Nach einem Update meines Homebanking-Programms konnte ich mich in selbiges nicht mehr einloggen. „Passwort falsch“ wurde mir bei jedem Versuch verkündet. Das konnte aber nicht sein, mein Passwort kommt ja – wie es sich gehört – aus einem Passwortmanager. Vertippen ist also keine Option. Auf eine Nachfrage bei der Bank meines Vertrauens erhielt ich folgende („anonymisierte“) Antwort:
In den Versionen von {PROGRAMMNAME}, welche kleiner als {PROGRAMMVERSION} sind, war das Kennwort auf 16 Zeichen begrenzt. Ab der Version {PROGRAMMVERSION} kann das Kennwort auf maximal 64 Zeichen erweitert werden.
Wurde diese Einschränkung nicht beachtet und Kennwörter mit mehr als 16 Zeichen vergeben, wurde leider nicht bemerkt, dass nur die ersten 16 Zeichen des Kennworts erfasst und für den Abgleich gespeichert wurden.
Beim ersten Einsatz der Version {PROGRAMMVERSION} sollten nur die ersten 16 Zeichen des Passworts eingegeben werden. Wird stattdessen das vollständige Passwort eingegeben, wird dieses als falsch abgelehnt, da die Vorgängerversionen < {PROGRAMMVERSION} nur die ersten 16 Zeichen als Kennwort gespeichert haben.Bitte geben Sie zunächst nur 16 Stellen des Kennworts ein. Danach kann das Kennwort von 16 Stellen auf maximal 64 Stellen geändert werden.
Eine schnelle und kompetente Antwort des Bankmitarbeiters, keine Frage. Fragen bleiben trotzdem. Es geht hier um mein Bankprogramm, da gehe ging ich davon aus, dass man sich Gedanken um die Sicherheit macht. Ich verwende einen Passwortmanager, um lange, einmalige und somit sicher Passwörter verwenden zu können, und die Bank verwendet dann nur die ersten 16 Zeichen davon? Außerdem konnte ich bei der Software das „falsche“ Passwort beliebig oft und ohne Zeitverzögerung eingeben. Hallo Brute Force! Immerhin verlangt man jetzt (neu!) bei neuen Passwörtern ein Sonderzeichen. Wohoo!
Man kann nur hoffen, dass die Jungs den Rest des Programms besser im Griff haben. Sicher bin ich mir da nicht mehr.