Wie ich hier und hier bereits berichtete, habe ich der Sparkasse eine Email geschrieben. Darin frage ich, warum beim Zugang zum Online-Auftritt nur eine maximal 5-stellige PIN vergeben werden darf. Mir erscheint diese Einstellung zu kurz.
Die Sparkasse hat gestern das zweite Mal geantwortet:
Sehr geehrter Herr Weigandt,
vielen Dank für Ihre Antwort.
Sollte sich ein Trojaner auf Ihrem Computer befinden, ist es irrelevant wie viele Stellen Ihre Start PIN enthält.
Zur besseren Erläuterung bitte ich Sie, dass Sie mich telefonisch kontaktieren oder mir Ihre Telefonnummer mitteilen.
Freundliche Grüße
H*** M***
Die Begründung der Sparkasse, dass die PIN-Länge bei einer Auslesung durch einen Trojaner irrelevant ist, ist vollkommen richtig. Wer das Passwort mitlesen kann oder kennt, dem ist egal, wie lang es ist.
Trotzdem gibt es eventuell noch die Möglichkeit, durch Social Engineering schneller an die PIN zu gelangen. Vor allem ein kurzes Passwort kann dadurch viel schneller erraten werden, wenn der Benutzer auf ein kryptisches Passwort verzichtet und stattdessen den Namen des Hundes verwendet. Nicht jeder der mehrere tausend hunderttausend Sparkassenkunden nutzt die Möglichkeit der Sonderzeichen und Zahlenkombinationen beim Online-Banking.
Vielleicht sieht die Sparkasse ja einen Vorteil in der kurzen PIN darin, dass sich Benutzer diese leichter merken können. Aber ich verstehe nicht, wieso sie nicht auch die Möglichkeit offen lassen, eine längere PIN zu verwenden. Stellt das einen nicht zu vertretbaren technischen Aufwand dar?
In der heutigen Zeit wird immer häufiger von Online-Kriminalität und dem Zusammenhang von kurzen Passwörtern geredet und dabei versucht, bei den Menschen ein Bewusstsein für sichere und ausreichend lange Passwörter zu entwickeln. Viele Online-Dienste, Passwort-Generatoren und Passwort-Verwaltungssoftware weisen oft auf eine Mindestlänge für sichere Passwörter von 8 Stellen oder mehr hin und eine kurze PIN passt auch nicht in mein persönliches Passwort-System.
Wieso widerspricht die Sparkasse diesem allgemein angestrebten Sicherheits-Bewusstsein?
Da die Sparkasse nun zum zweiten Mal lieber um ein telefonisches Gespräch gebeten hat, werde ich dem in nächster Zeit Folge leisten.
Wenn es etwas Neues gibt, werde ich hier darüber berichten.
Kommentare
6 Antworten zu „Sparkasse 3: Anfrage zur kurzen PIN“
Ich vermute mal das die Sparkasse nicht mehrere Tausend Kunden hat…. da sind ein paar Millionen…
Hallo Ernst,
ich weiß nicht genau, wie viele der Millionen Sparkassen-Kunden auch Online-Banking nutzen. Meine “mehrere Tausend” waren aber etwas zu vorsichtig geschätzt. Ich habe das mal ein wenig nach oben korrigiert.
Mit Sicherheit werden es mehrere Hunderttausend sein und wahrscheinlich wären auch einige Millionen. Genaue Zahlen habe ich aber leider nicht.
Die EC-Karte hat auch „nur“ einen vierstelligen Pin. Ich denke das auch gerade dort eine längere Passwort Kombination sinnvoll wäre.
Hallo Jupp,
die 4-stellige PIN bei der EC-Karte finde ich nicht so bedenklich, da man zur Zahlung auch die Karte benötigt.
Und nach 3 fehlerhaften wird die Karte eingezogen…
Was will man dazu sagen? Ich habe selber bei diesem Geldinstitut ein Konto und war über diese 5-stelligen PIN doch sehr erstaunt, als ich mich zum Onlinebanking entschlossen habe.
Bei absolut jedem anderen Onlinedienst habe ich ein längeres Paßwort, mindestens 8, meistens jedoch 10 – 12 Stellen.
Eine 5-stellige PIN finde ich mehr als nur verantwortungslos gegenüber den zahlenden Kunden.
Wenn ich mir da die Bank meiner Ex-Frau ansehe: Da muß nicht nur eine PIN eingegeben werden, sondern noch weitere Angaben gemacht werden damit man seine Bankgeschäfte erledigen kann.
Grüße aus Augsburg
Mike, TmoWizard