Die Antwort warum die Sparkasse nur 5 Zeichen zulässt

Ich habe vor ein paar Tagen über die Passwortlänge bei der Sparkasse geschrieben. Daraufhin habe ich der Bank mal eine Mail geschrieben und auch relativ schnell eine Antwort bekommen. Aber lest selbst:

Ich:

Sehr geehrte Damen und Herren,
ich wollte mal nachfragen warum man bei dem Passwort für das Online-Banking NUR maximal 5 Zeichen angeben kann? Das ist eindeutig zu wenig um so einen wichtigen Account zu schützen. Es sollte doch kein großes technisches Problem darstellen, dass man sehr viel mehr Zeichen angeben kann.
Andere Banken bekommen das ja auch hin!
Ich würde es sehr begrüßen, wenn das geändert wird!

Sparkasse:

Die Länge von 5 Zeichen entspricht der Vorgabe der Deutschen Kreditwirtschaft, einem Zusammenschluß der kreditwirtschaftlichen Spitzenverbänden. Mit der Vorgabe von 5 Zeichen in Kombination mit Anmeldename und TAN handelt es sich um ein zertifiziertes Verfahren. Mit Nutzung des chipTAN-Verfahrens und der Generierung einer individuellen TAN über ein externes Gerät, ist außerdem einen Medienbruch gegeben, der Ihnen eine Kontrollmöglichkeit der abgesendeten Daten vor Freigabe der Zahlung bietet.

Ich:

Abend,
das ist ja schön, dass eine es Vorgabe gibt, aber das ist ja nur eine Mindestwert. Warum erhöht die Sparkasse denn nicht die Länge des Passwort. Mir ist auch klar, dass für alle weiteren Aktionen ein TAN benötigt wird. Jedoch ist die Chance ein 5 stelliges Passwort zu knacken leichter als ein 50 Stelliges.
Wenn jemand das Passwort hat, kann er meine Kontostände einsehen.
Ich sehe dabei ein unnötiges Sicherheitsrisiko, dass durch ein längeres Passwort verringert werden kann.

Sparkasse:

vielen Dank für Ihre Rückmeldung. Gerne gehen wir nochmals näher auf Ihre Anfrage ein:

Zunächst einmal begrüßen wir, dass Sie sich mit dem Umgang und der Sicherheit Ihrer vertraulichen Daten auseinandersetzen. Da es sich bei der Passwortfrage um ein durchaus sensibles Thema handelt, ist Ihre Anfrage auch völlig berechtigt.
Alle Kreditinstitute greifen auf das Angebot ihrer übergeordneten Rechenzentren zurück. Daher hat auch die Sparkasse Fulda selbst keinen Spielraum, im Alleingang an der derzeitigen Passwortlänge etwas zu verändern. Wie bereits erwähnt orientiert sich das Rechenzentrum der Sparkasse Fulda, die FinanzInformatik, an den bewährten Standards der Deutschen Kreditwirtschaft (Zusammenschluß aller deutschen Bankengruppen). Bislang gibt es auch seitens der Sparkasse Fulda keine Hinweise bzw. Erfahrungen, dass das Passwort “eine Achillesferse” des Online-Banking ist.

Jetzt wisst/weiß ihr/ich warum die Sparkasse nur 5 Zeichen zulässt. Ich will das jetzt auch einfach mal so stehen lassen, denn ich kann eh nix dran ändern, außer vielleicht die Bank zu wechseln.

10 Kommentare zu “Die Antwort warum die Sparkasse nur 5 Zeichen zulässt

  1. Mein Passwort ist noch länger als 5 Zeichen und nun ist es so, wenn ich mich damit über mein Smartphone anmelden möchte, dann ist das nicht mehr möglich, da nur noch 5 Zeichen maximal eingegeben werden können. Auf dem PC geht das noch.

    1. Das Passwort wird abgeschnitten.
      Nimm einfach von deinem Passwort die ersten 5 Zeichen und der Rest deines Passwortes ist egal ;-).
      Es müssen halt nur die ersten 5 Zeichen korrekt sein, alles andere ist egal.
      Das lässt auch die Passwort ändern Funktion der Sparkasse nicht gerade gut aussehen. Den hier wird der User nicht gewarnt, das von seinem 30 Zeichen Passwort nur die ersten 5 Zeichen genommen werden und der Rest verworfen wird.
      Zumindestens ist es so bei den Sparkassen in Niedersachen und auch andere Banken verfahren hier genauso.

