Habe gestern einen interessanten Artikel bei Petanews entdeckt, der sich mit der Sicherheit von EC-Karten beschäftigt und dabei auf einen TV-Beitrag des ARD-Wirtschaftsmagazins Plusminus hinweist, in dem EC-Karten und ihre PIN in einem etwas unsicheren Licht erscheinen: Ist die PIN wirklich eindeutig und sicher?. Interessante Sachen, die das Fernseh-Magazin da ausgegraben hat. So wurde gezeigt, dass es durchaus möglich ist die Sperre bei falscher PIN-Eingabe von 3 auf 6 zu erhöhen, indem man einmal via Chip und einmal via Magnetkarte auf die EC-Karte zugreift. Diese Komponenten sind nämlich erst einmal voneinander unabhängig. Damit verdoppelt sich die Chance auf ein Erraten der PIN. Die Banken erzählen uns aber immer brav, dass nach 3-maliger Fehleingabe Schluss ist. Ich möchte gar nicht wissen, ob durch Kopieren des Magnetstreifens und Neubeschreibung der Zustand nicht sogar beliebig oft wieder auf den Ausgangswert zurück gesetzt werden kann. Nicht unbedingt am selben Automaten oder Eingabegerät, aber vielleicht schon, wenn man das Eingabegerät wechselt.

Ebenfalls bedenklich ist die zweite Lücke, die von den Experten ausgemacht wurde. Einige elektronische Karten sollen auf mehr als eine PIN positiv reagieren. Von zwei bis 9 gültigen PINs ist da die Rede. Das klingt aber nicht ganz so sicher, wie es uns die Banken und Kreditinstitute seit Jahren und Jahrzehnten weismachen wollen. Auch früher gab es ja schon einige Ungereimtheiten im Zusammenhang mit den Karten zu vermelden, u.a. wegen Design-Schwächen bei der Generierung der PINs. Und wenn heute Bonner Forscher den PIN-Daten-Code knacken, dann können das morgen auch die bösen Wichte. Die ganz bösen Wichte schaffen das mit Hilfe von Bot-Netzen und Parallel-Computing vielleicht auch schon ein bissel früher.