Nur fünfstellige PIN

Das ist doch ganz offensichtlich: Die Kontonummer ist weithin bekannt. Jeder, der Dir mal was überwiesen hat, kennt sie. Jeder der sie kennt, hat schon EIN Mittel zum einloggen - also das Login (wenn die Kontonummer als Login dient, egal ob es bei der Bank keine andere Möglichkeit gibt oder ob der Kunde selbst das ein Alias auf seine Kontonummer gesetzt hat). Somit "hängt die Sicherheit" nur noch an dieser 5stelligen PIN (die auch nicht wirklich unsicher ist, wegen der Sperre nach 3 Fehlversuchen). Wenn man ein Alias als Login gewählt hat, das NICHT der Kontonummer entspricht, dann kennt das ja außer Dir selbsr niemand. Dann müßte ein Angreifer sowohl das Alias als auch die PIN wissen zum Einloggen. Und das ist noch viel unwahrscheinlicher bzw. sicherer.

Außerdem kann bei Kontonummer als Login jeder böswillige Mensch Dir das Konto sperren. Er nimmt einfach die bekannte Kontonummer, gibt sie ein und irgend eine falsche PIN dazu. Nach dem dritten Mal ist dein Kontozugang gesperrt und Du mußt ihn von der Bank entsperren lassen. Und das Ganze kann der böswillige Mensch beliebig wiederholen.... und ggf. aus dem Briefkasten einen Brief mit einer neuen PIN abgreifen. Hier ist die Sicherheit noch viel mehr gefährdet. Somit: Wenn es schon die Möglichkeit eines Alias gibt, niemals die Kontonummer als Alias setzen.

Die genannten Sparkassen und DKB (Rechenzentrum FI) realisieren den Login über eine sog. 16stellige Legitimations-ID. Zusätzlich kann man - da man sich die Leg.-ID nicht merken kann - einen selbstgewählten Alias setzen und diesen auch jederzeit ändern. Aber ebene bitte nicht auf die Kontonummer.

Die meisten anderen Banken haben inzwischen ein anderes Login als die Kontonummer - die Hypovereinsbank z.B. hat eine B@nking-Nr. 10stelig, in der das Geburtsdatum des Kunden vorkommt und die damit leicht merkbar ist. Es gibt aber auch noch Banken, bei denen nach wie vor die Kontonummer ggf. ergänzt um eine Filialnummer ect. der Login ist. So ist es bei der Deutschen Bank und ihren Töchtern. Auch die Sparda-DV verwendet die reine Kontonummer als Login. Hier ist es sogar noch etwas schlimmer. Da gibt es nichtmal ein Unterscheidungsmerkmal zwischen verschiedenen Nutzern eines Kontos. Diese Unterscheidung wird über die PIN hergestellt. Beispiel: Kontonummer 12345 und PIN 111111 = Ehemann / Kontonummer 12345 und PIN 222222 = Ehefrau. Wenn nun einer von beiden sich beim PIN-Eingeben vertippt, ist gleich das gesamte Konto gesperrt, denn der System kann ja nicht wissen, ob der Ehemann oder die Ehefrau falsch eingegeben hat...

... dann wurde die Kontonummer als Alias=Anmeldenamen vorbelegt.
Läßt sich nach erfolgter Anmeldung in der Rubrik Servce jederzeit ändern...

Viel Erfolg

Od

@Zecher - in Bezug auf Odin ==> Genau

Gruß

Wenn der postalische Empfang einer neuen PIN quittiert werden muß, geht das mit dem Abgreifen natürlich nicht. Die meisten "herkömmichen" (Filial-) Banken machen das so. Besonders Papierkriegig ist das erfahrungsgemäß bei Fiducia/GAD Wobei es auch da Institute mit mehr oder weniger Papierkrieg gibt - was sich auch ändert. Ich erinnere mich mit Grausen an die Einrichtung von einem Netkey mit damals Konten für gut 50 Kontoinhaber (Eigentümergemeinschaften). Wir bekamen ein PAKET mit 50 mal Onlinebanking-Vertrag mit je zwei Kopien und mehrseitigen Bedingungen. Alles mußte einzeln unterschrieben werden... Nach einer Firmenfusion (da kamen dann nochmal ca. 130 Kontoinhaber dazu) hatte man das gottseidank geändert, weil die Rechtsabteilung der Bank ein Einsehen hatte, und hat dann eine Art Rahmenvertrag unterschreiben lassen.

Die meisten Direktbanken lassen PIN-Briefe übrigens nicht quittieren. In den Fällen wäre dann das Abgreifen möglich, würde ich sagen.

Letzter Satz: Nein, ich wusste das nicht. Und wem hilft das jetzt? Die Änderungsmöglichkeit führt zu noch mehr Sperren wegen Vergesslichkeit und anderer menschlicher Schwächen und die Neuversendung geht vom GAA aus oder muss der Kunde sich legitimieren?

@onlinebaner: nein, das geht nicht vom GAA aus, wie auch, die PIN ist ja weg. Der PIN-Brief wird auf Veranlassung der Bank verschickt und dafür muss der/die KarteninhaberIn mit der Bank in Kontakt treten, sich also legitimieren.
Ich glaube, dass weitaus weniger neue Karten (sowieso, es reicht ja auch eine neuer PIN-Brief) produziert werden müssen, da die Kundinnen und Kunden die PIN selbst ändern können und sich daher besser merken können, weil sie z.B. die Kartenpin einer zweiten Karte angleichen können. Unterm Strich positiv und ein tolles Feature für die Kartennutzer.

Ich finde es in diesem Zusammenhang allerdings bemerkenswert, dass PIN-Briefe bei einigen Banken im Onlinebanking vor einer Freischaltung quittiert werden müssen, eine neuer PIN-Brief für eine Bargeldkarte aber verschickt wird und ohne Quittung sofort verwendet werden kann.
Davon abgesehen: Die PIN ist eben nur 4 Stellen lang und besteht nur aus Ziffern, womit wir den Bogen zum Grundthema haben.

Gruß
Raimund

Ich kenne es persönlich von der DKB Bank, dass eine 5 stellige Pin benutzt wird. ICh fänd es auch gut, wenn das mal langsam modernisiert wird.

Von einer Möglichkeit die eigen Pin zu ändern hör ich hier das erste Mal. Die Pin Nummer für die EC-KArte war doch eigentlich immer ein unverrückbares Dogma. Ging die Nummer verloren (ergo man hatte sie vergessen), musste ja immer gleich eine neue Karte mit neuem Pin bestellet werden.