Erste Bank: In jeder Beziehung zählt die Sicherheit
Der Sicherheitspreis des Tages geht an die Erste Bank. Nicht nur, dass Passwörter lediglich 5 Zeichen lang sein könnten. Das könnten man ja noch mit entsprechendem Hashing und individuellem Salting ansatzweise ausgleichen. Nein, es dürfen Passwörter maximal 10 Zeichen lang sein. Wir wissen also jetzt, Security endet bei der Ersten nach dem 10. Zeichen.
Ivy
19.09.11 , 09:09
Das ist echt ärgerlich. Ich hab mir das schon öfters gedacht. Scheint bei anderen Banken auch so zu sein (hab ich mir sagen lassen).
Lisa
19.09.11 , 09:09
Mein Netbanking-PW ist das einzige, das ich mir nicht merke, weil es so elends lang ist.
Robert Erlinger
19.09.11 , 12:09
Ich schätze mal, das Backend ist noch in COBOL geschrieben und das Passwort ist deswegen auf 10 Chars beschränkt ist
Nicht vorzustellen, wie viele Euros es kosten müsste, die Passwortlänge zu erhöhen. Wieviel hat die Jahr2000-Umstellung von 2 Chars auf 4 Chars gekostet?
Chistian Hromatka
19.09.11 , 14:09
Natürlich ist es so, dass Passwörter sicherer werden, wenn sie länger sind, da man längere Zeit braucht um sie bei brute force Attacken zu finden.
D.h. bei Systemen, wo man einen verschlüsselten Datenstrom belauschen bzw. abgreifen kann, sind längere Schlüssel wesentlich. Beim netbanking-Login Passwort ist das nicht so, da man nach 4 erfolglosen Versuchen gesperrt ist und damit brute force nicht möglich ist. Zur Zeit kann man im netbanking 10 Stellen eingeben. Der Wertevorrat ist 0-9,A-Z, a-z und Sonderzeichen. Aus Sicherheitssicht reicht das völlig aus!
Da jedoch viele Kunden aus den diversesten Beweggründen längere Passwörter für das netbanking wünschen, werden wir die Maximallänge in Kürze erhöhen.
Gerald Bäck
23.09.11 , 22:09
Gut, dass das geändert wird. Ganz so einfach, wie sie beschreiben ist das aber nicht. Zu allererst es gibt keinen logisch nachvollziehbaren Grund, die Passwortlänge auf 10 Zeichen zu beschränken. Selbst wenn die Software aus den 90ern wäre, was ich nicht annehme, gäbe es einen solchen nicht.
Passwörter werden immer noch zu einen Großteil durch social reengineering und nicht durch brute force herausgefunden. Dabei ist es schonmal hilfreich, wenn man von einer Maximallänge ausgehen kann. Das größte Problem ist aber, dass durch solche Verkomplizierungen der User zu Hilfsmaßnahmen wie dem berüchtigtem Postit mit username und Passwort am bildschirm oder einer simplen textdatei gedrängt wird.