Nach oben

Frage beantwortet

Neue Sicherheitsabfrage beim Login?

Als ich mich eben auf bahn.de einloggen wollte, musste ich mich erst durch irgendwelche Bildchen mit Booten und LKWs klicken.
Weiß jemand mehr über diese 'Sicherheitsabfrage'? Ich finde das extrem lästig.

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte
Diese Antwort wurde als beste Antwort ausgewählt
Elementarteilchen
Elementarteilchen

Elementarteilchen

Ebene
4
5000 / 5000
Punkte

Captchas sind definitiv die beste Möglichkeit, um die Kunden zu vergraulen, vor den Kopf zu stoßen, und sie nicht ernst zu nehmen.

Viele Captchas funktionieren auch nicht wirklich, auch wenn die Anbieter das versprechen.

Bei denen von Google hat man eher das Gefühl, dass die nur dazu dienen, Google noch mehr Daten über die User zu geben. Denn nur wer sich Google völlig öffnet (in dem er schon bei Google angemeldet ist, so das Google schon 100%ig den Nutzer identifizieren kann) kommt man ohne Probleme über die Captcha-Hürde. Ansonsten kann man so genau wie möglich Ampeln, Fahrzeuge, Hydranten usw. anklicken, Google schickt dennoch immer mehr Captchas hinterher, die man zusätzlich beantworten muss. Und es dauert ewig oder klappt gar nicht. Speziell wenn Google anfängt stark verrauschte Bilder zu zeigen, frage ich mich immer, soll ich nur die anklicken, auf denen eindeutig Autos zu erkennen sind, oder wo ein Pixelhaufen nicht als Auto erkennbar ist, aber man weiß, dass das nur ein Auto sein kann (die Erfahrung zeigt, ist vermutlich egal, denn es klappt in beiden Fällen nicht)

Bei anderen Anbietern, wie bei dem den die Bahn aktuell nutzt, sind die Fotos so deutlich zu erkennen (zumindest in den bisher präsentierten Fällen), dass ein Bot es einfach hat, diese Captchas zu überwinden (jedes billige Handy kann heute schon Flugzeuge, Schiffe in Fotos erkennen), so dass die zwar auch für Menschen lösbar sind, aber komplett sinnlos, weil eben auch kein Schutz vor Bots vorhanden ist. Schlimmer bei den Bahn-Captchas ist aber die Situation für sehbehinderte und Blinde, die sich erst mal ein Konto des captcha-Anbieters anlegen müssen, und sich (außerhalb der Bahnseite) regelmäßig dort anmelden müssen, um passende Cookies zu bekommen, um diese captchas lösen zu können. Das untergräbt jeden Versuch, die eigene Privatsphäre zu kontrollieren.

Abgesehen davon finde ich die Aussage „ich habe keine Probleme die Bilder zu erkennen“ der DB-Moderatoren hier etwas daneben, denn nicht jeder hat gute Augen. Gerade wenn man älter wird wird die Sicht in der Nähe schlechter, man braucht eine Lesebrille, usw. und gerade unterwegs im Zug oder Bahnhof mit viel Gepäck auf das man aufpassen muss, ist es dann ein Problem, wenn man dann auch noch winzige Bildchen auf dem Bildschirm erkennen muss, in ungültigen Lichtverhältnissen (Sonne knallt aufs Display) usw.

Fazit: Captchas sind DIE PEST. Die funktionieren einigermaßen, wenn man völlig auf Privatsphäre verzichtet und gute Augen hat, je mehr man im Netz auf Privatsphäre und Sicherheit achtet, oder je älter man wird, desto problematischer werden Captchas.

D.h. Wenn ihr eure Kunden nicht vergraulen und verärgern wollt, verzichtet auf dieses Unsinn.

Eine gute und tatsächlich sichere und funktionierende Lösung gegen Bots wäre eine 2-Faktor Autorisierung. Falls Bots überhaupt ein Problem sind. Beim Login sollten Bots eigentlich kein Problem darstellen, wenn man korrekterweise mehrere fehlgeschlagene Loginversuche mit einer immer größer werdenden „Zeitstrafe“ ahndet. Dann kann ein Bot schlicht nicht mehr tausende Passwörter in 1 Sekunde durchprobieren, wenn nach dem dritten Fehlversuch erst mal eine Wartezeit von einigen Minuten, und bei weiteren Fehlversuchen die Wartezeit auf Stunden hoch gesetzt wird.

