passwortabfrage bei Bank

[michaa7]

Ich habe eben bei meiner Bank blind Nutzer und PW in das Formular für den Login eingegeben. Leider habe ich vergessen zwischen Nutzer und PW die TAB Taste zu drücken so dass ich effektiv "NutzerPW" eingegeben habe. Und da ich das blind, also in einem Zug gemacht habe, habe ich das erst gesehen, als ich anschließend die Eingabetaste gedrückt hatte und ne entsprechend Fehlermeldung bekam von wegen leeres Eingabefeld. Im Loginnamesfeld stand dann halt NutzerPW, und das PW-Feld war eben leer.

Muss ich davon ausgehen dass das jetzt so in einem LOGfile der Bank in Klarschrift steht, als Fehlversuch des Nutzers "NutzerPW"? Und Fehlversuche werden bestimmt geloggt.

Eigentlich wäre das doch ein erwartbarer Fehler und ich würde hoffen dass es Vorkehrungen gegen derartige Preisgaben durch Fehleingaben gibt. Andererseits weiß ich dass Bankmitarbeiter meinen Loginnamen sehen können. Aber den kennen sie wohl weil er ja hinterlegt ist.

Ich würde eben sehr ungern ohne Not mein Bank PW ändern ...

[Blackbox]

Ich würde eben sehr ungern ohne Not mein Bank PW ändern ...

Ich würde sicherheitshalber das Login-Kennwort ändern.
Einmal weil man das eh ab und an machen sollte, weiterhin würde ich das Kennwort bei dieser Gelegenheit durch eine leichter merkbare, aber längere Passphrase austauschen und diese dann gleich in einem Passwordsafe deiner Wahl speichern.
Nachdem das alles erledigt ist, könnte man gleich den Password-Container des Passwordsafes ins Backup schieben und/oder auf anderen Geräten ausrollen.

[michaa7]

du bist also der Meinung oder hast sogar Anhaltspunkte dafür dass der "erweiterte loginname im Log landet?

[DeletedUserReAsG]

Die Einzigen, die dir das sagen könnten, wären die Leute von deiner Bank selbst. Selbst, wenn ich dir jetzt schriebe: „Ich weiß, dass bei meiner Bank fehlgeschlagene Logins [nicht] geloggt werden“, würde dir das gar nix bringen, weil du wahrscheinlich bei ’ner anderen Bank mit anderen Richtlinien bist.

OT: es gibt heute noch Banken, die den Login ohne zweiten Faktor zulassen?

[CH777]

OT: es gibt heute noch Banken, die den Login ohne zweiten Faktor zulassen?

Ja, meine tut das auch immer noch... Die haben neulich auf ein neues System umgestellt, um alles "besser und sicherer" zu machen, Passwort muss aber nach wie vor eine sechsstellige(!) Zahl(!!) sein...

[Lord_Carlos]

Du koenntest es nochmal versuchen und dabei im Browser die "Developer Tools" -> Netzwerk auf haben.
Kann mir gut vorstellen das leere Formulare Klientseiting gechecked werden und gar nichts uebertragen wird.

[HZB]

OT: es gibt heute noch Banken, die den Login ohne zweiten Faktor zulassen?

Ja wenn diese keinen Zahlungsverkehr anbieten. Also so etwas wie elektronische Sparbücher benötigen keine PSD2 Security.

[michaa7]

...
Kann mir gut vorstellen das leere Formulare Klientseiting gechecked werden und gar nichts uebertragen wird.

Danke für diesen technischen Hinweis. Dieser Ablauf entspräche der Fehlermeldung, die in etwa lautet:

"Eingabe in das Feld "PIN" erforderlich"

Dennoch mal mit den DEVTOOLS nachgeschaut: Mir ist jedoch nicht klar wonach ich in den Developer Tools achten müßte. Ich öffne den NEtztwerkreiter (nutze Vivaldi) weiß dann aber nicht wie ich nach einer Übertragung checke. Ich gebe meinen richtigen Nutzernamen ein und sende das ohne Pin ab ... und erhalte oben genannte Fehlermeldung.

EDIT:
Im Netzwerkreiter sehe ich nichts auffälliges. Dort gibt es verschiedene unterreiter, der für CSS war gedrückt und gibt nen hinweis auf ein printout ...blablabla, das bezeiht sich dann wohl auf das rendering der Fehlermeldung. Aber ich wieß nciht und find nicht wo ich sehen könnte ob das Klientseitig läuft oder dazu Netztwerkverkehr stattfindet.
/Edit

Die obige Fehlermeldung läßt mich "vermuten" dass da nichts übertragen wird. Und genau das ist ja der Grund meiner Anfrage hier zu verstehen, ob und wie so ein Bankklient gegen versehentliche preisgabe des PW geschützt ist. Das ist ja nun doch ein nicht soooo unwahrscheinliches Szenario. Und eigentlich sollte das technisch klar nachvollziehbar sein.

Insoweit geht es hier nicht darum, ob es einen zweifaktorauthentifizierung gibt und wann sie greift.

