Hallo,

mit jeder neuen Zertifikatsdatei (egal ob durch Zugangserneuerung oder regulärer Verlängerung - alle 3 Jahre) muss ein Passwort neu gesetzt werden.

Ob du dabei seit 2012 immer das gleiche Passwort vergeben hast oder dir zwischendurch mal ein neues ausgedacht hast, weißt nur du.

Ich musste bei der letzten (oder vorletzten?) Verlängerung mein Passwort sogar zwingend ändern, da das, was ich seit Registrierung vor etwa 15 Jahren verwendet habe, nur sechstellig war und die Mindestlänge nun 10 Zeichen ist.

Stimmt, danke an die neue Passwortrichtlinie hab ich nicht gedacht. Dann besteht sogar ein Zwang das Passwort zu ändern.

Und ich gestehe, wann immer ich mich (noch, meistens arbeite ich mobil mit ElsterSecure) einlogge, fällt mir immer zuerst meine sechstellige numerische Pin ein (die ja dann irgendwann in Passwort umbenannt wurde). Vielleicht sollte der Fragesteller einfach in Betracht ziehen, dass der Computer schlichtweg Recht haben könnte. Abgesehen davon, dass der Digitalminister für Elster gar nicht zuständig ist, was ja schon unser allseits beliebter Steuerberater aus BW erfahren musste.

Gut zu wissen, bei mir ist es im Frühjahr auch wieder so weit - kann ich mir derweilen etwas ausdenken.

Gruß - Hans

Ich bild mir auch ein, dass diese Umstellung schon recht lang her ist, also eher länger als drei Jahre.

EDIT: Doch falsch! Charlie hat im Dezember 2023 noch geschrieben, dass das Passwort mindestens 6 Zeichen haben muss.

Wobei mein eigenes Passwort schon immer 10 Zeichen hatte, so dass ich es nie ändern musste und deshalb auch nicht weiß,

ab wann genau die Mindestlänge von 6 auf 10 Zeichen heraufgesetzt wurde.

#3: Das mit der Mindestlänge von 10 Zeichen verstehe ich vom Konzept her nicht. Es gibt Milliarden von Möglichkeiten, selbst wenn es nur Ziffern wären.

Bei der Elster SecureApp hingegen muss ich nur den 4-stelligen PIN-Code für den Sperrbildschirm meines Tablets eingeben, dass sind schlappe 10.000 Möglichkeiten. Dann kann ich auf dem Gerät Steuerformulare eingeben oder bearbeiten.

Für mich habe ich die SecureApp in "Elster RiscApp" umbenannt.

P.S.: Mein Passwort für die Anmeldung per Zertifikatsdatei ist ebenfalls noch 6-stellig. Dieses Jahr muss ich verlängern.

>>>>> Und ist es nicht wie man will - so muß man halt wollen wie es ist. <<<<<

Hoffentlich gehen dann wenigstens auch die Sonderzeichen - bei meiner Erst-Registrierung gingen für die sechs Zeichen nur Groß-Klein, Zahlen und Buchstaben.

Gruß - Hans

Früher waren nur bestimmte Sonderzeichen erlaubt. Das ist möglicherweise bis heute so.

Die PIN der App kann man nur auf dem Handy eingeben. Ich könnte mir vorstellen, dass die Versuche nach einer gewissen Fehlversuchszahl erst nach einer gewissen Wartezeit und ggfs. irgendwann gar nicht mehr möglich sind. Außerdem ist ein App auf einem modernen Smartphone sehr gut geschützt durch zusätzliche Sperren. In der Regel muss man sein Handy erst entsperren um überhaupt auf die App zugreifen zu können.

Bei einer PFX-Datei ist das anders - hier sind echte Offline-Angriffe möglich. Auf einem Windows-Rechner ist die Datei sehr viel schlechter geschützt als auf einem Smartphone. Wenn dir die Datei entwendet wird, kann man mit geeigneten Tools und der richtigen Hardware sehr viele Versuche pro Minute durchführen. Bei wenigen Zeichen Passwortlänge sind Brute-Force-Angriffe dann in relativ kurzer Zeit erfolgreich.
Brute-Force-Tools nutzen geleakte Passwortlisten und Statistik. Sie probieren erst bekannte Passwörter (die geleakten Listen) und davon als erstes die am häufigsten genutzten.
Bei PFX-Dateien werden sie wohl mit "1234567890" oder "123456" anfangen...

Fazit: Die gewählten Limits sind schon sinnvoll - bei der PFX-Datei eher zu gering.

Im Fall von ElsterSecure sogar definitiv, da die App sich nur verwenden lässt wenn eine Displaysperre auf dem Smartphone/Tablet eingerichtet ist (PIN, Fingerabdruck oder anderes). Das ist eine zwingende Sicherheitseinstellung von ElsterSecure.

Das ist richtig. Aber wie in #9 ausgeführt, wird mit dem Pin-Code meiner Displaysperre auch die App geöffnet, ohne zusätzliche Sperren. Das finde ich im Vergleich zu einem 10-stelligen Passwort eher wenig.

Ja, hier ist das wesentliche Sicherheitsmerkmal das Gerät, auf dem die App installiert ist, das geknackt werden muss. Eine verlorene Zertifikatsdatei kann hingegen völlig offline auf einer Serverfarm geknackt werden, reines Numbercunching, der ewige Wettlauf zwischen Bittiefe der Verschlüsselung und Rechenleistung.