-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
Commerzbank Comdirect Sammelthread
- Starter*in amerin
- Datum Start
ANZEIGE
Bei mir würdest Du dann Kontoauszugsdepressionen bekommen. (Bei meinem Coba-Konto...)Ich sehe Deinen Kontostand
Unfassbar, dass Passwörter noch immer im Klartext gespeichert werden.
In der Tat. Das ist heute Stand der Technik in deutlich weniger sensiblen Umgebungen! Verstehe nicht wie da die BAFIN denen nicht gepflegt auf die Pfoten haut dafür…
Die Mitarbeiter sehen das Passwort selbst nicht.Wie soll die Hotline dich sonst nach mehreren Stellen des Passworts fragen können?
Zugegeben es ist mir auch ein Rätsel und das als Software Engineer. Würde zu gerne mal ein paar Wochen bei denen mitarbeiten und verstehen versuchen.
Das System sagt, frag den Kunden nach Stelle X, X und X.
Macht auch die Deutsche Bank, Norisbank, ect. so.
Es gibt maskierte Passwörter und diese lassen sich durch eine mathematische Funktion ersetzen. Die Funktion könnte man im Klartext speichern aber die Werte der Funktion verschlüsseln. Dann kann man durch Nennung von zwei Werten die übrige Werte berechnen und dann alle diese gegen die verschlüsselte Werte prüfen.
Naja trotzdem wäre korrekterweise eine komplette Hashung des Passwortes von Vorteil. Aber bei einer fixen Anzahl an Ziffern, ist es relativ einfach diese zu brutforcen. Am besten wäre einfach ein sogenannter Kundenserivce-Pin, der nur abgefragt wird, wenn ein Kunde die Hotline bemüht...
Das ist nicht wahr, oder?
Gibt es wirklich Passwörter, die zum Login benutzt werden und von denen man nach einzelnen Stellen gefragt wird?
Ein extra Kundenpasswort ist ja was anderes, aber das echte Login-Passwort oder Teile davon zu übermitteln, das darf es nicht geben.
Gibt es wirklich Passwörter, die zum Login benutzt werden und von denen man nach einzelnen Stellen gefragt wird?
Ein extra Kundenpasswort ist ja was anderes, aber das echte Login-Passwort oder Teile davon zu übermitteln, das darf es nicht geben.
Ja, das dachte ich mir, bzw. ich hatte es inständig gehofft.
Ja, ist mir bekannt. Aber alle üblichen Hashing- (+ evt. Salting-) Verfahren würden es nicht erlauben, einzelne Stellen eines Passworts abzugleichen. Wie dem auch sei, es gibt für alles Gründe, manchmal nur historische. Ich habe in vielen Industrien gearbeitet, Banken waren nicht dabei und ich bin bei Weitem nicht allwissend. Lerne nur gerne, mein Interesse war also ernst gemeint.
Wenn man es richtig macht, dann bringt die Brute-Force nichts: Man fragt dann einfach per Zufall gewählte Stellen ab und nach z. B. dritten Versuch geht nichts mehr.
@indigena: Wenn du eine Funktion hast und z. B. zwei Werte, dann kannst du die verbleibende Werte errechnen. Die errechnete Werte zusammen mit den vom Kunden übergebenen Werten bilden dann das Passwort, das du dann hashen (und ggf. salten) kannst und das vergleicht man mit der Datenbank.
Beispiel: Funktion x+1 mit 6 Zeichen und Passwort 234567
Lass uns dem Kunden nach Zeichen 2 und 6 fragen.
Antwortet er 2 und 6, dann ergeben sich Werte 1, 2 (vom Kunden), 3, 4, 5 und 6 (vom Kunden) -> Passwort des Kunden 123456 -> entspricht dem richtigen Passwort? Nein.
Nächstes Versuch: Nenne Ziffern 3 und 5:
Antwortet er 4 und 6, ergibt sich aus der Funktion 2,3,4 (Wert des Kunden), 5, 6 (Wert des Kunden) und 7 -> Passwort des Kunden 234567 -> entspricht dem richtigen Passwort? Ja
Ist das nun ersichtlicher, wieso das funktioniert?
@indigena: Wenn du eine Funktion hast und z. B. zwei Werte, dann kannst du die verbleibende Werte errechnen. Die errechnete Werte zusammen mit den vom Kunden übergebenen Werten bilden dann das Passwort, das du dann hashen (und ggf. salten) kannst und das vergleicht man mit der Datenbank.
Beispiel: Funktion x+1 mit 6 Zeichen und Passwort 234567
Lass uns dem Kunden nach Zeichen 2 und 6 fragen.
Antwortet er 2 und 6, dann ergeben sich Werte 1, 2 (vom Kunden), 3, 4, 5 und 6 (vom Kunden) -> Passwort des Kunden 123456 -> entspricht dem richtigen Passwort? Nein.
Nächstes Versuch: Nenne Ziffern 3 und 5:
Antwortet er 4 und 6, ergibt sich aus der Funktion 2,3,4 (Wert des Kunden), 5, 6 (Wert des Kunden) und 7 -> Passwort des Kunden 234567 -> entspricht dem richtigen Passwort? Ja
Ist das nun ersichtlicher, wieso das funktioniert?
