Das ist doch ganz offensichtlich: Die Kontonummer ist weithin bekannt. Jeder, der Dir mal was überwiesen hat, kennt sie. Jeder der sie kennt, hat schon EIN Mittel zum einloggen - also das Login (wenn die Kontonummer als Login dient, egal ob es bei der Bank keine andere Möglichkeit gibt oder ob der Kunde selbst das ein Alias auf seine Kontonummer gesetzt hat). Somit "hängt die Sicherheit" nur noch an dieser 5stelligen PIN (die auch nicht wirklich unsicher ist, wegen der Sperre nach 3 Fehlversuchen). Wenn man ein Alias als Login gewählt hat, das NICHT der Kontonummer entspricht, dann kennt das ja außer Dir selbsr niemand. Dann müßte ein Angreifer sowohl das Alias als auch die PIN wissen zum Einloggen. Und das ist noch viel unwahrscheinlicher bzw. sicherer.

Außerdem kann bei Kontonummer als Login jeder böswillige Mensch Dir das Konto sperren. Er nimmt einfach die bekannte Kontonummer, gibt sie ein und irgend eine falsche PIN dazu. Nach dem dritten Mal ist dein Kontozugang gesperrt und Du mußt ihn von der Bank entsperren lassen. Und das Ganze kann der böswillige Mensch beliebig wiederholen.... und ggf. aus dem Briefkasten einen Brief mit einer neuen PIN abgreifen. Hier ist die Sicherheit noch viel mehr gefährdet. Somit: Wenn es schon die Möglichkeit eines Alias gibt, niemals die Kontonummer als Alias setzen.

Die genannten Sparkassen und DKB (Rechenzentrum FI) realisieren den Login über eine sog. 16stellige Legitimations-ID. Zusätzlich kann man - da man sich die Leg.-ID nicht merken kann - einen selbstgewählten Alias setzen und diesen auch jederzeit ändern. Aber ebene bitte nicht auf die Kontonummer.

Die meisten anderen Banken haben inzwischen ein anderes Login als die Kontonummer - die Hypovereinsbank z.B. hat eine B@nking-Nr. 10stelig, in der das Geburtsdatum des Kunden vorkommt und die damit leicht merkbar ist. Es gibt aber auch noch Banken, bei denen nach wie vor die Kontonummer ggf. ergänzt um eine Filialnummer ect. der Login ist. So ist es bei der Deutschen Bank und ihren Töchtern. Auch die Sparda-DV verwendet die reine Kontonummer als Login. Hier ist es sogar noch etwas schlimmer. Da gibt es nichtmal ein Unterscheidungsmerkmal zwischen verschiedenen Nutzern eines Kontos. Diese Unterscheidung wird über die PIN hergestellt. Beispiel: Kontonummer 12345 und PIN 111111 = Ehemann / Kontonummer 12345 und PIN 222222 = Ehefrau. Wenn nun einer von beiden sich beim PIN-Eingeben vertippt, ist gleich das gesamte Konto gesperrt, denn der System kann ja nicht wissen, ob der Ehemann oder die Ehefrau falsch eingegeben hat...

Also wir versenden bei endgültiger Sperre (nach 9 Fehlversuchen, denn dann geht auch keine Entsperrung durch den Kunden mit TAN mehr) automatisch einen neuen PIN-Brief. Warum auch nicht? Ist ja nicht so, als ob diese "PIN" genannte Zahl in irgendeiner Weise verwendet werden könnte.

Jedem versendeten PIN-Brief liegt eine Empfangsbestätigung bei und bevor die nicht rechtsverbindlich unterzeichnet vorliegt, wird die "PIN" auch nicht zur PIN.

Und diese 16stelligen Leg.-ID´s sind meiner Meinung nach genauso daneben wie die 20stelligen PINs, die bei uns (Fiducia) möglich sind. Gott sei dank reichen 5 Stellen aber auch aus.

Und wenn ich jetzt genau bin, habe ich bei der Sparkasse nie einen Alias hinterlegt und kann mich trotzdem noch mit meiner Kontonummer anmelden. Wie kann ich das verhindern? Sag mal was Frank. :whistle:

... dann wurde die Kontonummer als Alias=Anmeldenamen vorbelegt.
Läßt sich nach erfolgter Anmeldung in der Rubrik Servce jederzeit ändern...

Viel Erfolg

Od

Tatsache! Danke.

@Zecher - in Bezug auf Odin ==> Genau

Gruß

Was übrigens bei uns z.B. auch nicht geht, weil wir die PIN quittieren lassen - ohne Original-Unterschrift auf der Empfangsquittung wird der Vertrag nicht entsperrt. Gut, wird die Unterschrift gefälscht - klar, dann sind wir beim nächsten Problem... nur als Ergänzung zu deinen ausführlichen und treffenden Erklärungen, msa. =)

lg
Angel

Wenn der postalische Empfang einer neuen PIN quittiert werden muß, geht das mit dem Abgreifen natürlich nicht. Die meisten "herkömmichen" (Filial-) Banken machen das so. Besonders Papierkriegig ist das erfahrungsgemäß bei Fiducia/GAD Wobei es auch da Institute mit mehr oder weniger Papierkrieg gibt - was sich auch ändert. Ich erinnere mich mit Grausen an die Einrichtung von einem Netkey mit damals Konten für gut 50 Kontoinhaber (Eigentümergemeinschaften). Wir bekamen ein PAKET mit 50 mal Onlinebanking-Vertrag mit je zwei Kopien und mehrseitigen Bedingungen. Alles mußte einzeln unterschrieben werden... Nach einer Firmenfusion (da kamen dann nochmal ca. 130 Kontoinhaber dazu) hatte man das gottseidank geändert, weil die Rechtsabteilung der Bank ein Einsehen hatte, und hat dann eine Art Rahmenvertrag unterschreiben lassen.

