10.09.2008, 14:02
Passt nciht gnaz rein, aber auch mal interessant zu lesen:
quelle: gulli.com
Zitat:Sichere PIN in der Volksbank Rottweil unerwuenscht?
Vor Kurzem informierte das Wirtschafts- und Verbrauchermagazin WISO ueber einen umfangreichen Datendiebstahl beim Unternehmen PricewaterhouseCoopers (PWC). WISO verschickte ebenfalls E-Mails, die unter anderem Empfehlungen fuer einen sicheren Umgang mit Passwoertern enthielten. Auch verwies man in diesem Zusammenhang auf Tipps vom Bundesamt fuer Sicherheit in der Informationstechnik (BSI). Beim Versuch diese zu befolgen, ist die gulli:Redaktion bei der Volksbank im Kreis Rottweil in Baden-Wuerttemberg schnell an ihre Grenzen gestossen.
Aus Sicherheitsgruenden sollte man zunaechst das Passwort fuer den Zugang zum E-Mail-Konto und Online-Banking erneuern und dabei natuerlich die Tipps des BSI beruecksichtigen. Das BSI empfiehlt ein mindestens acht Zeichen langes Passwort zu benutzen; zusaetzlich sollten auf jeden Fall Ziffern und Sonderzeichen enthalten sein, sowie Gross- und Kleinschreibung.
Die Durchfuehrung der Leitlinie ist in der Regel zumindest bei den E-Mail-Anbietern kein Problem. Es ueberrascht allerdings, dass diese Empfehlungen beim Online-Banking Probleme bereiten. Diese waren zumindest bei der Volksbank im Kreis Rottweil nicht durchfuehrbar. Die Hilfeseite der Volksbank raet von leicht zu erratenden Begriffen wie Vornamen, Telefonnummer oder Geburtsdatum ab und verlangt lediglich eine minimale Passwortlaenge von 5 (!!) Zeichen, eine maximale Laenge von 20 Zeichen. Es wird zudem eine aenderung der Persoenlichen Identifikationsnummer (PIN) in regelmaessigen Abstaenden empfohlen.
Wir wollten den Ratschlaegen des BSI und der Volksbank Folge leisten und ein moeglichst sicheres Passwort auswaehlen. Der Einfachheit halber nehmen wir nun das vorgegebene Passwort des BSI "Ms1a&pmZ". Dieses steht fuer "Morgens stehe ich auf und putze meine Zaehne"- also jeweils die ersten Buchstaben. Das "i" ersetzen wir durch "1" und das "und" durch "&". Das Passwort beinhaltet Gross- und Kleinschreibung, Ziffern und Sonderzeichen, sowie eine Laenge von 8 Zeichen - das sollte fuer den schwaerzesten Black Hat ausreichend sicher sein, so dachten wir zumindest.
Falsch gedacht! Nach Eingabe dieses Passwortes erhaelt man folgende Fehlermeldung: "Das Feld PIN darf nur folgende Zeichen enthalten: Buchstaben (ohne Umlaute), Ziffern, Leerzeichen und @."
Ist das Passwort etwa zu sicher fuer dieses Geldinstitut? Zumindest ist den Volksbank-Kunden im Raum Rottweil die Verwendung von Sonderzeichen derzeit nicht moeglich. Das wollten wir ohne jegliche Rueckfrage nicht auf uns sitzen lassen. Wir kontaktierten Anfang September einen fuer das Online-Banking zustaendigen Mitarbeiter der Bank. Dieser antwortete uns folgendermassen:
"[...] vielen Dank fuer Ihre obige Anfrage betr. Sonderzeichen in OnlineBanking-PIN. Unser Rechenzentrum erlaubt hier nur: a-z, 0-9, @, Leertaste (Space). Gross-/Kleinschreibung wird bei der PIN nicht beruecksichtigt."
Eine Begruendung blieb leider aus. Der Mitarbeiter der Volksbank Rottweil wollte aber diesbezueglich beim zustaendigen Rechenzentrum eine Anfrage stellen. Ein paar Tage spaeter trudelte dann tatsaechlich die noch ausstehende Antwort ein:
"Leider ermoeglicht die aktuelle Architektur keine Sonderzeichen. Zwar sind im ebanking das "Blank" (Leerzeichen) und "@" moeglich, wenn der Kunde sich dann aber ueber HBCI mit PIN/TAN anmeldet, wuerde er abgewiesen, weil [das Homebanking Computer Interface] HBCI selbst diese Zeichen nicht erlaubt. Daher empfehlen wir auch diese beiden Sonderzeichen im ebanking nicht."
Der Mitarbeiter der Volksbank dann abschliessend sehr passend: "Wahrscheinlich muss hier eine Zeitlang gewartet werden, bis unser Rechenzentrum von sich aus erkennt, dass Sonderzeichen in der PIN die Sicherheit erhoehen koennten. [...]"
Da wollen wir dem guten Mann von der Volksbank hoechst ungerne widersprechen. Halten wir kurz fest: Man kann also keine Punkte, keine Ausrufezeichen und bis auf Space und den Klammeraffen keine sonstigen Sonderzeichen verwenden. Zur Benutzung stehen lediglich die Zeichen a-z und die Ziffern 0-9 zur Verfuegung. Die Mindestlaenge der PIN betraegt nur fuenf Zeichen. Die Gross- und Kleinschreibung wird bei der Eingabe der PIN ebenfalls nicht beruecksichtigt.
Muessten alle Banken nicht generell an einem Maximum Sicherheit ihrer Kunden interessiert sein? Bislang ist noch unklar, ob sich die bestehende Problematik lediglich auf die Volksbank im Kreis Rottweil beschraenkt. Es ist aber leider davon auszugehen, dass zahlreiche andere Banken ganz aehnlich verfahren. Im Interesse der Sicherheit der Kunden kann man nur schnellstmoeglichst um eine aenderung der Zustaende bitten.
quelle: gulli.com