Ja, wenn du die Datenbank hast, dann kannst du es früher oder später erfahren. Deswegen wäre es sinnvoller, wenn die Banken etwas mehr Fragen stellen würden, als nur die Zugangsnummer und einen kurzen PIN (oder Ziffern davon abzufragen). Wenn ich z. B. bei der Telekom anrufe, reicht es nicht aus die Nummer des Anschlusses und die Kundennummer anzugeben, sondern da wird immer die Adresse des Anschlusses und manchmal auch das Geburtsdatum des Inhabers abgefragt. Im Zweifel können die Mitarbeiter auch die Buchungsnummer abfragen, was nur auf Rechnungen und im Kundenportal einsehbar ist. Bei Barclaycard verlangt man auch nicht nur die Kartennummer, sondern es gibt noch weitere Verifikationsfragen, die in der Summe nur dem Kunden bekannt sein dürften.
Bei der Comdirect wird es noch bunter. Bei meinen letzten Anrufen dort wurde ich gebeten, meine komplette Online Banking PIN zur Verifizierung einzugeben. Ich konnte es erst gar nicht glauben. Von allen Banken wird man regelmäßig darauf hingewiesen, dass niemals ein Mitarbeiter am Telefon nach den Zugangsdaten fürs Online Banking fragen wird und dann sowas.
Da ich diese Praxis absolut unverständlich finde, handhabe ich es so, dass ich bei den wenigen Malen, bei denen ich den Kundenservice telefonisch kontaktieren muss, 000000 als PIN eingebe. Daraufhin wird dann mein Online Banking Zugang gesperrt, ich werde zu einem Mitarbeiter weitergeleitet dem ich meine Absichten schildere, dieser schaltet den Zugang wieder frei und widmet sich dann meinem Problem. Alles in der Hoffnung, dass man bei der CoDi irgendwann so genervt von mir ist, dass man mal das System überdenkt. Vermutlich wird aber eher noch mein Konto gekündigt als dass sich da was ändert
Zuletzt bearbeitet:
Die Eingabe der PIN erfolgt jedoch nicht gegenüber einem Menschen sondern dem Sprachcomputer, das ist auch bei der ING so, aber dort gibt es eine gesonderte Telefonbanking-PIN, die jedoch auch vollständig eingegeben werden muss.
Dem Comdirect Mitarbeiter hast du dann deine Online-Banking PIN doch in voller Länge durchgesagt, oder? Das ist eigentlich unsicherer als es über die Tastatur an das System einzugeben, weil es eine Möglichkeit besteht, dass ein unehrlicher Mitarbeiter sich die Daten aufschreibt.
Es ist auch etwas anderes, wenn du von jemanden angerufen bist und die Frage nach den Zugangsdaten hörst und wenn du bewusst eine Telefonnummer wählst und doch erwartest, mit der Bank sprechen zu können. Dieser Sache ist eigentlich nichts anzulasten, außer dass man vielleicht mindestens eine weitere Frage einbauen sollte, wie beispielsweise Nennung einer der letzten fünf Transaktionen.
Viel schlimmer ist die Tatsache, dass das Passwort immer sechs Ziffern lang sein muss und dabei die Zugangsnummer nicht änderbar ist.
Dem Comdirect Mitarbeiter hast du dann deine Online-Banking PIN doch in voller Länge durchgesagt, oder? Das ist eigentlich unsicherer als es über die Tastatur an das System einzugeben, weil es eine Möglichkeit besteht, dass ein unehrlicher Mitarbeiter sich die Daten aufschreibt.
Es ist auch etwas anderes, wenn du von jemanden angerufen bist und die Frage nach den Zugangsdaten hörst und wenn du bewusst eine Telefonnummer wählst und doch erwartest, mit der Bank sprechen zu können. Dieser Sache ist eigentlich nichts anzulasten, außer dass man vielleicht mindestens eine weitere Frage einbauen sollte, wie beispielsweise Nennung einer der letzten fünf Transaktionen.
Viel schlimmer ist die Tatsache, dass das Passwort immer sechs Ziffern lang sein muss und dabei die Zugangsnummer nicht änderbar ist.
So würde ich es mir bei der Comdirect auch wünschen.
Nein, ich habe mich über personenbezogene Daten legitimiert. Adresse, Geburtsdatum, Kartennummer, etc.
Interessant. Ich wusste nicht, dass das so geht. In der Vergangenheit war es so, dass ohne Zugangsdaten gar nichts bei Comdirect ging.
Da bei der Coba das Passwort aus Buchstaben und Ziffern bestehen kann/muss, dürfte das schon deutlich schwieriger sein.
Beitrag automatisch zusammengeführt:
Du meinst Passwörter bei der Codi, oder?
Bei der Coba haben die Passwörter nicht genau sechs Zeichen und sind auch nicht ich Ziffern beschränkt. Zudem kann man statt der Zugangsnummer einen selbstgewählten Benutzernamen vergeben.
Ja, ich meine bei der Codi, genau. Die Zugangsnummer sind genau acht Ziffer, die nicht änderbar sind.
