Permalink

2

Sparkasse 2: Antwort zur kurzen PIN

Hier habe ich berichtet, dass ich der Sparkasse eine Email geschrieben habe, in der ich beanstandet habe, dass mir die 5-stellige PIN zum Online-Auftritt zu kurz ist.

Die Sparkasse hat jetzt geantwortet:

Sehr geehrter Herr Weigand,

es ist nicht möglich Ihre PIN auf 10 Stellen zu ändern.

zu Ihrer eigenen Sicherheit empfehlen wir Ihnen die Umstellung von Ihrem Tan-Verfahren auf Chip-Tan Verfahren.

Für Fragen stehen wir Ihnen auch gerne telefonisch unter
[…] zur Verfügung.

Freundliche Grüße

H*** M***

Bis auf meinen falsch abgeschriebenen Namen habe ich so eine Antwort schon fast vermutet. Eine längere PIN ist einfach nicht möglich.

Allerdings machen sie direkt Werbung für eine neue technische Errungenschaft, das Chip-TAN Verfahren. Dabei wird bei einer Überweisung die TAN nicht mehr von einer Liste abgelesen, sondern in einem Zusatz-Gerät in Größe eines Taschenrechners generiert.

Das Verfahren ist ja schön und gut, gilt aber nur für Überweisungen und macht nicht den Online-Auftritt sicherer. Wer meine kurze PIN knackt, kann trotzdem meine sensiblen Daten wie Anschrift, Kontostand und Umsätze abgreifen.

Deshalb habe ich mal eine Email zurückgeschrieben.

Sehr geehrte Frau M***,

vielen Dank für Ihre schnelle Antwort.

Inwiefern würde eine Umstellung auf das Chip-TAN Verfahren meine Daten im Online-Auftritt sicherer machen?

Wenn ich das richtig verstanden habe, betrifft das Chip-TAN Verfahren nur Online-Überweisungen, jedoch nicht den Zugang zum Online-Auftritt selber.

Es grüßt

Artur Weigandt

Ich bin auf die Antwort gespannt.

Update 06.12.2010

Die Sparkasse wieder geantwortet.

Autor: Artur

Der technikinteressierte und bibeltreue Christ Artur Weigandt bloggt über Datenschutz, Webprogrammierung, sicheren Umgang mit dem Internet und die Bibel. Er arbeitet an der christlichen Community youthweb.net mit, programmiert Webapplikationen und beteiligt sich bei diversen Open Source Projekten.

2 Kommentare

  1. Der Zugang ist doch nicht nur mit der PIN abgesichert sondern auch mit dem bis zu 15-stelligen Anmeldenamen. Du darfst die 5-stellige PIN deshalb nicht isoliert betrachten, weil Sie alleine zum Zugang nicht reicht.

    Die Hilfe der Sparkasse sagt dazu:

    „Der Anmeldename kann maximal 15-stellig sein. Folgende Zeichen dürfen Sie beim Einrichten und ändern verwenden:

    – Kleinbuchstaben von a – z
    – Großbuchstaben von A – Z
    – Ziffern von 0 – 9
    – Leerzeichen
    – erlaubte Sonderzeichen: ! “ # $ ‚ ( ) * + , – . / : ; = @ [ \ ] ^ _ % ä, ö, ü bzw. Ä, Ö, Ü und ß

  2. Hallo Karl,

    danke für deinen Hinweis.

    Jedoch finde ich eine längere PIN wichtig, da der Anmeldenamen viel leichter ermittelt werden kann als man meint, zB.

    – in Phishing-Mails, die nur nach dem Anmeldenamen ohne Passwort fragen
    – durch Social Engineering allgemein – https://secure.wikimedia.org/wikipedia/de/wiki/Social_Engineering_%28Sicherheit%29
    – oder ganz blöd: Jemand liest im Internet-Cafe oder im Zug mit

    Einen Anmeldenamen geben Menschen viel leichter heraus als ein Passwort.
    Und dann bleibt als letzte Sicherheit nur noch die PIN.

    Außerdem sollte es für die Sparkasse ein vertretbarer Aufwand sein, die PIN-Länge zu erhöhen.