Fanden Sie diese Antwort hilfreich?

Nein (3)

Ja (2)

40%

40% der Personen fanden diese Antwort hilfreich

Weitere Antworten

kabo
kabo

kabo

Ebene
4
5000 / 5000
Punkte

Ich dachte diese Captchas wären schon längst out ...

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Naja, wir reden hier über die Hochdruck-Abteilung. Da ist jetzt wahrscheinlich "in", was woanders längst "out" ist...

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Und hat jemand eine Idee, warum das zum jetzigen Zeitpunkt benötigt wird?

DB
DB

DB

Ebene
4
5000 / 5000
Punkte
Team

Hallo. Mit dem gestrigen bahn.de-Release wurde hCaptcha eingeführt. Dies dient zur Sicherheit Ihrer bahn.de-Kundenkonten, damit zum Beispiel keine Bots sich Zugriff verschaffen. Viele Grüße /ch

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Es ist Mist und erschwert das Einloggen auf mobilen Endgeräten.

DB
DB

DB

Ebene
4
5000 / 5000
Punkte
Team

Was konkret klappt in der mobilen Ansicht nicht, Benutzerin? Ich konnte mich über den mobilen Browser einmalig auf bahn.de anmelden, habe alle Autobusse angeklickt und wurde angemeldet. /ch

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Auf einem kleinen Display (z.B. Smartphone) sind das winzige Bildchen mit irgendwelchem Gewimmel drauf, kaum zu identifizieren. Wenn dann auch noch die Lichtverhältnisse zu wünschen übrig lassen, kann man es definitiv vergessen.
Eine wirklich ganz ganz schlechte Idee und Umsetzung.

DB
DB

DB

Ebene
4
5000 / 5000
Punkte
Team

Wie groß ist das Display Ihres mobilen Endgeräts und was für ein Endgerät nutzen Sie? /ch

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Gerade: Tablet mit ca. 17 cm Bildschirmdiagonale. Smartphone ist nochmal deutlich kleiner.
Wenn man nicht mehr optimal sieht: keine Chance.

DB
DB

DB

Ebene
4
5000 / 5000
Punkte
Team

Beim Tablet sehe ich gar kein Problem. Was für ein Smartphone ist es genau? /ch

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Das ist ja schön, dass Sie da 'gar kein Problem' sehen. Ich seh das Problem aber schon bzw. habe es. Und zwar bereits auf dem Tablet.

maverick1411
maverick1411

maverick1411

Ebene
4
5000 / 5000
Punkte

Wozu musste man vor einiger Zeit die Sicherheitsfragen anlegen?
Die sind wesentlich einfacher als diese Bilderrätsel.

Und ja, die Eingabe über ein Smartphone ist deutlich schwerer als über euren PC.

Leo
Leo

Leo

Ebene
4
5000 / 5000
Punkte

"Was konkret klappt in der mobilen Ansicht nicht, Benutzerin? Ich konnte mich über den mobilen Browser einmalig auf bahn.de anmelden, habe alle Autobusse angeklickt und wurde angemeldet. /ch"

Autobusse sind ja auch auf dem Smartphone noch groß genug - aber z. B. Ampeln, teilweise von hinten. Und wenn dann auch das Zoomen nicht klappt....

DB
DB

DB

Ebene
4
5000 / 5000
Punkte
Team

Danke Leo für die Ergänzung. Ich nehme das mit. /ch

Elementarteilchen
Elementarteilchen

Elementarteilchen

Ebene
4
5000 / 5000
Punkte

Captchas sind definitiv die beste Möglichkeit, um die Kunden zu vergraulen, vor den Kopf zu stoßen, und sie nicht ernst zu nehmen.

Viele Captchas funktionieren auch nicht wirklich, auch wenn die Anbieter das versprechen.

