it-swarm.com.de

Können Benutzer einen Passwort-Manager verwenden, wenn Banken ihnen sagen, dass sie niemals Passwörter aufschreiben sollen?

Stellen Sie sich einen Benutzer vor, der einen Kennwortmanager für seine Bankkennwörter verwenden möchte. Ratschläge von Banken besagen normalerweise, dass sie ihr Passwort niemals aufschreiben sollten. Der Benutzer wäre besorgt, gegen diesen Rat zu verstoßen, da dies bedeuten könnte, dass seine Bank die Haftung für Betrug auf seinem Konto ablehnen würde.

Können sie einen Passwort-Manager verwenden? Gilt das Speichern des verschlüsselten Passworts als Aufschreiben?

Dies ist eine rechtliche und politische Frage. Ich bin mir bereits der technischen Risiken und Vorteile der Verwendung eines Passwort-Managers bewusst. Die Antworten können länderspezifisch (und sogar bankspezifisch) sein. Ich bin in Großbritannien, aber ich interessiere mich für Antworten von überall auf der Welt.

50
paj28

Ich bin Anwalt in Deutschland. Hier sind die Sonderbedingungen zwischen Kunde und Bank Vertragsbestandteil. Es handelt sich also um eine Klausel in diesen Sonderbedingungen, die die Verwendung eines Passwort-Managers verbietet.

Ich bin auf die Seite meiner Bank gegangen, habe die Bedingungen gezeichnet und es heißt, der Kunde darf das Passwort nicht auf seinem PC speichern.

Diese Klausel verbietet es also, mein pw auf dem PC zu speichern. Die Frage ist, speichere ich das Passwort wirklich im Passwort-Manager oder "speichere" ich so etwas wie 23%%4l5ksa0ß90ßv9w6&!? Und ist das eine gesetzliche Klausel?

Ich freue mich über Ihre Frage!


Edit: Wie löse ich das Problem? - As pai28 fragt. Ich bin mir nicht einmal sicher, ob die Leute, die diese Bedingungen geschrieben haben, sich der Fortschritte bewusst sind, die wir als Benutzer in den letzten Jahren gemacht haben. Wir verwenden pw-Manager, weil eine Online-Existenz ohne nicht möglich ist.

Daher sollte die Klausel geändert werden: Der Kunde darf das Passwort nicht unverschlüsselt auf einem IT-Gerät speichern. Oder so ähnlich.

Ich werde an den Verband meiner Bank schreiben und fragen. Wenn ich jemals eine ernsthafte Antwort bekomme (nicht blabla, lieber Kunde, den wir sehr schätzen, aber viel Komplizenschaft ...), werde ich über das Ergebnis berichten.


Schließlich ! Das Speichern verschlüsselter Passwörter ist in Ordnung (2019!)

Im Juni 2019 erhielt ich neue Geschäftsbedingungen von meiner Bank und eine der Klauseln besagt, dass der Kunde der Bank (= ich) die Authentifizierungsgeheimnisse nicht ungesichert speichern darf auf meinem Computer. Das Speichern von Passwörtern, Transaktionsnummern und was auch immer mit einem Passwort-Manager oder einer Verschlüsselung ist in Ordnung!

Die Bank (eine "Volksbank" in Deutschland) kümmert sich nachweislich um die Verschlüsselung des Kunden. Sie boten sogar gpg-verschlüsselte E-Mails an, was ich sehr schätzte. Es ist eine lokale Bank und ich werde sie nicht gegen eine internetbasierte Bank tauschen.

19
Keks Dose

Ich bin kein Laie, aber ein richtig aufgebauter Passwort-Manager speichert Passwörter ungefähr so ​​sicher wie jedes moderne Bankensystem.

Ich kann nicht mit der Rechtmäßigkeit der Verwendung eines Passwort-Managers sprechen, aber ich kann sagen, dass auf philosophischer Ebene überall dort, wo ein persönlich bereitgestelltes Passwort als Identifikation akzeptabel ist, ein (ordnungsgemäß konstruiertes) Passwort für den Passwort-Manager akzeptabel ist.

(Bearbeiten : Das Hinzufügen eines Passworts zu einem ordnungsgemäß erstellten Passwort-Manager entspricht nicht dem einfachen Aufschreiben.)

