Meiner ist soooooo lang

… aber ich nutze nur sooo viel

Meinem Leser Christian O. ist aufgefallen, dass beim Online Banking der Consorsbank  ein fünfstelliger PIN-Code genutzt wird, er aber beim Login in dem Feld auf der Webseite viel mehr Stellen eingeben kann. Er bemerkte weiterhin, dass er auch mit einem falschen PIN problemlos in das System kommt, solange die ersten fünf Stellen der Eingabe korrekt sind. Das gleiche Problem hat(te) 2012 auch die ING diba – zumindest, wenn man diesem Post hier glaubt.

Ein Login mit falschem Passwort ist kein Sicherheitsproblem ?!?!

consorsbank LoginEin Beispiel: Der korrekte PIN-Code lautet 12345. Bei Eingabe von 54321 kommt man nicht ins System, mit der Eingabe von 12345, 1234567, 12345abcdefg oder 123454321 hingegen schon. Und zwar deshalb, weil die ersten fünf Stellen der korrekten PIN-Nummer entsprechen.

Die Consorsbank teilte Christian O. auf seinen Hinweis hin mit, dass sie kein Sicherheitsproblem sieht. Echt jetzt? Man kommt mit einem eindeutig falschen Passwort ins Online-Banking-System – und das soll kein Sicherheitsproblem sein?

Mal sehen …

Setzen wir mal voraus – und das ist tatsächlich heute (noch) so anerkannt – dass eine fünfstellige PIN zum Login aufgrund der 2-Faktor-Authorisierung (TAN) beim Ausführen eines Auftrags als ausreichend sicher gilt. Die Programmierer der Consorsbank haben vergessen, dem Eingabefeld eine Längenbegrenzung zu verpassen, schneiden die Eingabe aber offenbar vor der Prüfung ab. Daher kann man 1234567 eingeben, das System macht daraus sofort 12345 und vergleicht erst jetzt die Eingabe mit der gespeicherten PIN 12345.

Vermutlich achten die Programmierer darauf, dass es keinen Puffer-Überlauf (oder eine SQL-Injection) gibt, der es erlaubt, Code von außen ins System zu schleusen. Hier mal ein stark vereinfachtes Beispiel: Im Speicher des Bankcomputers ist die PIN und danach die Berechtigungsstufe des Nutzers in Form von 12345KUNDE abgelegt. Wenn der Nutzer bei der PIN mehr als fünf Zeichen ohne Längenprüfung eingeben kann und diese dann genau dort im Speicher abgelegt wird, dann wird die Eingabe von „12345ADMINals PIN dazu führen, dass die Berechtigung KUNDE im Speicher mit ADMIN überschrieben wird. Ein normaler Bankkunde wäre dann plötzlich Administrator des Systems. Das wäre eine Sicherheitslücke.

Ebenso eine Sicherheitslücke wäre es, wenn der Bankkunde (vermeintlich) einen längeren PIN-Code festlegen könnte, davon aber nur die ersten Stellen überprüft werden. Also wenn die PIN 1234567 hinterlegt wird, Sie aber mit 12345 (geht bei bei Paypal laut diesem Post vom September 2016) und je nach Ausprägung vielleicht sogar auch mit 1234599 ins System kämen. Das ist bei der Consorsbank ja nicht der Fall.

Es kommt darauf an, was man daraus macht

Ohne den Code zu kennen, halte ich als Außenstehender das von Christian O. beschriebene Verhalten des Systems und die fehlende Längenbeschränkung daher für einen einfachen Programmierfehler im Webfrontend des Onlinebanking-Portals der Consorsbank. Dieser sollte zwar behoben werden, ein wirkliches Sicherheitsproblem kann ich jedoch nicht erkennen. Also gilt für die PIN (zumindest bei der Consorsbank) etwas, was auch manche Männer behaupten: Nicht die Länge ist entscheidend, auf die Technik kommt es an.


Bildnachweis: Screenshot (Ausschnitt) vom Login auf www.consorsbank.de

Hinweis: Ja ja, ich weiß. Es heißt „die PIN“ (weiblich), weil es von Personal Identification Number kommt. „Der PIN“ hingegen ist das, was man als Stecknadel in die Wand pinnt. Da ich mit „der PIN-Code“ (männlich) den Text beginne und auch sonst die tolle ;-) Überschrift nicht passt, schreibe ich auch mal „der PIN“ (männlich) im Text. Seht es mir nach!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

*