Brute-Force auf Webservice zum Knacken des eigenen Passworts legal?

Shade Of Mine

Natürlich sperrt man nie nie nie nie nie User Konten wegen falschen Logins. Das tun nur dumme Leute. Da man sich sonst offen für DoS Attacken macht die man nie mehr abfangen kann.

Es hört sich aufs Erste gut an, Konto ist sicher wenn es gesperrt ist - aber im Endeffekt ist das nichts anderes als eine Sicherheitslücke.

Deshalb sperren die cleveren Leute IPs.

Geheime Benutzernamen helfen übrigens nicht, weil man die immer irgendwie exposen muss. zB bei einer Passwort Reset Funktion oder ähnlichem.

SeppJ

naja schrieb:

SeppJ schrieb:

naja schrieb:

Ihr seit ja wirklich total dämlich und kommt euch auch noch so schlau vor. Von nem Admin kann man ja auch nicht soviel erwarten.
Lest mal ein bisschen was.

Du bestätigst es doch. Wenn ich es jemandem so richtig heimzahlen will, dann probiere ich einmal am Tag von einem fremden Rechner aus, mich mit seinem Namen/Kontonummer einzuloggen. Das Opfer darf dann jeden Tag zur Bankfiliale stiefeln. Und viel Spaß nach Öffnungszeit der Banken (Gefühlt von 12 bis Mittag) oder am Wochenende.

EOP meinte, dass nichts gesperrt wird. Und bei dir hat es sich auch so angehört, als ob du es nicht glaubst, immerhin waren es noch "völlig neue Möglichkeiten" für dich und jetzt tust du so, als ob dir das alles klar war.

Eben! Und du meintest darauf hin, der Nutzer würde/sollte gesperrt werden. Und dann habe ich gesagt, dass man das schamlos ausnutzen könnte, wenn das so wäre. Und dann überrascht du mit den gezeigten AGBs, dass dies tatsächlich so ist. Und das ist wirklich dumm von den Banken, weil es Missbrauch Tür und Tor öffnet und es wundert mich, wieso das nicht gemacht wird. Vielleicht hat ein umsichtiger Techniker bemerkt, dass die AGB Schmarrn sind und die Sperre nur auf die Kombination Loginname und IP gemacht, anstatt wie angegeben auf den Loginnamen allgemein.

Reden wir gerade irgendwie aneinander vorbei?

Viele Banken sperren die User Konten bei zu vielen falschen Logins. Meine auch, wie ich mal feststellen durfte, als ich mich ein paar mal falsch angemeldet hab. Eure wahrscheinlich auch, könnt ihr ja mal versuchen. Anscheinend gibt es da nicht wirklich Probleme mit DoS Attacken die User sperren sollen. Wer hätte da auch viel davon, wenn er fremde User Konten sperrt? Man kann kein Geld damit verdienen und macht sich wahrscheinlich strafbar, wenn man sowas macht. Und Banken haben wahrscheinlich mehr Mittel um Druck auszuüben damit soetwas verfolgt wird. Da macht man sich als Hacker lieber an Kreditkartenbetrug, da hätte man mehr davon.

Wenn man natürlich bei C++.de User sperren würde, würde sich jeder daraus einen Spass machen volkard zu sperren, weil Marc++us nicht 100 Strafanzeigen verschicken wird.

Bei welcher Bank muss man sich denn mit der Kontonummer zum Onlinebanking anmelden???? Alle meine Onlinebanking-Zugänge haben eigene Zugangsnummern/Benutzernamen. Und die kenne nur ich, sonst niemand. Deshalb kann auch kein anderer meinen Zugang sperren durch Falscheingabe.

Bashar

fhfhgfhgf schrieb:

Bei welcher Bank muss man sich denn mit der Kontonummer zum Onlinebanking anmelden?

Bei meiner Sparkasse ist es die Kontonummer mit, seit der Abschaffung des i-TAN-Verfahrens, einem einbuchstabigen Anhang.

DaRe

naja schrieb:

Viele Banken sperren die User Konten bei zu vielen falschen Logins. Meine auch, wie ich mal feststellen durfte, als ich mich ein paar mal falsch angemeldet hab. Eure wahrscheinlich auch, könnt ihr ja mal versuchen.

Hmm, wie soll ich wissen, wie die mein Konto sperren, ob mein Konto dauerhaft auf dem Server gesperrt ist oder nur meine aktuelle IP für mein Konto? Das kriegst du auch erst nach nem Tag oder etwas mehr raus, wenn du ne neue IP hast und dann vermutlich siehst, dass dein Konto wieder zugänglich ist.

Anscheinend gibt es da nicht wirklich Probleme mit DoS Attacken die User sperren sollen. Wer hätte da auch viel davon, wenn er fremde User Konten sperrt? Man kann kein Geld damit verdienen und macht sich wahrscheinlich strafbar, wenn man sowas macht.