31

Ich habe noch nie davon gehört, daher kann ich nicht sicher sagen, aber ich würde vermuten, dass die ursprüngliche Prämisse fehlerhaft ist: Ich glaube nicht, dass eine Bank eine Richtlinie haben würde, die besagt, dass sie Ihr Konto nicht gegen Betrug versichern wird, wenn Sie Ihr Konto speichern Passwort irgendwo außerhalb Ihres eigenen Kopfes. Um diese Regel durchzusetzen, müssten Kennwörter leicht zu merken und folglich leicht zu erraten sein. Die sichersten Passwörter sind lange zufällige Zeichenfolgen, die die meisten Menschen notieren oder irgendwo speichern müssten. Die Bank kann Ihnen "raten", Ihr Passwort nicht auf ein Blatt Papier zu schreiben, auf dem andere es sehen können. Wenn Sie jedoch aufgefordert werden, es nirgendwo aufzuzeichnen, wird die Sicherheit verringert und nicht verbessert. Natürlich müsste ich die Bedingungen der jeweiligen Bank lesen, um sicher zu sein.

Darüber hinaus erscheint es für eine Bank sinnlos, eine solche Regel zu haben, weil man immer lügen und sagen kann, man habe sie nirgendwo gespeichert. Es wäre eine fast nicht durchsetzbare Regel.

Bearbeiten: Trotz allem, was ich denke, ist hier eine Bank, die die Regel hat, auf die Sie sich beziehen, obwohl sie etwas vage ist: http://www.amp.com.au/accountacessandoperatingconditions (Siehe Seite 7) . Das kurze daran ist: "Memory Aids" sind erlaubt, aber Sie müssen "angemessene" Maßnahmen ergreifen, um sicherzustellen, dass sie nicht beeinträchtigt werden. Ich würde das so interpretieren, dass ein verschlüsselter Passwort-Manager mehr als ausreichend ist.

16
TTT

Nun, in diesem Rat geht es eher um "Geben Sie Ihr Passwort nirgendwo ein". Wie anders angegeben, handelt es sich hierbei um eine rechtliche Erklärung, die die Ärsche der Bank abdecken soll, falls das Passwort gestohlen wird.

Im Sinne eines Passwort-Managers ist es eigentlich nichts anderes, als Ihr Passwort in ein Buch zu schreiben und es in einem Safe aufzubewahren.

Wenn jemand den Schlüssel für Ihren Safe finden, ihn öffnen, Ihr Passwort im Buch finden und damit Ihr Bankkonto leeren sollte, kann die Bank zu diesem Zeitpunkt nicht haftbar gemacht werden, da Sie daran schuld waren, dass er verfügbar war .
Im gleichen Sinne ist Ihr Passwort-Manager der Safe. Für den Fall, dass es jemandem gelingt, die Sicherheit Ihres Passwort-Managers zu verletzen, haften alle Informationen, die dieser Passwort-Manager erhalten kann, weiterhin für die Person , die die Informationen dort abgelegt hat .

tl; dr: Ich muss sagen nein, im rechtlichen Sinne wäre es egal, welche Art von abergläubischem Schutz Sie verwenden, Sie haben Ihr Passwort immer noch so aufgeschrieben, dass es kann abgerufen werden.

3
user41341

Das Speichern des Kennworts in einem anständigen Kennwortmanager ist wahrscheinlich sicherer als die Methode, die die meisten Benutzer der Richtlinie verwenden.

Es kann sein, dass ein typischer Kennwortmanager gegen das Wort der Richtlinie verstößt, aber wahrscheinlich nicht gegen den Geist der Richtlinie, da der Kennwortmanager sicherer ist. Was dies im konkreten Fall bedeutet, ist eine Frage für einen Anwalt - nicht für einen Sicherheitsexperten.

Das Speichern einer verschlüsselten Version des Kennworts ist der naheliegendste Weg, um einen Kennwortmanager zu implementieren, aber nicht der einzige. Ein Passwort-Manager muss das Passwort nicht unbedingt speichern.

Ein Passwort-Manager könnte Passwörter basierend auf den folgenden Eingaben generieren:

  • Master Passwort
  • Name der Site, für die das Passwort bestimmt ist
  • In welchem ​​Monat wurde das Passwort generiert?
  • Was ist die Passwortrichtlinie der Site?

Wenn Sie alle oben genannten Elemente als Startwert für ein PRNG] eingeben und damit ein einheitlich zufälliges Kennwort unter allen von der Richtlinie zugelassenen Kennwörtern generieren, sollte das Kennwort genauso sicher sein Sie müssen nur Informationen speichern, wenn das Kennwort erstellt wurde, sowie einige Informationen, die nicht geheim sind.

Der eigentliche Zweck eines solchen Ansatzes besteht darin, den Verlust von Passwörtern aufgrund fehlender Sicherungen zu vermeiden. Als Nebeneffekt würde es jedoch Richtlinien umgehen, die das Speichern des Kennworts nicht zulassen.