Bei denen von Google hat man eher das Gefühl, dass die nur dazu dienen, Google noch mehr Daten über die User zu geben. Denn nur wer sich Google völlig öffnet (in dem er schon bei Google angemeldet ist, so das Google schon 100%ig den Nutzer identifizieren kann) kommt man ohne Probleme über die Captcha-Hürde. Ansonsten kann man so genau wie möglich Ampeln, Fahrzeuge, Hydranten usw. anklicken, Google schickt dennoch immer mehr Captchas hinterher, die man zusätzlich beantworten muss. Und es dauert ewig oder klappt gar nicht. Speziell wenn Google anfängt stark verrauschte Bilder zu zeigen, frage ich mich immer, soll ich nur die anklicken, auf denen eindeutig Autos zu erkennen sind, oder wo ein Pixelhaufen nicht als Auto erkennbar ist, aber man weiß, dass das nur ein Auto sein kann (die Erfahrung zeigt, ist vermutlich egal, denn es klappt in beiden Fällen nicht)

Bei anderen Anbietern, wie bei dem den die Bahn aktuell nutzt, sind die Fotos so deutlich zu erkennen (zumindest in den bisher präsentierten Fällen), dass ein Bot es einfach hat, diese Captchas zu überwinden (jedes billige Handy kann heute schon Flugzeuge, Schiffe in Fotos erkennen), so dass die zwar auch für Menschen lösbar sind, aber komplett sinnlos, weil eben auch kein Schutz vor Bots vorhanden ist. Schlimmer bei den Bahn-Captchas ist aber die Situation für sehbehinderte und Blinde, die sich erst mal ein Konto des captcha-Anbieters anlegen müssen, und sich (außerhalb der Bahnseite) regelmäßig dort anmelden müssen, um passende Cookies zu bekommen, um diese captchas lösen zu können. Das untergräbt jeden Versuch, die eigene Privatsphäre zu kontrollieren.

Abgesehen davon finde ich die Aussage „ich habe keine Probleme die Bilder zu erkennen“ der DB-Moderatoren hier etwas daneben, denn nicht jeder hat gute Augen. Gerade wenn man älter wird wird die Sicht in der Nähe schlechter, man braucht eine Lesebrille, usw. und gerade unterwegs im Zug oder Bahnhof mit viel Gepäck auf das man aufpassen muss, ist es dann ein Problem, wenn man dann auch noch winzige Bildchen auf dem Bildschirm erkennen muss, in ungültigen Lichtverhältnissen (Sonne knallt aufs Display) usw.

Fazit: Captchas sind DIE PEST. Die funktionieren einigermaßen, wenn man völlig auf Privatsphäre verzichtet und gute Augen hat, je mehr man im Netz auf Privatsphäre und Sicherheit achtet, oder je älter man wird, desto problematischer werden Captchas.

D.h. Wenn ihr eure Kunden nicht vergraulen und verärgern wollt, verzichtet auf dieses Unsinn.

Eine gute und tatsächlich sichere und funktionierende Lösung gegen Bots wäre eine 2-Faktor Autorisierung. Falls Bots überhaupt ein Problem sind. Beim Login sollten Bots eigentlich kein Problem darstellen, wenn man korrekterweise mehrere fehlgeschlagene Loginversuche mit einer immer größer werdenden „Zeitstrafe“ ahndet. Dann kann ein Bot schlicht nicht mehr tausende Passwörter in 1 Sekunde durchprobieren, wenn nach dem dritten Fehlversuch erst mal eine Wartezeit von einigen Minuten, und bei weiteren Fehlversuchen die Wartezeit auf Stunden hoch gesetzt wird.

Verkehrsvermeidung
Verkehrsvermeidung

Verkehrsvermeidung

Ebene
0
92 / 100
Punkte

Ich sollte Flugzeuge wählen, dabei habe ich doch mit Absicht die Bahn gewählt.

