Es geht um die PIN beim Onlinebanking. Bei der Sparkasse darf diese nur 5-stellig sein. Weiß jemand, welche Gründe es dafür gibt, dass die Sicherheit so niedrig gehalten wird? Oder meint ihr, dass das System einfach nur veraltet ist? Das wäre nämlich die einzige Erklärung, die mir einfällt - und da ich das nicht glauben will...

Wahrscheinlich haben sie es intern getestet und bei mehr als 5 Stellen haben zu viele Leute die PIN vergessen ;)

bei der volksbank ebenfalls 5.

sehe ich aber nicht als problematisch. zusammen mit buchstaben, großbuchstaben und zahlen (ggf auch sonderzeichen?) gibt es genug möglichkeiten. wenn bei dir jemand 10 mal die falsche pin eingibt wird der zugang vermutlich eh vorübergehend gesperrt und du darfst zur bank rennen, um die sache zu klären. weiß ich nicht aber vermute ich mal stark.

und selbst wenn man sich einloggen kann, kann man trotzdem kein geld abbuchen. keine bankkarte, keine tan / itan / tangenerator.

[...]dass die Sicherheit so niedrig gehalten wird?[...]

Mal andersrum gefragt:

Wieso bist Du der Meinung, dass die Sicherheit "gering" ist?

Bei Deinem Beispiel mit der 5-stelligen PIN unter unter der Annahme, dass nur die Ziffern von 0-9 an jeder Stelle der PIN vorkommen können/dürfen, hast Du 100.000 mögliche Kombinationen.

Die Wahrscheinlichkeit, bei maximal 3 Versuchen die richtige zu treffen ist extrem gering - und ich gehe jetzt mal davon aus, dass auch die Sparkasse den Zugang vorübergehend sperrt, wenn die PIN 3 Mal falsch eingegeben wurde.

Wenn jetzt noch Buchstaben (case-sensitive natürlich) und ggf. Sonderzeichen dazu kommen, wird die Anzahl der möglichen PINs noch größer, die Wahrscheinlichkeit für ein erfolgreiches "erraten" gleichzeitig noch geringer.

Alos die Frage von oben noch einmal anders herum: Was wäre für Dich "sicher"?


Ich gebe Dir Recht: Mehr Sicherheit geht immer, aber bei einem System, was nicht nur von Cracks benutzt wird, sondern auch von Otto-Normalanwender (manch einer kann sich nicht einmal seine eigene Kontonummer und/oder BLZ merken), muss irgendwo ein Mittelweg gefunden werden.

Was noch akzeptabel ist, ist das System, wie es bspw. die DiBa macht:
1) PIN (5stellig)
2) danach gibt es noch einen persönlichen Sicherheitscode, den man ebenfalls ändern kann, wie man lustig ist und an dem man zusätzlich vorbei muss.

Ok, stimmt. Bei 60 möglichen Zeichen hat man ~700 Millionen Möglichkeiten. Denke bei PINs noch zu sehr an reine Zahlenkombinationen.

Das System der diba kenne ich auch und vermittelt zumindest einen sicheren Eindruck. Wobei du schon recht hast, bei den Größenordnungen ist dann doch Pishung eher das Problem als direkt der PIN.

Also ich hab n Passwort (10-Stellig) und nen Pin (6-Stellig). Dazu dann noch die Tans für die jeweilige Überweisung. Bank: Ing Diba.

Ok, stimmt. Bei 60 möglichen Zeichen hat man ~700 Millionen Möglichkeiten. Denke bei PINs noch zu sehr an reine Zahlenkombinationen.

In dem Zusammenhang nochmal ein kleiner Nachtrag: Das Rechenbeispiel oben gilt natürlich nur, wenn alle Ziffern an jeder Stelle und auch beliebig oft vorkommen dürfen. Sobald man da einschränkt (bspw. jede Ziffer maximal 2 Mal, keine 0 an der ersten Stelle etc.) ändert sich das natürlich.
Nur nochmal der Vollständigkeit halber, weil's oben nicht ganz sauber ausgedrückt war.

Das System der diba kenne ich auch und vermittelt zumindest einen sicheren Eindruck.

Nun, zumindest ist es sicherer als nur die PIN-Abfrage.
Zudem halte ich das im Gegensatz zu einer 15-stelligen PIN noch für einen akzeptablen Kompromiss aus Sicherheit und Komfort.

Auch hier noch als Nachtrag: Bei der DiBa bspw. muss die PIN - die zuerst abgefragt wird - mindestens 5 Stellen haben. Maximal erlaubt sind 10 Stellen, wobei hier nicht nur Zahlen, sondern auch Buchstaben gehen.
Die zweite Abfrage ist auf 6 Stellen fixiert, und zwar nur Ziffern.

Im Vergleich zu der genannten Sparkasse geht es also auch anders - wobei ich eine "nur" 5-stellige PIN nicht als das primäre Sicherheitsrisiko sehe.

Wobei du schon recht hast, bei den Größenordnungen ist dann doch Pishung eher das Problem als direkt der PIN.

Zum Beispiel.