Das Gesetz der grossen Zahlen

Auf meine Beschwerde hin, dass die Webseite der LBB (Kreditkartenbanking) nur maximal 10 Zeichen für Passwörter erlaubt und diese dann nicht mal gängige Sonderzeichen beinhalten darf, bekam ich diese Mail als freundliche Antwort. Entscheidet für Euch selbst, ob das gut oder schlecht ist.

Bei der Auswahl eines Passwortes kann ein Kunde der Landesbank Berlin AG für das Kreditkarten-Banking auch Klein-, Großbuchstaben und Zahlen wählen.

Bei einer Länge des Passwortes von mindestens 6 Zeichen ergibt dies 56.800.235.584 verschiedene mögliche Passwörter.

Erweitert man die Eingabe auf 10 Zeichen so ergeben sich 839.299.365.868.340.224 verschiedene mögliche Passwörter.

Die Landesbank Berlin AG setzt damit bereits heute auf einen hohen Sicherheitsstandard bei der Auswahl des Passwortes.

Da es sich beim Kreditkarten-Banking der Landesbank Berlin AG um ein webbasiertes System handelt, ist dieses natürlich potentiellen Gefahren ausgesetzt.

Diesen Gefahren begegnet die Landesbank Berlin AG damit, dass sie eine 128-Bit-SSL-Verschlüsselung für die Übertragung der Kundendaten nutzt.

Yes! Jetzt geht es mir doch gleich besser. Ist doch schön, wenn man mit grossen Zahlen ruhig gestellt wird. Natürlich erscheint die Menge an möglichen Passwörtern riesig, aber warum empfehlen Experten trotzdem mindestens 8 Zeichen und unbedingt Sonderzeichen? Warum kann ich nicht 15 Zeichen nutzen, wenn ich doch will?

Merke: Wenn man beim Thema Sicherheit mit Wahrscheinlichkeiten abgespeist wird, wie unwahrscheinlich es doch ist und wie gross die Kombinationsmöglichkeiten sind, dann sollte man ausreichend nervös werden.

"Good Security is about impossibility not improbability."

YetAnotherBlog - Das Gesetz der grossen Zahlen Auf meine Beschwerde hin, dass die Webseite der LBB (Kreditkartenbanking) nur maximal 10 Zeichen für Passwörter erlaubt und diese dann nicht mal gängige Sonderzeichen beinhalten darf, bekam ich diese Mail als freundliche Antwort. Entscheidet für E...

Jan Martin

Ist die aktuelle politische Parallele beabsichtigt?

"Sofern Sie das Passwort beim Anmelden dreimal nacheinander falsch eingegeben haben, wird Ihr Zugang zum Kreditkarten-Banking aus Sicherheitsgründen gesperrt." ( https://kreditkarten-bankin... )
3 / 839.299.365.868.340.224 < 10^-17
Ein aktueller Vergleich: Bei Atomanlagen gibt man sich mit einem Restrisiko < 10^-7 pro Jahr zufrieden.

Von der ausreichenden Länge des Passwortes überzeugen mich persönlich diese Zahlen. Ob sie mich von der Politik überzeugen, da bin ich mir dann doch unsicherer.

Das erklärt zwar nicht, warum man nicht 15 Zeichen verwenden darf. Aber "impossibility" wird man ohnehin nicht erreichen. Irgendwann kommt der nächste und möchte 16 Zeichen haben. Schluss ist höchstens, wenn es wahrscheinlicher ist, den SSL-Schlüssel zu erraten.

Insofern kann ich mich deinen Ausführungen nicht anschließen.
2011-03-15 - 00:03:19 - Jan Martin

Rene

@Jan: Klar, theoretisch ist das mit dem Passwort schon sicher und es kann nix passierten und ja, dass mit dem drei Mal und dann gesperrt ist gut. So soll es sein. Aber Security ist ein Zwiebelprinzip und wenn ich mehr will, sollte es mir nicht verwehrt werden.

Folgende Dinge sind dabei zu beachten:

1. Was passiert, wenn es zu einem Problem kommt und das "drei Mal und dann nicht mehr" Prinzip nicht mehr geht? Bug in der Software, versehentlich deaktiviert oder ähnliches. Dann muss die nächste Mauer halten.

2. Was ist, wenn jemand sich unbefugt Zugang zur Passwortdatenbank verschafft und versucht dort drauf zu knacken? Die nächste Mauer muss halten.

SSL ist nicht wirklich hammersicher. Es wurden bereits wieder genug Angriffspunkte gefunden, um in die Kommunikation zu gelangen und viele Kunden achten nicht drauf, ob nicht ein Man-in-the-Middle läuft. Aber wenn SSL fällt, dann ist dass mit dem langen Passwort auch egal. Wenn der Browser kompromittiert ist, dann ist auch egal, wie lang das Passwort ist.

Ich hätte mich einfach über eine professionelle Antwort gefreut und nicht über die "werfen wir grosse Zahlen drauf" und gut Mail. Ich bin in dem Geschäft unterwegs und weiss grob das ein oder andere.

Auch mal was Nettes zu lesen: http://securitynirvana.blog...
2011-03-15 - 10:02:17 - Rene

Mit der Einführung der Europäischen Datenschutzgrundverordnung schliesse ich die Kommentarfunktion dieses Blogs, weil ich einfach keinen Bock auf die Arbeit habe, die dabei entsteht. Wer sich bei mir melden möchte, meine Mailadresse steht im Impressum. Hier der unnötige Hinweis, dass ich natürlich durch die Zusendung einer E-Mail in den Besitz von personenbezogenen Daten gelange. Der restliche Kram steht dann bei mir im Datenschutz.