Der größte Schrott aller Zeiten. Wer denkt sich sowas aus. Und wenn jemand schreibt, dass auf dem Handy kaum was zu erkennen ist, dann fragt die DB nach dem Handymodell. Wenn nichts zu erkennen ist, dann ist nichts zu erkennen.

kabo
kabo

kabo

Ebene
4
5000 / 5000
Punkte

Auf einem Handy mit 4-Zoll-Display ist es echt grenzwertig. Da müssen schon gute Lichtverhältnisse herrschen. Denn die zu erkennenden Bilder sind halt wenig kontrastreich. (Müssen sie, sonst könnte sie ja auch ein Bot erkennen.)

Wenn schon Captcha, dann hätte ich jetzt etwas erwartet, das zumindest Bahnbezug hat.
Aber dass ausgerechnet ein Bahnunternehmen Captchas einsetzt, bei denen man Flugzeuge, Autos, Motorräder, Busse und Ampeln, aber niemals Züge erkennen muss, hat schon was von Realsatire. Finde nur ich das peinlich?

@ kabo
Immer nur "Zug oder nicht Zug" wäre aber für die Bots auf Dauer wohl zu einfach. Man könnte daher eine Auswahl solcher Bilder zeigen: https://www.sbb.ch/de/bahnhof-services/waehrend-der-reise... und die Aufgabe stellen: Wähle alle Fernverkehrszüge aus! :-)

@kabo "hat schon was von Realsatire. Finde nur ich das peinlich?"

Mich hätte es, ehrlich gesagt, eher im umgekehrten Fall gewundert, dass/wenn sich die Bahn unternehmensspezifische Captchas leistet... Als gäbe es nicht genug andere IT-Baustellen, wo Geld investiert werden sollte und müsste - aber doch nicht in DB-Captchas... Ob ich nun pixelige Fahrräder (wie gerade eben) oder Bilder mit Hydranten oder Ampeln oder Autos anklicke, ist mir echt schnuppe. Nervig bleibt es so oder so.

.

@Neptun "Wähle alle Fernverkehrszüge aus!"

Jetzt wirste komisch... ;)

kabo
kabo

kabo

Ebene
4
5000 / 5000
Punkte

Och - ein bahnspezifisches Captcha wäre schon schick gewesen.

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Sieht gerade so aus, als wäre der Firlefanz wieder verschwunden...

kabo
kabo

kabo

Ebene
4
5000 / 5000
Punkte

Vielleicht kommt ja ein bahnspezifisches Captcha - mit dem kleinen ICE zum Beispiel ...

maverick1411
maverick1411

maverick1411

Ebene
4
5000 / 5000
Punkte

Ich hoffe, dass sie das nicht machen. Denn als sie die Sicherheitsfragen eingeführt haben, wurde dies auch mit dem Schutz des Kontos begründet.

Ich glaube keiner möchte 20x irgendwas bestätigen bis er/sie endlich in seinen/ihren Kontoaccount kommt.

SecurityFreak
SecurityFreak

SecurityFreak

Ebene
0
11 / 100
Punkte

Die momentan als "beste Antwort" ausgewählte Antwort stimmt so nicht ganz. Übliche Angriffe auf Konten die mit Captchas abgewehrt werden sind Password Spraying oder Credential Stuffing. Dabei werden aus vergangenen Hacks bekannte User/Passwort-Kombinationen bei anderen Services ausprobiert bzw. bekannt schwache Passworte mit Accounts ein oder wenige Male probiert. So etwas kann sehr wohl durch ein Captcha verhindert werden. Zwei-Faktor-Authentifizierung bringt da nichts, man kann davon ausgehen, dass Leute die überall die gleichen Passworte verwenden das auch nicht aktivieren würden. Und es würde immer freiwillig bleiben, meine Omma kriegt man da nicht zu.

Captchas können auch sehr wohl datenschutzkonform betrieben werden. Einmal kurz im Netz suchen zeigt, dass hcaptcha DSGVO-konform zu sein scheint, Google Recaptcha ist das nicht.

Und das von dem anderen User in der "besten Antwort" erwähnte Tarpitting (also bei Falscheingabe immer langsamer werden) bringt bei Password Spraying oder Credential Stuffing gar nichts, denn da wird pro Account im Zweifelsfall nur einmal probiert. Gibt dann also keine Verzögerung.