Permalink

6

Sparkasse 3: Anfrage zur kurzen PIN

Wie ich hier und hier bereits berichtete, habe ich der Sparkasse eine Email geschrieben. Darin frage ich, warum beim Zugang zum Online-Auftritt nur eine maximal 5-stellige PIN vergeben werden darf. Mir erscheint diese Einstellung zu kurz.

Die Sparkasse hat gestern das zweite Mal geantwortet:

Sehr geehrter Herr Weigandt,

vielen Dank für Ihre Antwort.

Sollte sich ein Trojaner auf Ihrem Computer befinden, ist es irrelevant wie viele Stellen Ihre Start PIN enthält.

Zur besseren Erläuterung bitte ich Sie, dass Sie mich telefonisch kontaktieren oder mir Ihre Telefonnummer mitteilen.

Freundliche Grüße

H*** M***

Die Begründung der Sparkasse, dass die PIN-Länge bei einer Auslesung durch einen Trojaner irrelevant ist, ist vollkommen richtig. Wer das Passwort mitlesen kann oder kennt, dem ist egal, wie lang es ist.

Trotzdem gibt es eventuell noch die Möglichkeit, durch Social Engineering schneller an die PIN zu gelangen. Vor allem ein kurzes Passwort kann dadurch viel schneller erraten werden, wenn der Benutzer auf ein kryptisches Passwort verzichtet und stattdessen den Namen des Hundes verwendet. Nicht jeder der mehrere tausend hunderttausend Sparkassenkunden nutzt die Möglichkeit der Sonderzeichen und Zahlenkombinationen beim Online-Banking.

Vielleicht sieht die Sparkasse ja einen Vorteil in der kurzen PIN darin, dass sich Benutzer diese leichter merken können. Aber ich verstehe nicht, wieso sie nicht auch die Möglichkeit offen lassen, eine längere PIN zu verwenden. Stellt das einen nicht zu vertretbaren technischen Aufwand dar?

In der heutigen Zeit wird immer häufiger von Online-Kriminalität und dem Zusammenhang von kurzen Passwörtern geredet und dabei versucht, bei den Menschen ein Bewusstsein für sichere und ausreichend lange Passwörter zu entwickeln. Viele Online-Dienste, Passwort-Generatoren und Passwort-Verwaltungssoftware weisen oft auf eine Mindestlänge für sichere Passwörter von 8 Stellen oder mehr hin und eine kurze PIN passt auch nicht in mein persönliches Passwort-System.

Wieso widerspricht die Sparkasse diesem allgemein angestrebten Sicherheits-Bewusstsein?

Da die Sparkasse nun zum zweiten Mal lieber um ein telefonisches Gespräch gebeten hat, werde ich dem in nächster Zeit Folge leisten.

Wenn es etwas Neues gibt, werde ich hier darüber berichten.

Autor: Artur

Der technikinteressierte und bibeltreue Christ Artur Weigandt bloggt über Datenschutz, Webprogrammierung, sicheren Umgang mit dem Internet und die Bibel. Er arbeitet an der christlichen Community youthweb.net mit, programmiert Webapplikationen und beteiligt sich bei diversen Open Source Projekten.

6 Kommentare