Abfrage einzelner Buchstaben eines Kennworts

rantanplan · 11. November 2019 um 07:05

Hi,
wenn ich mich in die Onlineuebersicht meines Kreditkartenanbieters einloggen moechte, muss ich dafuer ein vorher festgelegtes Kennwort wissen.
Das Kennwort wird allerdings nicht im Ganzen abgefragt, sondern jedesmal nur zwei Buchstaben aus dem Kennwort. Die Position der Buchstaben wechselt natuerlich bei jedem Anmeldeversuch.

Kennt jemand ein solches Verfahren und kann sich vorstellen, wozu das gut sein soll? Ich kann mir weder vorstellen, dass das Verfahren sicherer sein soll, noch empfinde ich es als komfortabler gegenueber einer normalen Passwortabfrage.

Zusaetzlich frage ich mich, wie meine Bank bei diesem Verfahren die Kennwoerter sicher speichert. Einfach den Hash abspeichern sollte bei dieser Methode ja eigentlich nicht funktionieren.

Gruss
rantanplan

P.S.: Ich weiss, dass diese Fragen eventuell nu zu beantworten sind, wenn man das konkrete System kennt. Ich frage auch mehr nach Denkanstoessen, als nach konkreten Antworten dieses spezielle System betreffend.

Allesquatsch · 11. November 2019 um 07:05

95% Sicherheit

Kennt jemand ein solches Verfahren und kann sich vorstellen,
wozu das gut sein soll? Ich kann mir weder vorstellen, dass
das Verfahren sicherer sein soll, noch empfinde ich es als
komfortabler gegenueber einer normalen Passwortabfrage.

Das Verfahren wird schon lange praktiziert und hat sich bewährt.

Hintergrund ist das Problem, mit dem insbesondere die Kreditkartenanbieter zu kämpfen haben: In den klassischen Bezahlprozessen haben alle Beteiligten (unverschlüsselten) Einblick in die Zahlungsinformationen. Damit können diese Informationen aber missbraucht werden.
In IT-gestützten Prozessen ist es natürlich möglich, Vertraulichkeit und Integrität zu sichern. Selbst ein Administrator kann ein eingegebenes Kennwort nicht lesen, da nur eine ermittelte Quersumme abgespeichert und verglichen wird.
Doch wenn eine solche Authentifizierung per Telefon stattfindet, besteht diese Möglichkeit so nicht: Der Gesprächspartner erfährt die PIN-Nummer. (Und auch jeder, der sonst mithören könnte).
Also erhöht es die Sicherheit, wenn der Gesprächspartner nur zwei Ziffern erfährt. Denn es gibt 20 Möglichkeiten, welche von den fünf Ziffern abgefragt werden. Und mit 95% Wahrscheinlichkeit wird ein einmaliges Belauschen nicht dazu führen, dass der Lauscher Deine Identität rauben kann.

Inzwischen haben die am Zahlungsverkehr beteiligten Firmen auch öfters mitgedacht. So wird meist nicht mehr die gesamte Kreditkarten oder Kontonummer auf den Beleg gedruckt. Denn mit einem Stapel Tankbelege aus dem Papierkorb konnte man bis vor ein paar Jahren noch hervorragend Kreditkartenkonten plündern. Heute sind nur noch die Endziffern aufgedruckt.

Wer damit ein Problem hat, sich 5 Einzelziffern zu merken, dürfte auch so leichtes Opfer von Betrügereien sein.

Ciao, Allesquatsch

Reinhard_Kern_4bc529 · 11. November 2019 um 07:07

Das Kennwort wird allerdings nicht im Ganzen abgefragt,
sondern jedesmal nur zwei Buchstaben aus dem Kennwort.

Hallo,

das ist nur unter bestimmten Bedingungen sinnvoll:

Der Benutzer kann selbst kein Passwort festlegen, sondern bekommt eines zugewiesen - sonst geht das Verfahren technisch garnicht oder am andern Ende hat einer das selbst gewählte Passwort im Klartext vorliegen, was ich nicht akzeptabel finde.
Die Eingabe erfolgt nicht am Computer, sondern z.B. über Telefon, so dass eine Berechnung eines Hash nicht möglich ist. Sonst wäre das übliche Verfahren ohne Übertragung des Passworts vorzuziehen.

In jedem Fall haben „die anderen“ das Passwort im Klartext, entweder auf Papier oder zumindest im Computer, das ist für sich schon ein Sicherheitsrisiko. Die Dateien damit wären eine schöne Stange Geld wert.

Gruss Reinhard

Moritz_fe1b4f · 11. November 2019 um 07:08

Hallo,

Beim Onlinebanking ist das nur begrenzt sinnvoll, man kann wegen der SSL-Verschlüsselung davon ausgeht, dass niemand unbefugtes mitlesen kann. Im Falle von Telefonbanking sieht das ganz anders aus, Telefongespräche werden größtenteils unverschlüsselt übertragen, und sind für den Carrier einsehbar.

Wo es hilft ist wenn der Benutzer sich einen Trojaner (z.B. einen Keylogger) eingefangen hat; hier erfährt der Angreifer nicht das ganze Passwort.

Ein anderes Problem beim Online-Banking ist Phishing, das als man-in-the-middle-Angriff implementiert ist.

Hier hilft die Auswahl einzelner Buchstaben auch nichts, der Angreifer kann den Benutzer einfach nach den gleichen Buchstaben fragen wie die Bank ihn fragt.

Grüße,
Moritz

andreasw · 11. November 2019 um 07:13

Hi

Zusaetzlich frage ich mich, wie meine Bank bei diesem
Verfahren die Kennwoerter sicher speichert. Einfach den Hash
abspeichern sollte bei dieser Methode ja eigentlich nicht
funktionieren.

[…]

Ich frage auch mehr
nach Denkanstoessen, als nach konkreten Antworten dieses
spezielle System betreffend.

Das interessiert mich nun auch, habe gestern und heute auch lange gegoogelt… aber alles was man mit „partial password“ herauskriegt, ist dass es von vielen Banken benutzt wird und total geil gegen key logger ist. Keine Beschreibung, keine Referenzimplementierung… Bist du evtl. zwischenzeitlich fündig geworden, wie so was implementiert wird? Ich weigere mich zu glauben, dass das Passwort dafür im Klartext vorliegen muss…

Gruß,
Andreas