Author Topic: Sicherheitskonzept von comdirect.de völlig Banane  (Read 13126 times)

Offline voodoobit

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Sicherheitskonzept von comdirect.de völlig Banane
« on: Friday, 07.12.2007 17:20 »

Mir scheint das Sicherheitskonzept der Comdirect-Bank beim Kunden-Login etwas verfehlt.


-> Ein Konto, gegen das 3 mal ein falsches Passwort läuft wird gesperrt und ist nur durch
    eine manuelle Entsperrung wieder aktivierbar.


M.E., so eine Logik macht sicherlich in Zusammenhang mit einer SIM-Card oder einer ec-Karte Sinn,
aber nicht auf einer Website die automatisiert angesprochen werden kann.

Ich wäre zumindest nicht gern verantwortlich dafür, wenn es mir aufgrund eines simplen Web-Angriffs
ein Großteil meiner Kundenzugänge verhagelt.


voodoobit


Offline Goldhamster

  • Sr. Member
  • ****
  • Posts: 178
  • Karma: 0
Re: Sicherheitskonzept von comdirect.de völlig Banane
« Reply #1 on: Saturday, 08.12.2007 11:47 »
Damit bei einem Web-Angriff auf die Comdirect-Bank als Kollateralschaden Dein Konto gesperrt wird, müsste der Angreifer aber doch Deine Kontonummer haben, die ja sicherlich auch nicht öffentlich ist, oder sehe ich das falsch?

Natürlich sollte bei einer solchen Sperrung nicht nur das Konto, sondern auch die IP-Adresse des Angreifers gesperrt werden, damit er nicht durch Ausprobieren weiterer Kontonummern noch mehr Unheil anrichten kann.

Offline voodoobit

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Re: Sicherheitskonzept von comdirect.de völlig Banane
« Reply #2 on: Monday, 07.01.2008 08:22 »
Richtig, die Kontonummer müßte der Angreifer zwar haben, aber durch einen brute force attack gegen beliebige Zahlenkombinationen ließen sich binnen Stunden tausende Konten sperrren.
Sinnvoll wäre sicherliche, die Sperrung des Kontos mit der IP zu verknüpfen!