… PIN. Den längsten PIN habe ich. Fürs Handy. Und die Geldkarte. Nicht, was Sie jetzt denken. Wobei es ja eigentlich die PIN heißt und nicht der. Ich habe also die längste, und nicht den längsten … aber das machte sich bei der Überschrift halt nicht so reißerisch. Sehen Sie es mir bitte nach.
Die Mindestlänge einer PIN wird immer wieder kontrovers diskutiert. Einerseits wird man bei Passwörtern selbst für das „Online-Forum der Hundefreunde“ zu unmenschlich langen und kryptischen Zeichenfolgen mit Ziffern, Sonderzeichen und Buchstaben (mit Groß- und Kleinbuchstaben) gezwungen. Andererseits ist die PIN bei meiner Bankkarte gerade mal vierstellig und besteht nur aus Zahlen. Das passt doch nicht zusammen, oder?
Nun … Banken und der wohl überwiegende Teil der Fachleute halten selbst vierstellige PINs bei Bankkarten, SIM-Karten im Handy und beim Online-Banking (meist fünfstellige Zahlenkombination) für ausreichend sicher. Wichtig ist dabei der Zusatz „ausreichend“. Das bedeutet nicht zwingend auch „hundertprozentig“.
Der primäre Schutzfaktor bei Bank- und Handykarten besteht im Gegensatz zum Passwort beim Online-Hundeforum nämlich noch aus einem weiteren wichtigen Punkt. Die Eingabe wird nach (zumeist) drei Fehlversuchen effektiv unterbunden und eine erneute Freischaltung ist erst durch eine aufwendige Prüfung möglich. Man muss zum Beispiel persönlich bei der Bank erscheinen. Das ist dann doch etwas anderes, als ein Klick auf „Passwort vergessen“, der einem ein neues Kennwort in den E-Mail-Posteingang legt.
Im Übrigen gibt es bei Banken auch eine so genannte Null-PIN. Hier ist nicht die Rede von 0-0-0-0, sondern davon, dass einer Bankkarte noch keine PIN zugewiesen wurde. Nutzen Sie die Karte dann erstmalig, werden Sie gezwungen, eine PIN festzulegen. Das hat zwei Vorteile. Die Bank muss Ihnen die PIN nicht teuer und aufwendig in einem undurchsichtigen und an einem anderen Tag als die Karte verschickten Brief zustellen. Sie machen das selbst und können obendrein sicher sein, dass die PIN nicht abgefangen und die Karte heimlich schon von einem bösen Postboten genutzt wurde. Eine Karte mit Null-PIN – also eigentlich „keiner PIN“ – wurde nämlich garantiert noch nicht zum Geldabheben verwendet.
Vierstellige PINs kann man also durchaus nutzen. Es schadet aber auch nicht, wenn man mittels „Wunsch-PIN“-Funktion eine längere PIN für die Bankkarte vergibt. So wie ich. Selbstverständlich nutze ich so unsichere PINs wie 1-2-3-4 nicht. Bin ja Profi. Meine PIN von der Bankkarte ist viel, viel länger. Wenn Sie es nicht weiter verraten …. Sie lautet Eintausendzweihundertvierunddreißig. Echt krass lang, oder?
Ich empfehle, PINs mit historischen Ereignissen zu verknüpfen.
Meine PIN zum Beispiel verbinde ich mit der Schlacht bei Altenesch.
Das war zwölfhundertvierunddreißig.
DIESES historische Ereignis kennt kaum jemand…
Klassisch nimmt man das Geburtsdatum des Filius, den Tag des Untergangs (Hochzeitstag) oder ähnliche, einfach erratbare Ziffernfolgen.
Dazu sei aber angemerkt, dass die PIN nur in Verbindung mit der Bankkarte funktioniert, also auch ein Fall von Zwei-Faktor-Authentifizierung, man muss etwas haben und etwas kennen.
Das, plus die Absicherung mit den drei Fehlversuchen ist schon ein deutlicher sicherheitsfaktor gegenüber dem was man für ein Freizeitfoprum o.ä. als PW benutzt. – Zumal die Benutzernamen oftmals E-Mail-Adressen sind, die ja per Definition nicht geheim sind.
Es kommt auch sehr gut, eine PIN mit wasserfestem dauerhaften Stift auf die Karte zu schreiben. Bevor jetzt alle grinsen: EINEN PIN, nicht DEN PIN. Wenn sich dann ein Dieb / unehrlicher Finder hinreißen lässt, das Ding zu benutzen, bekommt man auf jeden Fall ein Foto des Täters.