Nur fünf Zeichen fürs Banking-Passwort?
Beim Login in das Online-Banking ihrer Sparkasse wurden Sie aufgefordert nur noch die ersten fünf Zeichen des Passworts zu verwenden. Ist das noch sicher?
Als ich mich gestern in das Online-Banking meiner Sparkasse einloggen wollte, schlug der Versuch zu meiner Überraschung fehl. Ein Popup erklärte mir, dass ich nur noch die ersten fünf Zeichen meines Passworts verwenden soll. Das hat mich ziemlich sprachlos gemacht. Ich verfüge über einige Erfahrung mit Webanwendungen, aber so etwas ist mir noch nicht untergekommen. Gerade Banken sollten doch auf möglichst sichere Passwörter bestehen, oder?
Das Problem ist uns seit vielen Jahren bekannt. Ähnliche Hinweise bekommen wir recht regelmäßig von Online-Banking-Kunden. Rein aus Sicherheitssicht ist die Risiko-Abwägung der Banken da allerdings durchaus in Ordnung: Für Transaktionen ist zusätzlich immer noch eine TAN erforderlich; deshalb kann man die Anforderungen an die Zugangs-PIN niedriger ansetzen. Als Schutz gegen einen reinen Online-Angriff genügen fünfstellige Passwörter dann durchaus, wenn man einige Randbedingungen einhält.
Videos by heise
Insbesondere muss man sicherstellen, dass ein Angreifer keine Möglichkeit hat, einen signifikanten Teil aller möglichen Kombinationen durchzuprobieren (über 300 Millinen bei alphanumerischen Zeichen mit Unterscheidung von Groß- und Kleinschreibung). Da Banken in aller Regel ein striktes Rate-Limit für die Login-Versuche vorsehen und den Zugang nach mehr als X Fehlversuchen (zumindest zeitweise) sperren, ist das gegeben. Diese eher theoretische Einschätzung wird dadurch bekräftigt, dass es praktisch keine Einbrüche in Online-Banking-Konten gibt, die auf zu kurze Passwörter zurückzuführen wären.
Bleibt die Vorbild-Funktion in Sachen Sicherheit und der Fakt, dass den Anwendern über Jahre eingetrichtert wurde, dass ein Passwort immer lang und kompliziert sein muss, um sicher zu sein. Da wäre zu wünschen, dass die Banken nachbessern und sich dem allgemeinen Standard für sichere Passwörter anschließen.
Das Problem ist, dass die Infrastruktur der Banken häufig nur auf PINs oder bestenfalls kurze Passwörter ausgelegt zu sein scheint. Ein Umbau ist offenbar teuer und aufwendig. Deshalb haben viele Banken einen Kompromiss umgesetzt: Sie lassen bei der Eingabe mehr Zeichen zu, prüfen aber nur die ersten fünf. Das führt aber zu Problemen an anderen Stellen (etwa wenn Kunden das zufällig bemerken, weil sie sich beim sechsten Zeichen vertippt haben). (ju)