[cronoik]

Dennoch mal mit den DEVTOOLS nachgeschaut: Mir ist jedoch nicht klar wonach ich in den Developer Tools achten müßte. Ich öffne den NEtztwerkreiter (nutze Vivaldi) weiß dann aber nicht wie ich nach einer Übertragung checke.

Ich kann dir zu Vivaldi nichts sagen, aber bei Firefox und Chromium gibt es im Netzwerkreiter eine Liste mit Anfragen die gesendet worden. Wenn du jetzt einen Fakenamen eintraegst und das Passwortfeld leer laesst und dann absendest, dann wird bei nicht clientseitiger Pruefung die Liste laenger beziehungsweise veraendert sich (was genau gesendet wurde muss dann natuerlich geprueft werden, vielleicht wird nur Loginversuch +1 gesendet). Du kannst dir aber auch einfach den Button mit 'inspect element' (Vivaldiaequivalent und deutsche Uebersetzung sind mir unbekannt) im html ansehen und schauen was passiert.

Ob ueberhaupt eine clientseitige Pruefung vorliegt, kannst du aber auch einfach pruefen in dem du die Seite laedst und dich dann vom Netzwerk trennst (es kann aber immer noch eine Loginformation wie Loginversuch +1 gesendet werden, weshalb das nicht zuverlaessig ist).

Du kannst mir auch gern eine PN mit der URL schicken und ich schauen mir das mal an.

[Lord_Carlos]

Dennoch mal mit den DEVTOOLS nachgeschaut: Mir ist jedoch nicht klar wonach ich in den Developer Tools achten müßte. Ich öffne den NEtztwerkreiter (nutze Vivaldi) weiß dann aber nicht wie ich nach einer Übertragung checke. Ich gebe meinen richtigen Nutzernamen ein und sende das ohne Pin ab ... und erhalte oben genannte Fehlermeldung.

Da ich deine Bank nicht kenne, testen wir es einfach mal hier im Forum.
Debian forum im porno / incognito modus oeffnen ucp.php?mode=login
Wenn alles Geladen ist die Netzwerk dings bums oeffnen. Hier sollte momentarn noch alles leer sein.
Irgendwas in der Benutztername Form eintragen.

Anmelden druecken.

Jetzt siehst du das ganz viel uebertragen wird.
Wenn man jetzt das oberste Element an klick sieht man es ist ein POST request.
Request URL: ucp.php?mode=login
Request Method: POST

Scrollt man etwas runter steht da:
username: hest
password:

[michaa7]

Danke euch beiden, danke cronik für den Test bei der Bank (der analog zu Lords test verlief).

Das ist beunruhigend. Ich habe daher mit der Bank telefoniert, und wurde von der Kundenberaterin zur IT Abteilung vermittelt. Dort sieht man kein Problem, weil nur Daten von gültigen nutzern einsehbar wären. Dann kann man dort sehen, dass ich einen gültigen oder ungültigen Einloggversuch unternommen habe. Ist aber der Nutzernamen ungültig sieht man dort garnichts weil der Login dann nicht einmal versucht wird, also garnicht versucht wird die Logindaten auszuwerten. Bei der Bank sieht man überhaupt kein Problem.


Hmmmm ...

[Lord_Carlos]

Spricht was dagegen es sicherheitshalber zu aendern?

32 Zeichen, zufaellig und ab in den Passwordmanager.

[michaa7]

Spricht was dagegen es sicherheitshalber zu aendern?

Ja. Und das ist ja der Grund meiner Anfrage überhaupt. Meine finanzkritischen PWs weiß ich auswendig. Da gibt es keine Papierspur und auch keine Speicherung irgendwo. Deshalb ändere ich die nur widerwillig ...

32 Zeichen, zufaellig und ab in den Passwordmanager.

Einen PWmanager verwende ich nicht, abgesehen von der Speicherung für weniger finanzkritische Forenpasswörter, die ich vom Browser speichern lasse.

[Lord_Carlos]

Einen PWmanager verwende ich nicht,

Habe ich mir schon gedacht, deswegen der Wink mit dem Zaunpfahl

[Blackbox]

Spricht was dagegen es sicherheitshalber zu aendern?

... aus meiner Sicht eigentlich nichts, wie ich bereits eingangs bemerkte.

32 Zeichen, zufaellig und ab in den Passwordmanager.

Und was spricht gegen eine leicht zu merkende Passphrase, gern auch 32 Zeichen lang?
In einem Passwordsafe zu sichern, ist immer eine gute Idee.
Wenn der Container dieses Passwordsafe dann noch ins Backup einbezogen wird, kann zukünftig wenig schiefgehen.

[michaa7]

Wie gesagt, ich bevorzuge es mir meine finanzkritischen PWs zu merken und sonst keine Aufzeichnungen darüber zu haben.

Soweit es diesen Login betrifft, nennt sich das genau genommen auch nicht PW, sondern PIN, und die darf gar nicht so sonderlich lang sein, ich glaube 8 Stellen max.

Die darüber hinausgehende Sicherheit kommt dadurch zu Stande dass Transaktionen mit einer per App anzufordernden TAN abgesichert werden.

Nix also mit 32-stelliger Passphrase.