Sodala, bei meiner besseren Hälfte kam heute ein Schreiben mit Bitte zur Zustimmung der neuen AGB UND PLV an. Geht um "Vorteile" des Girokontos. "Ohne [ihre] Zustimmung ändert sich für [sie] vorerst nichts." Da meine Freundin nicht "so oft" in ihre Konten schaut, und auch so nicht zustimmen wird, zähl ich mal die Tage, bis die Kündigung im Briefkasten landet.
Die gute alte Edith: @Robbens bezieht sich auf die Comdirect
Die gute alte Edith: @Robbens bezieht sich auf die Comdirect
Zuletzt bearbeitet:
Gehört nicht direkt zu CoBa/CoDi aber zum Gesamtkonzern. Nachdem ich mich schon seit ein paar Monaten von meinem onvista Depot trennen will, bin ich es diese Woche angegangen. Dort liegen derzeit drei ETF Positionen die zu einem anderen Anbieter umgezogen werden wollen. Ich habe den Rat von justETF befolgt und mir einen aktuellen Depotauszug und eine Transaktionsliste bestellt (damit man, falls etwas schief geht, Dokumente hat um das korrigieren zu lassen). Ich habe durchaus damit gerechnet, dass das etwas kostet. Die Höhe der Kosten hat mich aber in der Tat kalt erwischt. Für jedes Dokument wollte man 20 €. Kurze Recherche im eigenen Archiv ergab, dass es seit dem letzten Quartalsdepotauszug keine Veränderungen im Depot mehr gab. Dementsprechend würde das ausreichen. Habe also die Erstellung des Auszugs abgesagt und nur die Transaktionsliste angefordert und auch umgehend bekommen. Zwei Dinge stoßen mir hier besonders sauer auf.
1. Man hätte mir eiskalt 20 € berechnet obwohl der Depotauszug erst zum 30.06.2021 kostenlos von der Bank erstellt worden war und sich seither (wie auch die 3 Monate zuvor) nichts mehr am Depot verändert hatte. Der war aber zu dem Zeitpunkt noch nicht in der Postbox eingestellt.
2. Die Transaktionsliste, die ich erhalten habe, sieht nach stichprobenartiger Prüfung zwar korrekt aus, ist aber nichts weiter als ein billiger Export in ein Excel-Sheet. Keinerlei formale Bestätigung, dass es sich um eine von onvista generierte Liste handelt. Wie soll ich denn damit bitte bei meinem künftigen Broker Berichtigungen vornehmen lassen können falls es beim Depotübertrag etwas verspult, geschweige denn dem Finanzamt das nachweisen können? Und für diesen Schrott erdreistet man sich 20 € zu kassieren? Ich bin fassungslos...
Das Excel File kam noch nicht mal mit einer Dateiendung. Ich habe es auf gut Glück in Excel geöffnet.
So eine billige Übersicht hätte ich mir locker selbst aus Portfolio Performance exportieren können weil ich dort eh alle Transaktionen tracke. Ich wollte aber was mit offiziellem Charakter damit ich was in der Hand habe. Und jetzt? Nochmal schreiben, dass ich was offizielleres will?
Ich bin wirklich froh wenn ich von diesem Laden weg bin…
1. Man hätte mir eiskalt 20 € berechnet obwohl der Depotauszug erst zum 30.06.2021 kostenlos von der Bank erstellt worden war und sich seither (wie auch die 3 Monate zuvor) nichts mehr am Depot verändert hatte. Der war aber zu dem Zeitpunkt noch nicht in der Postbox eingestellt.
2. Die Transaktionsliste, die ich erhalten habe, sieht nach stichprobenartiger Prüfung zwar korrekt aus, ist aber nichts weiter als ein billiger Export in ein Excel-Sheet. Keinerlei formale Bestätigung, dass es sich um eine von onvista generierte Liste handelt. Wie soll ich denn damit bitte bei meinem künftigen Broker Berichtigungen vornehmen lassen können falls es beim Depotübertrag etwas verspult, geschweige denn dem Finanzamt das nachweisen können? Und für diesen Schrott erdreistet man sich 20 € zu kassieren? Ich bin fassungslos...
Das Excel File kam noch nicht mal mit einer Dateiendung. Ich habe es auf gut Glück in Excel geöffnet.
So eine billige Übersicht hätte ich mir locker selbst aus Portfolio Performance exportieren können weil ich dort eh alle Transaktionen tracke. Ich wollte aber was mit offiziellem Charakter damit ich was in der Hand habe. Und jetzt? Nochmal schreiben, dass ich was offizielleres will?
Ich bin wirklich froh wenn ich von diesem Laden weg bin…
ANZEIGE
![]()
Mit OnVista habe ich keine guten Erfahrungen. Die haben ewig für die Depotübertragung gebraucht und waren sehr schlecht erreichbar. Justtrade war aber noch schlimmer. Ich musste richtig drohen, bis sie dass Depot endlichen übertragen hatten. Bei Gratisbroker war ich sehr zufrieden, nur das Angebot war etwas klein, daher bin ich jetzt bei Smartbroker und kann mich bisher nicht beklagen.