Popular Categories

NoMoKeTo

Meinung, Technik, Erlebnisse

Die Commerzbank und ihre Passwörter

Veröffentlicht am

Kürzlich sah sich die Sozial-Media-Abteilung der Commerzbank auf Twitter mit einigen Leuten konfrontiert, die fragten, warum denn das Online-Banking-Passwort auf 8 Stellen beschränkt sei.

Die Commerzbank ist nicht die einzige Bank, die für die Komplexität ihrer Passwörter Obergrenzen setzt. Bei meiner Sparkasse ist es noch schlimmer: Die maximale Länge eines Passworts beträgt dort 5 Zeichen. Absurderweise ist dort der Inhalt und die Länge des frei wähl- und änderbaren Benutzernamens vergleichsweise quasi unbegrenzt, sodass man einen Benutzernamen wählen kann, der komplexer ist als das Passwort. Nach meinem Wissen ist das bei den meisten Banken ähnlich üblich.

Warum tun Banken das? Gerade dort sollten doch Sicherheitsexperten angestellt sein – was bringt diese zu so einer völlig unnötigen Begrenzung?

Die Commerzbank reagierte mit einer falschen Berechnung, wie viele Passwortkombinationen mit ihrer Beschränkung erlaubt seien. Immerhin lagen sie unterhalb der tatsächlichen Anzahl (218 Billionen) und hatten so zumindest nicht über- , sondern nur untertrieben. Sie versprachen, sich um das Thema zu kümmern und sich in ihrem Blog damit zu befassen. Das ist nun geschehen. Leider ist der Beitrag nicht sehr überzeugend.

Die Commerzbank teilt hier Logins in zwei Kategorien auf: Logins, die nach mehreren Fehlversuchen gesperrt werden und Logins, bei denen das nicht der Fall ist. Es wird darauf verwiesen, dass bei der Commerzbank ersteres zur Anwendung kommt und „[dort] deutlich geringere Anforderungen an Passwortlänge und Komplexität ausreichend [sind]“.

Nunja, liebe Commerzbank – da mögt ihr zwar Recht haben, aber damit ist nicht alles gesagt. Zwei Punkte verbleiben.

1. Warum gerade dieses Verfahren?
Es bringt natürlich den Vorteil dass es gefühlt sicherer ist. Dem ist aber nicht so. Zwar sind die Konten so vor unbefugtem Zugriff durch Brute-Force-Attacken geschützt, aber dadurch wird es nicht sicher. Ein Angreifer hat die Möglichkeit, gezielt Konten zu sperren. Die Möglichkeit, ein Konto zu sperren (durch gezieltes Herbeiführen von Fehlversuchen) ist ebenso eine Sicherheitslücke wie jede andere. Mit einer geeigneten simplen Software wäre es sogar möglich solche Fehlversuche regelmäßig in kurzen Zeitabständen durchzuführen um ein Konto, dass entsperrt wurde, unverzüglich wieder neu zu sperren.

2. Ausreichend – na und?
Schön, dass 8 Zeichen eurer Meinung nach ausreichend sind. Aber warum müsst ihr „ausreichend“ mit „maximal möglich“ gleichsetzen? Wo läge das Problem darin, auch längere Passwörter zuzulassen? Ist es gefährlich, wenn Nutzer sich sicherer fühlen? Der ganze Blogeintrag lässt sich zusammenfassen mit „ja, wir machen das zwar so, aber es ist sicher“. Da kann ich nur sagen: „Sicher oder nicht – ohne unnötige Beschränkung wäre es nicht unsicherer.“ Überlasst doch euren Kunden die Wahl, was für sie ausreichende Sicherheit ist – warum eine Sicherheits-Obergrenze setzen?

Kurz: Der Beitrag hat uns nicht weitergebracht. Glücklicherweise gibt es noch einen zweiten. Ein „Experteninterview“ zum Passwortschutz. Ich setze „Experteninterview“ in Anführungsstriche, weil der „Leiter Online Banking und Mobile“ interviewt wird – das klingt für mich nicht nach einem direkten Mitglied der Sicherheitsabteilung sondern nach einem Posten ein paar Ränge weiter oben. Ich möchte Herrm Lodde seine Expertise und Erfahrung nicht abreden, aber ich gehe davon aus, dass er nicht persönlich zuständig für Sicherheitsdetails ist sondern für die Koordinierung des Onlinebankings allgemein. Dennoch ist sein Beitrag durchaus gehaltvoller. Hier wird immerhin auf meinen zweiten Punkt eingegangen:

Natürlich erhöht eine Verlängerung der Passwörter mathematisch die Anzahl der Kombinationsmöglichkeiten. Dies führt tatsächlich aber nur dann zu mehr Sicherheit, wenn die Passwörter auch wirklich rein zufällig gewählt werden. Allerdings neigen viele Nutzer dazu, leicht merkbare Passwörter, wie beispielsweise Geburtstage oder Namen, zu wählen.