Die meisten Direktbanken lassen PIN-Briefe übrigens nicht quittieren. In den Fällen wäre dann das Abgreifen möglich, würde ich sagen.

Bei der Freischaltfrage und Sicherheitsbetrachtungen finde ich das Passwort/die PIN kaum wichtig. Meiner Meinung nach ist das TAN-Medium schützenswert und wesentlich wichtiger als ein PIN. Bei einem Virenbefall gehe ich ja auch immer davon aus, dass die Passwörter und Umsatzinformationen den Betrügern bekannt sind, egal wie komplex die Anmeldedaten sind.
Bei GAD-Banken kann man auch komplett auf eine Init-PIN verzichten, bei der Erstanmeldung kann das PIN-Feld leer bleiben.
Gruß
Raimund
Wusstet ihr alle, dass die Genobanken die Änderung der ec-Karten-PIN (4-stellig und halt nur Ziffern) bei den aktuellen girocards am GAA unterstützen und auch eine neue PIN versenden können?

Letzter Satz: Nein, ich wusste das nicht. Und wem hilft das jetzt? Die Änderungsmöglichkeit führt zu noch mehr Sperren wegen Vergesslichkeit und anderer menschlicher Schwächen und die Neuversendung geht vom GAA aus oder muss der Kunde sich legitimieren?

Nein, aber es ist gut zu wissen "Die Genobanken" - heißt das auch Fiducia?

Ist Dir übrigens dieses neue Feature "Anzeige Einzelposten" von Sammelzahlungen im Web bekannt? Ich hab das zufällig entdeckt, meine Banker kennen es selber noch nicht.

Auch kann man bei Fiducia jetzt endlich SEPA-Daueraufträge ändern. Aber derzeit offenbar nur im Web und noch nicht per HBCI.

@onlinebaner: nein, das geht nicht vom GAA aus, wie auch, die PIN ist ja weg. Der PIN-Brief wird auf Veranlassung der Bank verschickt und dafür muss der/die KarteninhaberIn mit der Bank in Kontakt treten, sich also legitimieren.
Ich glaube, dass weitaus weniger neue Karten (sowieso, es reicht ja auch eine neuer PIN-Brief) produziert werden müssen, da die Kundinnen und Kunden die PIN selbst ändern können und sich daher besser merken können, weil sie z.B. die Kartenpin einer zweiten Karte angleichen können. Unterm Strich positiv und ein tolles Feature für die Kartennutzer.

Ich finde es in diesem Zusammenhang allerdings bemerkenswert, dass PIN-Briefe bei einigen Banken im Onlinebanking vor einer Freischaltung quittiert werden müssen, eine neuer PIN-Brief für eine Bargeldkarte aber verschickt wird und ohne Quittung sofort verwendet werden kann.
Davon abgesehen: Die PIN ist eben nur 4 Stellen lang und besteht nur aus Ziffern, womit wir den Bogen zum Grundthema haben.

Gruß
Raimund

das können GAD-Banken nicht, es sei denn, es geht um Freigabe von Buchungen/Sammlern, du meinst aber sicherlich die Umsatzdaten ("Kontoauszüge"), oder? Mit Fiducia-Features kenn ich mich kaum aus...
Dazu sollten wir dann auch einen anderen Thread aufmachen.
Gruß
Raimund

Ich kenne es persönlich von der DKB Bank, dass eine 5 stellige Pin benutzt wird. ICh fänd es auch gut, wenn das mal langsam modernisiert wird.

Von einer Möglichkeit die eigen Pin zu ändern hör ich hier das erste Mal. Die Pin Nummer für die EC-KArte war doch eigentlich immer ein unverrückbares Dogma. Ging die Nummer verloren (ergo man hatte sie vergessen), musste ja immer gleich eine neue Karte mit neuem Pin bestellet werden.

Du vermischst hier Onlinebanking-PIN und Bankkarten-Karten-PIN. Hast Du die 32 Beiträge vor Deinem überhaupt gelesen? Es hat sich sehr klar herausgestellt, dass die 5stellige Onlinebanking-PIN absolut ausreichend ist, da das Konto nach der dritten Fehleingabe sowieso gesperrt wird.

Was die Bankkarten-PIN betrifft: Da muß man von Bank zu Bank unterscheiden. Sicher gibt es viele Banken, bei denen die Bankkarten-PIN auch heute noch nicht änderbar ist. Allerdings gibt es auch einige, wo das schon seit langen Zeiten geht. Schon bei der Hypo-Bank (vor der Fusion mit der Vereinsbank zur HypoVereinsbank) konnte an den eigenen Geldautomaten die PIN selbst geändert werden. Man bot das Feature schon vor knapp 20 Jahren an!