1
kasperd

Es ist eine technische Angelegenheit, aber wenn ich mein Passwort in eine Website eingebe, kann der Browser ein Passwort-Manager sein. Wenn Sie daher aufgefordert werden, Ihr Passwort niemals aufzuschreiben und einen Passwort-Manager einzuschließen, verstößt die Eingabe in einen Browser gegen die Bestimmungen. Da Sie nun die "Website" verwenden müssen, deren primäres Zugriffsmittel ein Browser ist, werden Sie gezwungen, gegen die Nutzungsbedingungen zu verstoßen.

An diesem Punkt stellt sich wirklich die Frage, ob Sie gezwungen werden, einen Passwort-Manager zu verwenden. Können sie sagen, dass Sie gegen die Nutzungsbedingungen verstoßen haben?

nur weil etwas in den Nutzungsbedingungen enthalten ist, heißt das nicht, dass es aufrechterhalten werden kann, wenn es nicht angemessen ist siehe hier und hier

1
Jdahern

In vielen Fällen ist es kein Ratschlag, dass Banken in ihren Allgemeinen Geschäftsbedingungen festlegen, dass Benutzer ihre Passwörter nicht aufschreiben oder in irgendeiner Weise preisgeben oder jeglichen Kredit- und Zahlungsschutz verlieren. Das Eingestehen eines Passwort-Managers wäre daher eine schlechte Idee, da Banken dies als Ausrede benutzen könnten, um nicht zu helfen.

Können Benutzer weiterhin Passwort-Manager verwenden? Sicher, solange sie daran denken, es nicht zu erwähnen, wenn das Schlimmste passiert. Die Sache ist, die meisten Leute haben nur eine Bank, also ein Passwort - warum sollten sie dafür einen Passwort-Manager benötigen?

1
GdD

Banken würden raten, Ihr Passwort nicht aufzuschreiben, da es jedem zugänglich wäre, der in der Lage ist, das Notizbuch/Papier/die Notiz in die Hände zu bekommen, mit dem Sie es aufgeschrieben und gelesen haben. In Analogie würde die Verwendung des Passwort-Managers das Passwort für jeden zugänglich machen, der in der Lage ist, das Gerät mit dem Passwort-Manager zu verwenden und zu wissen, wie man es verwendet (was ich als zugängliche Fähigkeit wie Lesen bezeichnen würde).

Sollten Sie den Passwort-Manager verwenden und wie sicher ist er? Nun, es kommt hauptsächlich auf Ihre persönliche Kultur an, den Zugriff auf Ihren Computer und die allgemeine Sicherheit des Systems zu regeln. Wenn Sie nicht zulassen, dass Fremde Ihren Computer verwenden, ein Benutzerkontokennwort und ein Hauptkennwort für den Kennwortmanager haben, sehe ich kein Problem bei der Verwendung des Kennwortmanagers. Es ist nicht sicherer, als sich Ihr Passwort auf irgendeine Weise zu merken, aber falls ein unbefugter Zugriff auf Ihr Konto aufgrund einer Nutzung des Passwort-Managers durch jemanden erfolgen sollte, werden die meisten Banken (oder zumindest diejenigen, mit denen ich zufällig zusammengearbeitet habe) nicht einfach ganz setzen Schuld an Ihnen und würde helfen, Schaden zu beheben, insbesondere wenn Sie nachweisen könnten, dass Ihr Passwort nicht leicht zugänglich ist und Sie die erforderlichen Vorsichtsmaßnahmen getroffen haben.

1
JagdCrab

Nach meiner Erfahrung übernehmen Banken in den USA kaum oder gar keine Verantwortung für Betrug aufgrund eines gestohlenen Passworts. In den Nutzungsbedingungen ist es in der Regel richtig, dass Sie für jeden verantwortlich sind, der mit Ihren Anmeldeinformationen auf Ihr Konto zugreift. Deshalb raten sie Ihnen, sie nicht aufzuschreiben. Sie können Ihnen je nach den Umständen helfen, aber ich bin mir ziemlich sicher, dass sie nicht dazu verpflichtet sind.

Abgesehen davon verwende ich ständig ein Passwortspeicher-Tool (1Password) und bin sehr zufrieden mit dem Sicherheitsniveau, das es mir bietet, um meine über 800 Passwörter sicher zu halten. (Offensichtlich sind das nicht alle Bankkennwörter ... ;-) Außerdem wird jeder Eintrag in einer eigenen Datei gespeichert, um eine einfache und schnelle Synchronisierung mit Dropbox oder ähnlichen Cloud-Sharing-Diensten zu ermöglichen.

Der einzige Schutz, den Banken normalerweise garantieren, ist Kreditkartenbetrug (oder natürlich regelrechter Diebstahl, wie bei einem Banküberfall).

0
MrWonderful