Kurioser Kennwort-Fehler in windata 9.2.0.5 Banking-Software

Blog-Leser Stefan hat mich Anfang der Woche über einen kuriosen Fehler in der Banking-Software windata informiert, der ihm beim Internet-Banking etwas ausgebremst hat. Der Fehler wurde von ihm an den Entwickler gemeldet und das Ganze ist inzwischen per Software-Update korrigiert. Die Episode zeigt aber, dass der Teufel oft im Detail steckt.


Anzeige

Was ist windata?

Bei windata professional handelt es sich um eine Finanzsoftware (Banking-Software), die zur sicheren Abwicklung des nationalen und internationalen Zahlungsverkehrs dient. Diese Finanzsoftware wurde speziell für die Bedürfnisse von professionellen Anwendern wie Unternehmen, Verwaltungen, Organisationen, Geschäfts- und Gewerbekunden sowie Vereinen entwickelt.

Die Netzwerk- und Terminal-Server-fähige Softwarelösung läuft unter Windows und besitzt umfangreicher Schnittstellen zu ERP- bzw. Finanzbuchhaltungsprogrammen sowie die Möglichkeit zur Verwaltung mehrerer Mandanten. Daher wird das Programm auch über Banken an Kunden angeboten. Der Hersteller windata stellt auf dieser Unternehmensseite weitere Informationen bereit. Ich hatte in diesem Beitrag schon mal über die Software berichtet.

Nach Software-Update falsche PIN

Stefan schrieb mir (danke dafür), dass er eine neue Version von windata 9.2.05 bekommen habe und dann in Problem mit seinem USB-HBCI-Kartenleser und der PIN-Eingabe lief.

Guten Abend Günter,

Ich verwendete seit Jahren die Banking-Software windata für das Online-Banking mit einem externen USB-HBCI-Kartenleser. Für mich ist HBCI mit einem externen Gerät, welches kein Smartphone ist, immer noch eines der sichersten Verfahren, daher die extra Software.

Heute Abend begrüßte mich windata mit einem Update auf die neue Version (9.2.0.5) (siehe). Wie immer wurde das Update ohne Probleme installiert. Danach wollte ich zunächst meine Kontoumsätze abrufen: -> PIN/TAN falsch

Ich bin ich von einem Tippfehler ausgegangen, nochmals versucht, gleicher Fehler. Zwei von drei Versuchen verbraucht, jetzt lieber auf Nummer sicher und das Passwort aus dem Passwort-Manager kopiert – Ergebnis: -> PIN/TAN falsch -> Zugang gesperrt!

Super Sache, ich war begeistert. Über die Webseite der Sparkasse war eine Anmeldung noch möglich und mit der HBCI-Karte konnte ich den Zugang per TAN wieder reaktivieren. Puh!

Das sind dann die Situationen, die richtig nach Ärger riechen. In obigem Fall hatte Stefan Glück und konnte sich bei der Webseite der Sparkasse anmelden. Er hat dann das Ganze weiter untersucht und kam dem Fehler in der windata-Software auf die Spur. Dazu schrieb er mir:

Eine weitere Analyse ergab, dass die neue Version offenbar die zulässigen Zeichen im Passwortfeld einschränkt. So wird die Eingabe von Zeichen wie z.B. ! " § = # ; _ schlicht ignoriert.

Mein Passwort enthielt ein solches Zeichen. Bei einer Länge von um die 20 Zeichen ist mir natürlich im normalen Arbeitsfluss nicht aufgefallen, dass dort ein Punkt zum Verbergen eines Zeichens des Passwortes fehlt.

Wie meinte Stefan: Für mich ist das mal wieder so ein "Highlight" der Software-Entwicklung, welche zeigt an welchen Kleinigkeiten man so scheitern kann. Dem ist nichts hinzuzufügen.

Der Hersteller reagiert umgehend

Stefan hat dann den Hersteller per Mail informiert und sich als Workaround ein neues Passwort, welches die gefilterten Zeichen nicht enthält, zugelegt. Er wollte ja noch arbeiten können. In einer Folgemail schrieb mir Stefan, dass der Support von windata sehr schnell regierte und bereits am 10. Mai 2023 in einer Mail einen Hinweis auf Abhilfe geschickt habe. Ein Update auf die windata Version 9.2.0.6 korrigiert dieses Problem. Hier kann man nur sagen "Daumen hoch" für den Hersteller. Wenn ich da an die Postbank denke (siehe folgende Artikel), sehen einige Kunden sehr alt aus.