  2. Wie soll denn das Passwort, auch, wenn es nur 5 Stellen hat, beim Online Banking geknackt werden? Das Probieren aller Möglichkeiten funktioniert hier nicht.

    Es könnte also z.B. ausspioniert werden. Aber das geht genau so mit langen Wörtern.

    Das entscheidende Merkmal ist der TAN-Generator – das andere Medium!

    1. Lange Passwörter sind grundsätzlich sicherer. Es spricht technisch doch nichts dagegen die Möglichkeit zu bieten ein langes Passwort zu speichern.

  3. Es gehtz noch schlimmer:
    Die Postbank macht das genau so.
    Der Benutzername ist dabei sogar die Kontonummer die wirklich leicht herauszufinden ist.
    Eine Tan oder ähnliches wird nicht benötigt.
    Nur die Kontonummer und ein 5 Stelliges PW ohne Sonderzeichen (!)

    Aber Humor haben sie trotzdem. Auf der Seite zum Passwort ändern werden Tipps gegeben, wie man ein sicheres (5-stelliges) Passwort wählt.
    Z.B statt eines „E“ die Zahl „3“ verwenden.

    Eigentlich kann man diese Praxis nicht einmal als fahrlässig bezeichnen – das grenzt an Vorsatz.
    Ein BruteForce Tool braucht für so eine PW Länge nur aus Buchstaben und Zahlen weniger als eine Sekunde.

  4. @Bastian: Dein Brute Force Tool laeuft nach dem dritten Versuch gegen die Sperre des Kontos. Eine Offline Attacke ist ueberhaupt nicht moeglich. Falls tatsaechlich die Kombination erraten wird, liegt die Haftung bei der Bank – wenn dem Kunden nicht nachgewiesen wird, dass er das Passwort nicht doch Dritten zugaenglich gemacht hat.

    1. Warum sollte eine offline Attacke überhaupt nicht möglich sein? Oft genug werden Datensätze auch von großen Unternehmen, wie vor kurzem zum Beispiel yahoo, geklaut. Wenn dies bei Banken passiert, die nur 5 stellige Passwörter haben, werden diese in Millisekunden geknackt. Solch ein Diebstahl wird dann oft erst Jahre später bemerkt.

      Kurze Passwörter sind einfach fahrlässig und zeigen die Inkompetenz deutscher Banken in der IT. Da würde ich dann auch nicht davon ausgehen, dass die Seiten allzu sicher gegen XSS und SQL Injektionen sind. Besonders nicht sicherer als die von yahoo, einer IT Firma.

    2. Außerdem können Brute Force Attacken auch von verteilten Systemen stattfinden. Und schließlich gibt es immer noch die Möglichkeit, über einen längeren Zeitraum die geläufigsten Passwörter für unterschiedliche Kontos auszuprobieren. Bei einer Länge von 5 Ziffern gibt es da sehr eindeutige Kandidaten. 12345 ist selbst ohne Zeichen- und Längenbeschränkung sehr begehrt.

    3. „Eine Offline Attacke ist ueberhaupt nicht moeglich“

      Laut den Security Nightmares 0x12 (34c3) sind dieses Jahr wieder Terabyteweise Datenbanken von Firmen in die Öffentlichkeit gelangt. Erzähl mir nichts von „Offline-Attacke sei nicht möglich.

  5. Ich bin auch Kunde bei der Sparkasse und kenne das Problem mit den kurzen Passwörtern zur Genüge. Aus Spaß habe ich mir heute einmal die Tipps zur Passwortsicherheit auf der Homepage der Sparkasse durchgelesen.

    Zitat:
    „2. Funktionieren Sie einen Satz zu einer Buchstaben-Ziffern-Reihe um
    Denken Sie zum Beispiel an Ihren Lieblingsfilm oder -serie, Ihr Lieblingslied oder ein Ereignis und ergänzen Sie dieses ggf. durch Sonderzeichen. So wird aus Two and a Half Men #2a1hM!. “

    Jetzt schaut euch mal das vorgeschlagene Passwort genau an. Je nach dem ob man den Punkt dazu rechnet oder nicht, hat es 8 oder 7 Zeichen. Also mindestens zwei Zeichen mehr, als die SPK zulässt. Das ist meiner Meinung nach Humor auf hohem Niveau…

Comments are closed.