Nur fünfstellige PIN

Liebe Onlinebanking-Freunde,

welche Onlinebanking-Portale verwenden denn noch rein fünfstellige PINs oder andere zweifelhafte Sicherheitseinstellungen? Könnt ihr mir da helfen?

Viele Grüße
Nadine

Zur Frage selbst: Bei allen Sparkassen und der DKB kann die PIN maximal fünfstellig sein.

jaa, aber...
wenn ein backdoor vorhanden, braucht man doch nichts berechnen
und bei einem keylogger braucht es auch keine unterschiedliche PW bei "Mail und ebay und Banking"

vielleicht sollte man die Absicherung mal grundsätzlich überdenken, sprich die vorhanden "hardware-codes" (PC, Handy bspw. ID/Serial/IMEI oä.), Handynummer, die IPs als Basis nehmen oder NFC der Plastikkarten.
eine derartige Einschränkung würde bspw. schon mal kein Missbrauch zum gleichen Zeitpunkt in D und USA zulassen. (bei Kreditkarten ja schon im Einsatz - Zeitzonen-Sicherheit)

Ich schreibe von einem Loch am Banksystem, also am Server selbst, nicht beim Kunden. Also untreue Rechenzentrums-Mitarbeiter, Einbruch, Hausdurchsuchung durch Behörde, etc.

Das wollte ich auch gerade einwerfen: Gerade bei moderneren Logins (wie FI oder GAD oder Fiducia, aber auch div. andere) wird eben NICHT mehr die Kontonummer als Login hergenommen sondern eine völlig andere Nummer (Leg.-ID bzw. NetKey ect.), die man dann auch noch auf einen selbstgewählten Alias ändern kann. Somit muß man erst mal den Login wissen UND die PIN auch noch. Das alles zusammen sind doch wohl genug "Stellen". Und selbst wenn man den Login irgendwo her hat, dann ist nach der dritten falschen Kombination mit einer PIN Schluß. Wenn das nicht hochsicher ist, weiß ich nicht.

Weiterhin kann man bei dieser Art von Login ja noch nicht mal gezielt eine Sperre herbeiführen (wie beim Kontonummernlogin), um damit einen Neuversand der PIN auszulösen und diesen dann im Briefkasten abzufangen. Man hat ja üblicherweise nicht mal den Login, um die Sperren auslösen zu können. Alles in Allem ist das Verfahren wohl sehr viel sicherer, als so manch Anderes im Leben

Also heutzutage die Kontonummer als Alias zu setzen ist in meinen Augen grob fahrlässig! Klar gibt es immer wieder Leute, die das haben WOLLEN, aber wenn sie es immer noch machen, nachdem man ihnen die Hintergründe erklärt hat, dann sollen sie es machen. Aber dann auch mit allen Weiterungen dieses Tuns selbstverantwortlich leben.

Nur weil es unverbesserliche gibt, die Sicherheitsmöglichkeiten nicht nutzen, kann man aber nicht von mangelnder Sicherheit einer nur 5stelligen PIN reden.

Was das Versenden von neuen Zugangsdaten angeht - ich habe das auch noch nie erlebt, dass das automatisch passiert. Aber oben hatte ja ein Poster davon gesprochen... Aber auch wenn die neuen Daten dann erst "bestellt" zugesendet werden, kann der Angreifer ja trotzdem auf den Briefkasten achten und sie dann in der Folge da rausfischen. Aber auch dieser Vorgang hätte ja absolut nichts mit nur 5stelliger PIN zu tun...

Ich würde auch sagen, dass eine fünfstellige PIN nicht zwangsläufig eine Sicherheitslücke darstellt. Man muss nur wissen, wie man damit verantwortungsbewusst umzugehen hat.

Nein, konnte er nicht. Er sieht nicht einmal die IP, mit der da hantiert wurde.

Danke für die Info.
OK, aber im Fall von DBuessen hätte ja erstmal ein Abgleich mit seiner IP stattfinden müssen, damit eine Zuordnung möglich wäre.

Hallo,

wir machen das auch nicht - was ich meinte, ist, dass wir nach Kundenkontakt (bei uns telefonisch) die Freigabe durchführen und halt die neuen Zugangsdaten versenden. msa hat das sehr schön beschrieben - sprich: wenn der Kunde die Zusendung "bestellt".

Die Freischaltung kann der Kunde bei uns aber auch direkt in der Filiale vornehmen lassen, wenn er z.B. zeitnah wieder mit Onlinebanking arbeiten möchte.

Alles in allem - um das Kernthema wiederaufzunehmen - eine fünfstellige PIN mit Sperre nach 3maliger Falscheingabe, Herausgabe der Sicherungsmittel/Zugangsdaten persönlich oder auf dem Postweg an den jeweiligen Teilnehmer durch die jeweilige Sparkasse oder Bank (Aktivierung wenn möglich in Verbindung mit einem individualisierten Anmeldevorgang) ist ausreichend sicher.

Das Suggerieren, dass mein Passwort nur dann sicher ist, wenn es aus 234 Zeichen (am besten noch mit Fettdruck, durchgestrichen, ins Quadrat genommen etc.pp. ) besteht und der Balken dahinter Grün wird, zeigt auch nur, dass man diesem Thema zumindest eine untergeordnete Beachtung zugewiesen hat ...