Kein Geld damit verdienen? Die Bankenkrise ist zwar vorbei, aber wieso sollten nicht doch schon einige Banken vorbaun und die Fremdkunden durch Sabotage der Konkurrenz näher an sich binden(Die nächste Krise kommt bestimmt)? Das macht dann natürlich nicht die Bank direkt, sondern iein Typ in Asien, der macht das dann auch für weniger Geld.

Auserdem werden Hackerangriffe nicht nur von finanziellen Sicht aus durchgeführt: Z.B. Spaß an der Freude, weil man sich irgendwas beweisen muss oder iwelche privaten Rachegedanken, weil ne Bank iwas Zwangsversteigert oder sonst was.

Und Banken haben wahrscheinlich mehr Mittel um Druck auszuüben damit soetwas verfolgt wird. Da macht man sich als Hacker lieber an Kreditkartenbetrug, da hätte man mehr davon.

Kennst dich da aber aus, oder?

Wenn man natürlich bei C++.de User sperren würde, würde sich jeder daraus einen Spass machen volkard zu sperren, weil Marc++us nicht 100 Strafanzeigen verschicken wird.

c++.de(hoffe du meinst c-plusplus.net) und Bankenkonten sind doch wohl grundlegend verschiedene Dinge:
-->c-plusplus.net
in den AGB iwo ein Punkt, dass du keinerlei Anrecht auf iwas hast (auch auf ein ungesperrtes Konto). Das Forum hier ist, wenn ich das richtig sehe, in erster Linie nicht direkt dazu da, um Geld zu schaffen(Partnerschaft mit Amazone mal ausgenommen, die vermutlich zur Selbstfinanzierung reichen soll).

-->Bank
du "bezahlst" Geld(über Kreditzinsen oder durch Nutzung deines gelagerten Guthabens, dass der Bank wiederum Kreditzinsen bringt) und bekommst dafür Service, wenn dir nun also dein Konto gesperrt wird und du auf deinen Service nicht mehr zugreifen kannst, dann ist das ganz ganz schlechte Publicity und ganz ganz schlecht um neue Kunden zu bekommen. Ne Bank ist ja schließlich ein Gewerbe mit Gewinnoptimierung bzw. Gewinnabsicht.

Shade Of Mine schrieb:

Natürlich sperrt man nie nie nie nie nie User Konten wegen falschen Logins. Das tun nur dumme Leute. Da man sich sonst offen für DoS Attacken macht die man nie mehr abfangen kann.

Es hört sich aufs Erste gut an, Konto ist sicher wenn es gesperrt ist - aber im Endeffekt ist das nichts anderes als eine Sicherheitslücke.

Deshalb sperren die cleveren Leute IPs.

Geheime Benutzernamen helfen übrigens nicht, weil man die immer irgendwie exposen muss. zB bei einer Passwort Reset Funktion oder ähnlichem.

Das trifft vielleicht bei Benutzerkonten wie für Foren zu aber niemals bei Konten für Online-Banking

DaRe

Was sollte denn bitte passieren, wenn das Konto doch nach zigtausend versuchen und zigtausend gesperrten IPs geknackt wird.

Vermutlich fällt sowas dann doch auf und die Transaktionen werden ja auch iwo protokolliert. Das Geld könnte dann vllt. über zig Ecken nicht mehr auffindbar sein, aber schaff es erstmal ne heutige Verschlüsselung mit BrutForce zu knacken, wenn dir eine IP nach der anderen weggesperrt wird.

Ich vermute mal es gibt einige mehr Kombinationen, als IPv4-Adressen. Für den Fall, dass dies dann dochmal geschafft wird, kann die Bank ja den Schaden immernoch iwie berappen(Versicherung, Rücklagen) und sich auf die Suche nach den Hackern machen. Wurden ja sicherlich genug Fußspuren ausgelegt.

Also, einen Account bis zur Rückmeldung des Kunden zu sperren, scheint mir dann doch auch sehr krass. Schließlich soll OnlineBanking auch einfach sein, wenn ich dann sowieso jedes Mal zur Bank rennen müsste, dann kann ich OnlineBanking auch gleich sein lassen.

DaRe schrieb:

Was sollte denn bitte passieren, wenn das Konto doch nach zigtausend versuchen und zigtausend gesperrten IPs geknackt wird.

Vermutlich fällt sowas dann doch auf und die Transaktionen werden ja auch iwo protokolliert. Das Geld könnte dann vllt. über zig Ecken nicht mehr auffindbar sein, aber schaff es erstmal ne heutige Verschlüsselung mit BrutForce zu knacken, wenn dir eine IP nach der anderen weggesperrt wird.

