durch schlechte Banken eigene Online-Banking-Seiten braucht es nichtmal unbedingt Pishing Emails. +++ @Jetiman: "Wieso ist das mein Geld?" (oder so ähnlich) ist irgendeine Windows Software, also baut ebenfalls auf unsicherem Windows Fundament auf, ein verrottetes Fundament, in dem sich bevorzugt Trojaner, Viren und Keylogger und andere Schädlinge tummeln. Daten für Finanztransaktionen dürften in der Prioritätsliste der abzufangenden Daten ganz weit oben stehen..
 
Das einzige Problem ist wohl die Komposition Anwender und dessen PC. Aus diesem Grund sollte man das PIN/TAN-Verfahren gänzlich abschaffen.
 
Gut, dass diese Informationen nicht "versehentlich" vor dem Patchen veröffentlicht wurden....
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.