Ich habe mir nun das dritte mal neue Zugangsdaten für Rechnug Online zuschicken lassen und bin wieder an der gleichen Stelle gescheitert.

Nachdem ich neue Zugangsdaten per Post erhalten habe, logge ich mich mit dem zugeschickten Passwort ein, was auch erfolgreich funktioniert. Bei der Aufforderung zum Setzen eines neuen Passwortes, füge ich ein min. 20-stelliges generiertes Passwort aus meinem Passwortmanager ein. (Ich habe nach jedem Reset ein anderes Passwort probiert. Das erst hatte 30 Zeichen, jetzt bin ich schon auf 20 runtergegangen.) - Das System gibt mir eine Meldung über die erfolgreiche Änderung meiner Daten.

Um den die erfolgreiche Änderung des Passworts zu testen, logge ich mich aus und erneut mit dem neu gesetzten Passwort ein. Ab dann kommt die Fehlermeldung: "Bitte beachten Sie: Die eingegebene Kombination von Username und Password ist nicht möglich."

Außerdem gibt es noch die Nachricht:

Der Username oder das Password waren nicht korrekt.
Nach drei fehlerhaften Einlogversuchen wird das Benutzerkonto zu Ihrer Sicherheit gesperrt.

Beim ersten Mal habe ich noch gedacht, dass ich wohl einen Fehler gemacht habe und mich über die Praxis gewundert, nach 3 fehlerhaften Logins den Account zu sperren, wenn eine Wiederherstellung nur per Post möglich ist. - Das ist wirklich echte Worst-Case-Usability. Und ich kann nur ein paar Rechnungen runterladen. Da ist das Kundencenter komfortabler geschützt, ebeso wie fast jede Bank.

Beim zweiten Mal dachte ich schon nicht mehr, dass der Fehler bei mir liegt. Inzwischen bin ich fest überhzeugt, dass euer System hier eine Macke hat.

Scheinbar wird das generierte Passwort nicht korrekt angenommen (bspw. weil es zu lang ist) und vom System abgeschnitten. Dann müsste ich mich mit einer kürzeren Variante meines Passwortes einloggen können. Leider bei lediglich 3 Eingabeversuchen udn nur eine Passwortänderung pro Woche ein hoffnungsloses Unterfangen mit Trial and Error.

Ich würde euch dahier bitten hier aktiv zu werden. Ich benötige zuverlässigen Zugriff auf meine Rechnungen. Die Gängelung aus übertriebenen Sicherheitsmaßnahmen heraus, solltet ihr dringend abschalten. Zuschicken per Post ist ein Unding und sollte dringend durch Alternativen zur Wiederherstellung ergänzt werden. Und ihr solltet die 3 fehlerhaften Logins auf 20, 30 oder gern auch 100 hochsetzen. Das schließt einen Brute-Force Angriff durch einen Bot trotzdem wirksam aus. Bei 220 Bio (sic!) möglichen Kombinationen eines 8-stelligen Passworts mit Klein- und Großbuchstaben, sowie Ziffern, hat ein Angreifer bei 100 möglichen Versuchen eine Chance von 0,000.000.000.045 % - Ehrlich, da ist ein Lottogewinn fast wahrscheinlicher und die zwei Größenordnungen von 3 bis 100 versuchen machen den Kohl echt nicht fett. Ihr solltet nur keine 5-stelligen Passwörter zulassen, das ist alles.

Selbst ein 6-stelliges hat 56.800.235.584 mögliche Kombinationen an Buchstaben und Zahlen. Selbst da sind 100 Versuche 0,000.000.17 % Wahrscheinlichkeit für einen Treffer, was im Web immer noch eine harte Nuss ist. - Ich kann ja keinen Angriff auf einem lokalen Computer duchführen, bei dem ich vielleicht 2 Mrd. Passwörter pro Sekunde testen könnte. Ich muss einen Angriff über HTTP ausführen, bei dem ich schon bei 100 Passwörtern pro Sekunde scheitern dürfte.

Ach ja, falls sich jemand fragt, warum ich das so ausführlich behandle: Ich habe es schon kürzer per Twitter behandelt: https://twitter.com/dave_mecha/status/1060214660639678469 - Eure Antwort war: "Das ist leider die übliche Vorgehensweise bei unserem System um Missbrauch zu verhindern." - Es gibt nach meiner Erfahrung heraus weder aus sicherheitstechnischer, noch aus juristischer oder praktischer Sicht nichts, was für diese Implementierung spricht. Da ein Bug die Nutzung verhindert ist das besonders ärgerlich.

Bitte helft mir, damit ich eine Rechnungen pünktlich herunterladen kann.

Vielen Dank,

Dave