PIN im Klartext gespeichert?

Internet Internet Sicherheit
#1

Hallo.

Da hab ich doch die PIN für die neue Banking-App vergessen, die man nun dank PSD2 benutzen muss. Also Anruf bei der Hotline… zur Legitimation wollte der nette Herr die erste und dritte Stelle meiner Banking-PIN haben :confused:
Ich dachte immer, Zugangspasswörter würden als (gesalzener) Hash-Wert gespeichert und wegen der Uneindeutigkeit der Rückwärtsrechnung kann auch ein Datendieb nix damit anfangen, und jetzt das?!
Klar, man braucht jetzt auch eine TAN zum Einloggen, d.h. der Dieb könnte allein mit der PIN nicht mal meinen Kontostand abfragen. Aber das ist doch nicht „Stand der Technik“, oder bin ich zu empfindlich, oder gibt es gar einen vernünftigen Grund, hier nix zu verschlüsseln?

Gruß,

Kannitverstan

#2

Es gibt verschiedene PINs.
Hier geht es wohl um die PIN, die z.B. für Telefonbanking von dir einmal festgelegt wurde?
Wie anders als per mündlicher Mitteilung (oder Tastaturton) soll man die denn bei einem Telefonat übermitteln?

#3

Nix für ungut, aber auch wenn ich vieles nicht verstehe: So weit kann ich selber noch denken :wink:
Nein, es ging um dieselbe PIN, die ich auch zum Einloggen ins Onlinebanking benutze.
Und die hat ein richtiger Mitarbeiter teilweise erfragt und dann offensichtlich mit der in der Datenbank hinterlegten PIN verglichen.

Gruß,

Kannitverstan

#4

Mit an Sicherheit grenzender Wahrscheinlichkeit ist es so, dass der Mitarbeiter auch genau nur die 2 Stellen angezeigt bekommt, die er abfragt. ABER: das muss dennoch irgendwie in der Datenbank so gespeichert sein, dass man sie stellenweise wieder (mit dem Programm) ausliest …

#5

hi,

die ING macht das seit Jahren so. Bei jedem Login werden nur 2 Stellen abgefragt.
Daher könnte man vermuten, technisch wäre das wohl machbar.

Ob der Mitarbeiter die Zahlen oder gar die kompletten PIN vorher gesehen hat, oder er sie eingibt und der PC dann sagt: stimmt - stimmt nicht, ist ja auch unklar.

grüße
lipi

#6

Dann ist doch die Frage des Hotliners total sinnlos, da du doch selber genau diese PIN nicht mehr weisst und nachfragst?
Dass Hotliner Zugriff auf bestimmte PINs haben, ist normal.
Allerdings z.B. niemals auf die PIN deiner EC-Karte.
Allerdings ist es seltsam, dass deine Bank immer noch mit PIN/ TAN arbeitet.

Meine Bank hat schon vor 1 Monat von m-TAN auf 2-Faktor- Authentifizierung per Smartphone oder alternativ ChipTan per Hardwaregenerator umgestellt.

#7

Bitte genau lesen: Ich habe die Pin für die Banking >>> App <<< vergessen.

Eben :wink:

Gruß,

Kannitverstan

#8

Das ist die Frage. Entweder sie verwenden Algorithmen, die ein Rückrechnen zulassen, oder die PIN wird überhaupt nicht verschlüsselt abgelegt.
Dass der Mitarbeiter höchstwahrscheinlich keinen Zugriff auf die komplette PIN hat, macht die Sache nicht wirklich besser.

Gruß,

Kannitverstan

#9

Ach sooo…
Bei mir ist es ein beliebig selbst gewähltes Passwort mit einer Mindestlänge von 4 Zeichen.
Dieses weiss nicht einmal meine Bank und kann es auch nicht „herausrechnen“.

Wenn ich dieses vergessen sollte, muss ich mir per Brief einen neuen Login-Account zukommen lassen.
Es gibt allerdings eine völlig abgekoppelte und selbst ausgewählte Kunden- PIN, die bei Kontoeröffnung festgelegt wurde, und mit der ich mich beim Telefon- Support „ausweisen“ kann.
… und nur genau diese PIN kann und muss der Hotliner abfragen um „mir“ weiterhelfen zu dürfen.

#10

Ähm - die PIN ist nichts anderes als ein Passwort. Und ich verbitte mir, dass irgendwer außer mir dieses Passwort kennt. Keine zwei Stellen davon, erst recht nicht die komplette PIN. NIEMAND darf die Möglichkeit haben, mir irgendeine der Ziffern zu nennen!

Was ist das denn für ein Saftladen, der derartig fahrlässig mit Nutzerdaten umgeht?

Das ist das Gegenteil von Schutz!

#11

Unter anderem die von lipi erwähnte ING.

#12

Eine PIN ist regelmässig rein numerisch und im weiteren Sinne natürlich auch ein Passwort.
Ein Passwort, das alphanumerisch sein kann (manchmal sogar sein muss) ist keine PIN.

#13

Eine deutschstämmige Direktbank mit immerhin fast 1,5 Mio. Kunden in Deutschland.

Gruß,

Kannitverstan

#14

Und hier ruft man eben an und bekommt die neue App-PIN mündlich vom Mitarbeiter genannt.

Ja, das wird wohl der „vernünftige“ Grund sein, sie nicht zu verschlüsseln (wobei… man könnte es ja auch so gestalten, dass man nur nach Tastton-Eingabe einer kompletten PIN überhaupt zum Mitarbeiter durchkommt)
Es ist ja auch nicht wirklich tragisch, nachdem ein Kontozugriff nur mit Kontonummer, Banking-PIN/Passwort, App-PIN und TAN möglich ist, aber es bleibt halt eine Unsicherheit.

Gruß,

Kannitverstan

#15

Die Telefon-PIN (ungleich Karten-PIN) ist in der Regel 6 Stellen lang. Der Mitarbeiter bekommt zwei Ziffern mit Angabe der Stelle angezeigt und fragt diese ab. Damit ist a) gewährleistet, daß da nur der am Telefon ist, der die PIN kennt und b) der Mitarbeiter kann mit den zwei Stellen nichts anfangen. Zur Erinnerung: die normale Karten-PIN ist vier Stellen lang. 6-2=4 - also kein Problem.

Mittlerweile wird aber im Regelfall die PIN schon vom Telefon-Computer abgefragt, also ganz ohne Menschen.

Gruß
C.