Anzeige

Ähnliche Artikel:
IT-Umzug der Postbank ab 31.3.2023
Postbank-Störungen: Neue Postbank-App – "The Master of Desaster" (2. Jan. 2023)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Kurioser Kennwort-Fehler in windata 9.2.0.5 Banking-Software

  1. rpr sagt:

    Tja,
    lässt aber vermuten das das interne Softwaretesting nicht alle Fälle abdeckt.
    Aber es gilt „ es werde der den ersten Stein der frei von Schuld ist".
    Gruß

    • Luzifer sagt:

      Sorry, aber da gibt es keine Entschuldigung für den das ist nen Fehler den man mit automatisiertem Testen locker vermeiden kann… DAS muss auffallen!

      Aber das ist halt das Problem bei "Software Entwicklung" keine Produkthaftung … Würde ich in meiner Branche so schlampem säße ich längst im Gefängnis! Softwarefehler bedeuten da nämlich hohe Schadensersatzforderungen bzw. kosten Menschenleben.

      Menschen machen eben Fehler … genau deshalb testet man aber!

      • Sebastian sagt:

        Die Screenshots sehen aus wie eine WindowsForms Anwendung, das kriegen die kaum vernünftig getestet. (Selbst bei WPF blöd wenn man das auf Xaml Ebene konfiguriert, statt im ViewModel.)

  2. Harald.L sagt:

    Ähnliches kenne ich von NDI-Videostreaming-Devices aus chinesischer Herstellung. Zum Glück nur im Büro als lokaler Testaufbau in Betrieb genommen um Bilder von NDI-Kameras in HDMI zu wandeln. Out of the Box ging das Webinterface erst mal ohne Kennwortvergabe. Nach einem FW-Update auf die aktuelle Version mußte beim ersten Zugriff zwangsweise ein Kennwort festgelegt werden und wie üblich 2x eingegeben werden. Dazu gab es keine Taste um das Kennwort im Klartext anzuzeigen.

    Nach dem Festlegen mußte man sich neu einloggen -> Kennwort falsch. Gerät durch Halten von Buttons beim Einschalten auf Werkseinstellung zurück -> Kennwort erneut vergeben -> Login ergibt wieder "Kennwort falsch" sogar beim Festlegen und Login nacheinander per Copy-Paste aus der gleichen Zwischenablage.

    Zählen der Punkte der Kennwortfelder ergab: Beim Festlegen des Kennworts war es eine Stelle weniger als nachher beim Login. Ich hatte neben Großbuchstaben und Ziffern auch ein Sonderzeichen "$" im Kennwort. Das Eingabefeld zum Kennwort festlegen hat dieses nicht akzeptiert und einfach ignoriert, das zum Login schon. Und schon stimmten die natürlich nicht überein.

    Da hält man sich an die Empfehlungen für sinnvolle Kennwörter und tappt in die Falle.

    • Dietmar sagt:

      Ging mir bei HUAWEI-WLAN-Controllern/Switches genau so – zumindest mit dem Fragezeichen.
      Die Produkte selbst sind toll. Aber die Passwortumsetzung und die GUI generell ein Graus. Dafür ist der Support umso besser!

    • M.D. sagt:

      Ich bin mal in das ominöse "P"-Key Problem unter Windows 10 geraten. Ich hatte den PC gesperrt und konnte die Sperre nicht mehr aufheben, weil Windows den "P"-Key nicht mehr akzeptiert hat. Ist mir auch erst nach mehreren Fehlversuchen und dann Einblenden des Kennworts aufgefallen, dass da ein Zeichen fehlt bzw. nicht ankommt, egal wie oft man die Taste betätigt. Konnte mir damals helfen, indem ich ich mit Hilfe eines anderen Kontos den Rechner neu gestartet habe. Vermutlich hätte ALT- auch geholfen, da kommt man aber im ersten Moment nicht drauf.

      Immerhin tritt das Problem höchst selten auf, es scheint aber wohl immer nur das "P" zu treffen, siehe auch:

      https[:]//superuser[.]com/questions/1555239/how-can-i-fix-my-p-key-on-windows-login

      Sollte es nicht nur bei der Anmeldung sondern auch bei der Vergabe eines neuen Kennworts unbemerkt zuschlagen, kann das je nach Konto ganz schön nervig werden.

  3. Pablo sagt:

    Ich hatte – das gleiche Problem bei der swisscom (Schweiz). Ich meldete den Fehler dem Support. Am nächsten Tag wurde per Email informiert, dass der Zugang wieder funktioniert. Nur – nach 2 Monaten der gleiche Fehler wieder. Wieder den Support informiert. Am gleichen Tag wurde die Korrektur vorgenommen. Bei der Syntax Abfolge wird vieles kopiert – das kann auch der Befehl sein für den falschen Zeichensatz, der bei der Passworteingabe zugelassen wird. Und ja – wo bleibt das Testing?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.