Ich vermute mal es gibt einige mehr Kombinationen, als IPv4-Adressen. Für den Fall, dass dies dann dochmal geschafft wird, kann die Bank ja den Schaden immernoch iwie berappen(Versicherung, Rücklagen) und sich auf die Suche nach den Hackern machen. Wurden ja sicherlich genug Fußspuren ausgelegt.

Also, einen Account bis zur Rückmeldung des Kunden zu sperren, scheint mir dann doch auch sehr krass. Schließlich soll OnlineBanking auch einfach sein, wenn ich dann sowieso jedes Mal zur Bank rennen müsste, dann kann ich OnlineBanking auch gleich sein lassen.

Es hat schon seinen Grund warum das so ist. Zumal eben ein Überweisungsauftrag der gemacht wurde nicht mehr storniert werden kann und wenn der Empfänger im Ausland ist bringt es dem wahren Kontoinhaber (also dem Opfer) gar nichts wenn er die Kontodaten des Empfängers sehen kann.

Und nur weil mal dein Online-Banking-Konto gesperrt sein sollte, musst du deswegen noch nicht zur Bank. Normalerweise wird das echte Bankkonto nicht gesperrt wenn das Online-Banking-Konto gesperrt wird. Es ist auch sehr unwahrscheinlich das es welche auf ein Online-Banking-Konto dermaßen absehen würden, dass sie wiederholend das Online-Banking-Konto attackieren. Gäbe es doch mal so ein Opfer, dann müsste er eben seinen Bankverbindung, sprich Kontonummer, ändern lassen. Wenn man mit diesem Prinzip ein Problem hat, sollte man wirklich gleich einfach Online-Banking sein lassen.

SeppJ

Super Argument. Es wird schon keiner machen, also brauchen wir uns dagegen auch nicht zu schützen. Dich stell ich als Sicherheitsberater ein.

Wenn ich also täglich mehrfach versuche, mich als volkard einzuloggen, kann ich den hier aussperren... Ihr bringt mich echt auf Ideen...

SeppJ schrieb:

Super Argument. Es wird schon keiner machen, also brauchen wir uns dagegen auch nicht zu schützen. Dich stell ich als Sicherheitsberater ein.

Deiner Meinung nach ist es also besser, viele fehlerhafte Loginversuche auf ein Online-Banking-Konto zuzulassen, mit dem Risiko, das er dann wirklich die 5-stellige PIN (Ja die ist z.B. bei der Postbank exakt 5-stellig) errät (bekommt (Brute-Force)) und es dem Angreifer zwar nicht gelingen kann das Online-Banking-Konto zu sperren aber gleich über das Online-Banking-Konto verfügen kann. dann braucht er ja eigentlich nicht mehr machen, als einen kleinen Hack zu verüben, so das die Mobile TAN an seine Handy-Nummer geht und schon kann er das echte Konto leeräumen. Super Argumente die du da hast. Zumal ja auch der Großteil niemals Opfer, der Attacken, wo es nur darum geht das Online-Banking-Konto zu sperren mittels vielen Login versuchen, sein wird.

DaRe schrieb:

naja schrieb:

Viele Banken sperren die User Konten bei zu vielen falschen Logins. Meine auch, wie ich mal feststellen durfte, als ich mich ein paar mal falsch angemeldet hab. Eure wahrscheinlich auch, könnt ihr ja mal versuchen.

Hmm, wie soll ich wissen, wie die mein Konto sperren, ob mein Konto dauerhaft auf dem Server gesperrt ist oder nur meine aktuelle IP für mein Konto? Das kriegst du auch erst nach nem Tag oder etwas mehr raus, wenn du ne neue IP hast und dann vermutlich siehst, dass dein Konto wieder zugänglich ist.

Ich kann meine IP mit ein paar Mausklicks wechseln. Die schreiben sicher nicht hin, dass man das in der Bank entsperren muss, wenn es nach einiger Zeit wieder automatisch freigeschaltet würde. Die haben ihre AGBs nicht zum Spass.

DaRe schrieb:

Und Banken haben wahrscheinlich mehr Mittel um Druck auszuüben damit soetwas verfolgt wird. Da macht man sich als Hacker lieber an Kreditkartenbetrug, da hätte man mehr davon.

Kennst dich da aber aus, oder?

Nicht, dass ich sowas mach, aber google mal nach Kreditkartenbetrug, dann merkst du, dass Banken viel dümmere Systeme haben als das User sperren.

Hab jetzt keine Lust mehr auf dumme Fragen zu einem System das ich nicht erfunden hab. Google oder Bank fragen, wenn ihr mehr wissen wollt.

SeppJ

provisorisch_anonymous schrieb:

SeppJ schrieb:

Super Argument. Es wird schon keiner machen, also brauchen wir uns dagegen auch nicht zu schützen. Dich stell ich als Sicherheitsberater ein.