Nun, das ist natürlich Argument – leider kein gutes: Die genannten Beispiele für leicht merkbare Passwörter passen üblicherweise problemlos in 8 Zeichen. In 8 Zeichen passt problemlos „Nils“ (4 Zeichen) und auch mein Geburtsdatum „15121992“ kann ich ziemlich problemlos unterbringen. Man könnte natürlich das Vorkommen einiger Zeichen (z.b. mindestens ein Sonderzeichen) vorraussetzen – vielleicht tut die Commerzbank das sogar. Spätestens dann ist dieses Argument wertlos. Aber das ist nicht das einzige Gegenargument.

Benutzer, die zu unsicheren Passwörtern neigen, kann man auf diversen Wegen dazu bringen, sicherere Passwörter zu wählen. Der schlechteste dürfte aber tatsächlich sein, die Passwortlänge zu begrenzen. Das hält einen von überhaupt nichts ab. Meinetwegen setzt es runter bis auf 5 Zeichen, dann nimmt man als Passwort halt „abcde“ oder „abc42”. Warum sollen erzwungen kurze schlechte Passwörter besser als lange schlechte Passwörter sein? „qwertzuiop123456789” ist kein sicheres Passwort, aber es ist trotzdem besser als „abcde“. Selbst wenn der Benutzer dann blöd genug ist, seinen vollen Namen als Passwort zu verwenden (was man allerdings auch verbieten könnte) ist der Name immerhin eine Information, die man erstmal haben muss.

Fassen wir zusammen: Passwörter sollen komplexer werden, indem sie kürzer sein müssen. Tut mir leid, aber ich kann nicht einsehen, wie das Sinn ergeben soll. Macht aber auch nix, denn lange Passwörter haben noch ein ganz eklatantes anderes Problem:

Eine Stellenerweiterung erhöht immer auch das Risiko, dass Passwörter auf dem Computer abgespeichert werden.

Wer auf ein von mir auf dem Computer abgespeichertes Passwort zugreifen kann, kann üblicherweise auch einfach meinen Browser manipulieren. Und seien wir ehrlich: Das ist der wahrscheinlichere Weg, wie ein Angreifer versuchen wird, meinen Onlinebanking-Account zu hacken. So ein „Feature“ versteckt in einer öffentlich erhältlichen Erweiterung installiert ein Benutzer doch sogar gerne mal nebenbei – ohne dass ich auch nur Zugriff auf seinen Rechner bräuchte.

Es gibt viele einfache Wege, das Onlinebankingpasswort mitzulesen wenn man (virtuellen oder physischen) Zugriff auf den Rechner hat. Ein kürzeres Passwort erhöht nicht die Sicherheit, nur weil der Benutzer weniger geneigt sein könnte, zu Mitteln zu greifen, um es sich zu merken. Wer sich Passwörter schlecht merken kann, wird in den meisten Fällen ohnehin ein kurzes Passwort wählen, dass er sich merken kann. Und wenn er meint ein sicheres wählen zu müssen wird er es sich auch bei 8 Zeichen aufschreiben müssen.

Fazit: Statt tatsächlich auf die Bedenken der User einzugehen, habt ihr zwei Beiträge herausgegeben, die eure Kunden nur beruhigen sollen dass das alles schon sicher ist. Einen wirklich guten Grund für die Begrenzung habt ihr soweit ich das sehe Meinung nach nicht genannt. Die Vermutung liegt nahe, dass ihr befürchtet, dass eure Kunden die bisherige Begrenzung als Fehlentscheidung und Sicherheitslücke sehen, wenn ihr sie aufhebt. (Und wir haben ja inzwischen geklärt, dass sie bisherige Begrenzung nicht wirklich unsicher sondern bloß unnötig ist.) Mit eurem aktuellen Verhalten weckt ihr zudem bei uninformierten Benutzern den Eindruck, kurze Passwörter seien überall sicher, denn „die Commerzbank macht das ja auch“.

Hättet ihr anders reagiert, hättet ihr das so schön verpacken können:
„Commerzbank führt als erste Bank unbeschränkt sichere Passwörter ein.“
Von denen, die sich mit dem Thema beschäftigen, wärt ihr gefeiert worden.

 


 

Ein kleiner Punkt noch am Ende: Im Interview mit eurem Onlinebanking-Leiter schreibt ihr:

Die von unseren Kunden gewählten Passwörter werden von den Systemen der Bank nicht im Klartext, sondern stark verschlüsselt gespeichert.

Klar, „stark verschlüsselt“ klingt natürlich medienwirksam gut. Ich hoffe aber doch sehr (und gehe auch vorsichtig davon aus), dass stattdessen eine für Passwörter geeignete kryptologische Hashfunktion nutzt.