Passwörter und Netbanking
Tuesday, December 1st, 2009As this post concerns Austria, it will be in German.
Ich habe kürzlich beim Login in das Netbanking der Sparkasse gesehen, dass nun nun ein verpflichtender Passwortwechsel eingeführt eingeführt wurde. Beim darauffolgenden Wechsel bin ich noch dazu über einen Bug gestolpert und habe deshalb den Helpdesk per Email kontaktiert. Hier mal die Antwort, warum nun verpflichtende Wechsel eingeführt wurden:
Bei der Diskussion um Mindestanforderungen an Passwörter müssen mehrere Angriffsvektoren unterschieden werden. Wenn brute force Attacken möglich sind (bzw. optimierte Varianten) so ist die Passwortlänge und die Qualität des Passworts ausschlaggebend. In diesem Fall ist die Pflicht zur Passwortänderung als eher untergeordnet zu sehen. Dieser Angriffsvektor ist im netbanking aber gegenstandslos, da systembedingt (Sperre nach vier Fehlversuchen) kein brute force möglich ist und auch sonst kein Zugriff auf z.B. gehashte Passwörter besteht, welche durch derartige Angriffe dann rückgerechnet werden könnten.
Ein valider und leider auch realer Angriffsvektor ist aber das Ausspähen von Passwörten durch Phishing bzw. Trojaner am Endgerät. Dieser Angriff lässt sich nicht durch besonders lange oder gut gewählte Passworte beeindrucken – es werden 14 Stellen genauso “abgegriffen” wir der Klassiker “123456″.
D.h. es gibt einen realen Angriffsweg mit einer nicht zu vernachlässigenden Eintrittswahrscheinlichkeit – wie die Erfahrung zeigt. Nachdem es nun im netbanking schützenswerte Daten gibt (zB ihre ihre “>Kontaktdaten, Kontonummern, Kontostände, Umsätze des letzten Jahres, ihre Kreditkartennummer, ihre Versicherungen, Kredite usw.) muss der Zugang dazu adäquat abgesichert werden. D.h. Bedrohungen erfordern Gegenmassnahmen. Um nun zu vermeiden, dass einmal abgegriffene Verfüger/Passwort Passwort “>Pärchen jahrelang gültig sind (wie es die Anzahl von “Passwort ändern” Abläufen indiziert), ist ein Mindestmass an Änderungspflicht erforderlich. Es ist zwar richtig, dass in der Regel irgendeine Ziffer raufgezählt wird (Monat, Woche, sonstwas), nachdem man aber nur vier Versuche hat das Passwort zu erraten, ist dieser Punkt weniger relevant.
Wir möchten auch auf das “branchenübliche Referenzwerk” des BSI hinweisen und da besonders auf Maßnahme 2.11.
Es ist natürlich klar, dass das Beschriebene nicht 1:1 umgesetzt werden muss. Es ist – wie zu Beginn beschrieben – ein praktikabler Kompromiss zu finden.
Auch die zu beachtenden Regeln müssen angemessen interpretiert um umgesetzt werden. Die Regel 10 (”Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.”) ist im Unterschied zu einigen SOLL-Bestimmungen eine MUSS-Bestimmung. Auch das impliziert, dass diese Massnahme wohl als branchenüblich (bzw. dem Stand der Sicherheitstechnik entsprechend) angesehen wird.
Das ist mal verständlich. Was ich noch nicht ganz verstehe, ist die Beschränkung auf eine Maximallänge des Passworts. Ich hofnetbanking #fe dass ich da noch eine Erklärung dafür bekomme.