14. Juli 2017 | 16:52 Uhr

Lesereinsendung: E-Mail Wechsel mit der Sparda-Bank

Das Thema sichere Passwörter und wie schlampig einige Banken damit beim Online-Banking umgehen, scheint viele Leser offenbar nicht loszulassen. Folgende E-Mail erreichte mich, aus der ich die letzte Antwort der Bank zitiere:

Sehr geehrter Herr [entfernt],

[gekürzt]

Kunde: „Das Passwort darf aber nur aus maximal sechs Ziffern bestehen, dies ist allerdings viel zu unsicher! Da es nur 1000000 Passwort-Kombinationen gibt, könnte dieses mit einer Brute-Force-Attacke in nicht mal einer Sekunde ausprobiert werden!“

Antwort Bank: Grundsätzlich ist dies korrekt, jedoch ist hierbei zu beachten, dass nach der 3. fehlerhaften PIN Eingabe immer der Zugang gesperrt wird. Somit sind die von Ihnen angegebenen Passwortkombinationen zwar einigermaßen korrekt, bringen aber an dieser Stelle keinen Mehrwert.

Kunde: „Der Zugriff auf die eigenen Online-Accounts ist mit Passwörter gesichert, und man soll möglichst lange (mindestens 16 Stellen) Passwörter verwenden, die aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen, um seinen Online-Account zu schützen“

Antwort Bank: „Dieser Aussage müssen wir leider widersprechen. Ein kompliziertes Passwort mit häufiger Änderung führt leider nur dazu, dass der Nutzer sich dieses Passwort separat notiert! Gerade hierdurch entsteht ein neues Sicherheitsrisiko. Zudem ist es prinzipiell egal wie lange das Passowrt ist, denn in der Regel hat der Kunde einen Keylogger auf seinem Rechner installiert. Dieser würde dann auch ein Passwort mit unbegrenzter Länge und Komplexität mit lesen.“

Mit freundlichen Grüßen
[entfernt]

Pauschal wird also davon ausgegangen, dass sich Kunden lange Passwörter generell »separat notieren«, wodurch offenbar ein »neues Sicherheitsrisiko« entstehen soll. Noch haarsträubender ist allerdings die Annahme, dass der Kunde »in der Regel einen Keylogger auf seinem Rechner installiert« hat und daher die Länge eines Passworts prinzipiell sowieso egal ist… Wie bitte!? Jetzt haben schon alle Kunden Keylogger auf dem Rechner und sichere Passwörter sind sowieso vollkommen überbewertet? Na wenn da so ist, können wir uns die Authentifizierung ja gleich sparen. Also bei solchen Antworten bleibt einem wirklich die Luft weg.

Bei der Bank handelt es sich übrigens um die Sparda-Bank Südwest eG, die noch bis vor einer Weile nichtmal in der Lage war ihr TLS-Cert korrekt einzubinden: Non-WWW vs. WWW. Das TLS-Cert für die Adresse »sparda-sw.[de]« (ohne www) war auf eine andere Domain (sdv-it.de) ausgestellt und hat beim Aufruf eine Warnmeldung produziert. Wenn man jetzt die Non-WWW Variante aufruft, geht gar nichts mehr.

Ich werde das jetzt nicht weiter kommentieren. Die E-Mail Antwort und auch der Umgang mit dem TLS-Cert sprechen für sich.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