DKB-Bank: Speicherung der Passwörter im Klartext?
Auf der Webseite der DKB ist aktuell ein Hinweis zu lesen, dass bei Passwörtern die vor der aktuellen Umstellung (auf bis zu 38 Stellen) eine Länge von mehr als 5 Zeichen aufweisen, zum Login lediglich die ersten 5 Zeichen anzugeben sind. Das gilt auch, wenn man beabsichtigt das Passwort zu ändern. Auch hier sind nur die ersten 5 Zeichen einzugeben.
Ein aufmerksamer Leser (dpis) berichtet mir nun:
Bei Eingabe des ursprünglichen Passworts wird nur die Meldung ausgegeben, dass dieses falsch sei. Dies führt final zur Sperrung des Internetbankings. Auf Nachfrage konnte der Mitarbeiter im 1st Level Support selbstverständlich nur sagen, dass diese „sicher“ gespeichert seien. Zur Art und Weise (z.B. Speicherung als Hash) konnte er keine Aussage tätigen. Aber alles sei ja sicher.
Das sieht so aus:
Gedanken dazu:
- Die DKB hat Passwörter, die länger als 5 Zeichen waren, gekürzt / abgeschnitten und diese nur partiell gespeichert.
- Oder: Die Passwörter wurden im Klartext, also ohne die Anwendung einer Hashfunktion gespeichert.
Wer weitere Hypothesen dazu hat, einfach kontaktieren. Ich bin ja mal gespannt, was die DKB dazu sagt…
Weitere These von einem Leser:
Die Passwörter wurden nie abgeschnitten. Das Eingabefeld der DKB nahm lediglich 5 Zeichen auf, danach wurde jedes weitere Zeichen (mit js) geblockt. Natürlich findet serverseitig eine Kürzung (als Fallback) statt. Es wurde aber überall darauf hingewiesen, dass es 5 Zeichen mindestens und maximal sein dürfen. Natürlich hat das nicht jeder mitbekommen, dass das Formular nicht mehr als 5 Zeichen annimmt, daher resultieren nun die Probleme mit der Umstellung auf die „lange“ Zeichenkette.
Sicheres Passwort wählen: Der Zufall entscheidet
DKB begründet die Entfernung des Facebook-Trackers
KeePassXC: Auto-Type und Browser-Add-on im Alltag nutzen – Passwörter Teil1
Kommentar: Datenschutz im Tourismus – Sind wir nun wirklich gläsern?