DKB Passwortschutz

Servus!

Ich bin gerade dabei meine Passwörter zu sichern und bin dabei bei der DKB auf ein kleines Problem getroffen: das Passwort darf maximal 38 Stellen lang sein. Ich habe nur zwei Passwörter, die länger sind als diese 38 Zeichen und die DKB sollte eigentlich dazugehören.

Wozu gibt es solche Begrenzungen heutzutage noch und eine Frage, die sich mir stellt ist, ob die DKB Passwörter überhaupt hasht, wenn solche Begrenzungen gelten?

Auf Nachfrage wurde mir in einem Kurzsatz erklärt, dass die Erhöhung der Passwortlänge nicht möglich sei… ähm, bitte was? :sweat_smile:
Sind wir hier bei einer dt. Behörde oder was?

Mich würde eure Meinung dazu mal interessieren und vor allem auch, ob das nicht vielleicht sogar ein generelles Sicherheitsrisiko darstellen könnte? Kenne mich mit dem Thema hashen und Passwörter dann doch zu wenig aus.

Dankeschön und eine schöne Woche wünsche ich!

Zunächst kann man, wenn nicht so oder so schon geschehen, eine 2FA mittels TAN aktivieren.

Desweiteren hat ein Passwort mit 38 Stellen eine sehr hohe Wahrscheinlichkeit, durch Brute-Force nicht geknackt zu werden. Nehmen wir mal folgendes Beispiel:

+Vr5F.)EwGJG+>`G"?tMG%wAF}+WSlJ/XkhDTU

Dieses hat eine Entropie von 243.91 bit. Gibt man dieses auf verschiedenen Testseiten ein, erhält man Angaben in Jahrhunderten. Oder anders ausgedrückt: 1 Nonilliarde Jahre (wie viele Jahre das auch immer sind)

Ergo: 38 ist ein guter Wert. Selbst wenn man die Sonderzeichen weglässt, braucht ein Angreiffer mehrere Jahrhunderte. Bis dahin ist der Angreiffer sicher längst gestorben.

2 „Gefällt mir“

2FA ist ja heutzutage vorgeschrieben, daran scheitert es schonmal nicht. Leider ja fast nur noch per Smartphone. Und 38 Zeichen sind natürlich unter weltlichen Umständen unknackbar, aber ich störe mich eher daran, dass es überhaupt eine Maximallänge gibt. Bei z.B. SHA256 wäre es ja egal wie groß der Input ist, der Output ist immer 64 Zeichen lang. Also hashen sie überhaupt? :wink:

Das Bild hier habe ich kurzerhand gefunden und das trifft es eigentlich ganz gut:

Bitte mal in Ruhe lesen: https://www.kuketz-blog.de/sicheres-passwort-waehlen-der-zufall-entscheidet/

Es gibt im Weltraum vermutlich zwischen 10 hoch 84 und 10 hoch 89 Atome. Eine Nonilliarde ist 10 hoch 57. Das sind immer noch unvorstellbar viele Fußballfelder. :wink:

Edit: Und wer glaubt, dass solche Änderungen wie die zulässige Passwortlänge einfach sind, unterschätzt die Komplexität über Jahrzehnte gewachsener IT Systeme bei einer Bank enorm.

Die Passwortlänge muss begrenzt sein - sonst könnte jeder durch Eingabe von Shakespeares Gesamtwerk die Datenbank sprengen (der hash muss ja berechnet werden). Ob 22, 30 oder 38 ist nachrangig - irgendwo muss Schluss sein. Sei froh dass das nicht bei 8 ist.

Wow, 38 Stellen sind doch ne ganze Menge.
Ich würde mir viel mehr wünschen, das die DKB mal mal den Login über Sicherheitssticks zulässt. FIDO2 etc. Mein Nitrokey würde sich da echt freuen.

Das Einloggen bei der DKB über den TAN-Generator ist doch an sich eine recht gute Sicherheitsmaßnahme. Braucht es dazu noch ein super-sicheres Passwort?

Wird diese Authentifizierung denn bei jedem Login erzwungen? Die meisten Banken fragen den zweiten Faktor beim Login ja nur alle X Tage ab. (A lite bit protection sometimes?)

Zur Sache: Die Notwendigkeit für ein Passwort mit mehr als 38 Zeichen sehe ich auch nicht. Ja, ich habe auch mal PW mit mehr als 100 Zeichen genutzt. Aber das ist Spielerei, wer ein Passwort mit mehr als 38 Zeichen in einem relevanten Zeitraum knacken kann, hat ohnehin andere Möglichkeiten als Brute-Force.