Deiner Meinung nach ist es also besser, viele fehlerhafte Loginversuche auf ein Online-Banking-Konto zuzulassen, mit dem Risiko, das er dann wirklich die 5-stellige PIN (Ja die ist z.B. bei der Postbank exakt 5-stellig) errät (bekommt (Brute-Force)) und es dem Angreifer zwar nicht gelingen kann das Online-Banking-Konto zu sperren aber gleich über das Online-Banking-Konto verfügen kann. dann braucht er ja eigentlich nicht mehr machen, als einen kleinen Hack zu verüben, so das die Mobile TAN an seine Handy-Nummer geht und schon kann er das echte Konto leeräumen. Super Argumente die du da hast. Zumal ja auch der Großteil niemals Opfer, der Attacken, wo es nur darum geht das Online-Banking-Konto zu sperren mittels vielen Login versuchen, sein wird.

Wo sage ich das? Du machst deinem Namensvorbild alle Ehre

SeppJ schrieb:

provisorisch_anonymous schrieb:

SeppJ schrieb:

Super Argument. Es wird schon keiner machen, also brauchen wir uns dagegen auch nicht zu schützen. Dich stell ich als Sicherheitsberater ein.

Deiner Meinung nach ist es also besser, viele fehlerhafte Loginversuche auf ein Online-Banking-Konto zuzulassen, mit dem Risiko, das er dann wirklich die 5-stellige PIN (Ja die ist z.B. bei der Postbank exakt 5-stellig) errät (bekommt (Brute-Force)) und es dem Angreifer zwar nicht gelingen kann das Online-Banking-Konto zu sperren aber gleich über das Online-Banking-Konto verfügen kann. dann braucht er ja eigentlich nicht mehr machen, als einen kleinen Hack zu verüben, so das die Mobile TAN an seine Handy-Nummer geht und schon kann er das echte Konto leeräumen. Super Argumente die du da hast. Zumal ja auch der Großteil niemals Opfer, der Attacken, wo es nur darum geht das Online-Banking-Konto zu sperren mittels vielen Login versuchen, sein wird.

Wo sage ich das? Du machst deinem Namensvorbild alle Ehre

Jetzt solltest Du dich mal entscheiden. Deine ' ' helfen dir da auch nicht weiter.

Shade Of Mine

provisorisch_anonymous schrieb:

Das trifft vielleicht bei Benutzerkonten wie für Foren zu aber niemals bei Konten für Online-Banking

Soviel Blödsinn wird hier gesagt...
Der Account wird gesperrt wenn du den TAN falsch eingibst, weil dann der Account kompromitiert wurde - aber nicht bei einem Login fehlschlag. Zumindest nicht bei den guten Banken. Gibt sicher welche du dumm sind, keine Frage.

Das sind eigentlich Sicherheitsgrundlagen die man wissen sollte...

Shade Of Mine schrieb:

provisorisch_anonymous schrieb:

Das trifft vielleicht bei Benutzerkonten wie für Foren zu aber niemals bei Konten für Online-Banking

Soviel Blödsinn wird hier gesagt...
Der Account wird gesperrt wenn du den TAN falsch eingibst, weil dann der Account kompromitiert wurde - aber nicht bei einem Login fehlschlag. Zumindest nicht bei den guten Banken. Gibt sicher welche du dumm sind, keine Frage.

Das sind eigentlich Sicherheitsgrundlagen die man wissen sollte...

Und Blödsinn ist es auch, so zu tun als wäre was falsch gesagt wurden und dann aber die selbe Meinung, bloß in anderer Form wieder niederzuschreiben.

Die TAN ist quasi bei Online-Banking das Passwort in Verbindung mit der Kontonummer. Ob mit Kontonummer oder doch einem Benutzernamen hängt natürlich von der Bank ab.

Shade Of Mine schrieb:

Der Account wird gesperrt wenn du den TAN falsch eingibst, weil dann der Account kompromitiert wurde - aber nicht bei einem Login fehlschlag. Zumindest nicht bei den guten Banken.

Nenne mal 3 gute Banken die das so machen.

Beweise schrieb:

Shade Of Mine schrieb:

Der Account wird gesperrt wenn du den TAN falsch eingibst, weil dann der Account kompromitiert wurde - aber nicht bei einem Login fehlschlag. Zumindest nicht bei den guten Banken.

Nenne mal 3 gute Banken die das so machen.

Ja so was hat man gerne, Moderatoren die echt einen fragwürdigen Standpunkt vertreten. Natürlich wäre es mir lieber das mein Onlinebanking gesperrt ist, als das plötzlich eine Überweisung von 9 000 € an ein Konto im Ausland rausging. Ich bin doch nicht blöd!