- Personal Identification Number
-
Eine Persönliche Identifikationsnummer (PIN) oder Geheimzahl ist eine nur einer oder wenigen Personen bekannte Zahl, mit der diese sich gegenüber einer Maschine authentisieren können. Umgangssprachlich werden oft auch das redundante Akronym PIN-Nummer oder die Tautologie PIN-Code verwendet. Ursprünglich besteht eine PIN nur aus Ziffern, inzwischen gibt es aber auch Banken, die etwa beim Online-Banking PINs aus Ziffern und Buchstaben vorschreiben.
Inhaltsverzeichnis
Verwendung
Eine häufige Anwendung für PINs ist die Authentifizierung an einem Geldautomaten. Hier ist die Eingabe einer mindestens vierstelligen Zahl nötig, um einen Kontozugriff durch unbefugte Personen zu verhindern oder zumindest zu erschweren. Auch kann man mit der Bankkarte und der zugehörigen PIN in vielen Geschäften bargeldlos zahlen.
Auch für das Internetbanking ist zumeist eine PIN nötig. Mit dieser PIN und den Kontodaten kann man sich sein Konto, den Kontostand und die letzten Buchungen ansehen. Mit einer TAN kann man dann eine Überweisung tätigen oder andere Bankgeschäfte abwickeln.
PINs werden auch zum Schutz von Mobiltelefonen vor unberechtigter Nutzung und in vielen weiteren Anwendungsgebieten der Technik verwendet, wo ein Mindestmaß an Sicherheit erforderlich ist. SIM-Karten für Mobiltelefone werden mit einer PIN, PIN2, PUK und PUK2 ausgeliefert. Alle Codes sind auf der SIM-Karte gespeichert. PINs sind veränderbar, PUKs nicht. Die PUKs dienen für die Entsperrung gesperrter PINs. Die PIN2 wird zum Ändern von speziellen oft kostenpflichtigen Diensten verwendet.
Sicherheit
Ein Betrüger, der eine Maestro-Karte (ehem. EC-Karte) gefunden oder gestohlen hat, wird probieren, damit an einem Automaten Geld abzuheben. Auch wenn er die PIN nicht kennt, kann er versuchen, sie zu raten. Bei der vierstelligen Maestro-Karten-PIN aus numerischen Ziffern ist die Wahrscheinlichkeit, dass der Betrüger die PIN mit einem Versuch raten kann, 1:10000. Da jedoch im allgemeinen bis zu drei Versuche erlaubt sind, hat der Betrüger eine Wahrscheinlichkeit von etwa
die richtige PIN zu raten. Allgemein lässt sich die Ratewahrscheinlichkeit nach folgender Formel berechnen, wobei a gleich der Anzahl der möglichen PIN-Kombinationen ist und der Betrüger bei zwei bzw. drei Versuchen die falschen PINs nicht wiederholt ausprobieren wird:
- .
Wenn beim Online-Banking eine fünfstellige PIN verwendet wird mit ausschließlicher Nutzung von Ziffern, ergibt sich somit (unter Vernachlässigung der Beschränkung von Kombinationen) eine Ratewahrscheinlichkeit von ungefähr 1 zu 33 Tsd. (wegen a = 105). Falls jedoch auch Kleinbuchstaben verwendet werden, verringert sich die Wahrscheinlichkeit bei zehn Ziffern und 26 Buchstaben auf ungefähr 1 zu 20 Mio.
Damit eine PIN nicht durch wiederholtes Ausprobieren zu erraten ist (sog. Enumeration-Angriff), darf ein durch PIN geschütztes System nicht beliebig viele falsche Eingaben der PIN akzeptieren. Insbesondere bei Online-Formularen könnte ein Angreifer sonst einfach automatisch alle möglichen PIN durchprobieren.
Die meisten Systeme sperren daher nach einer bestimmten Anzahl von Falscheingaben der PIN den Zugang, der dann auf anderem Wege (meist durch eine weitere PIN oder durch den Kundendienst des Anbieters) entsperrt werden muss. Bei Geldautomaten, beim Online-Banking und bei Mobiltelefonen erfolgt die Sperre üblicherweise nach drei Falscheingaben.
Hinweise zur PIN-Auswahl
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt generell, als PIN nur zufällige Abfolgen von Zeichen aus dem zulässigen Zeichensatz zu benutzen; PINs wie z.b. "0000" oder "1234" sollten dringend vermieden werden. Auf der anderen Seite bedeutet dies, dass Angreifer diese als "unsicher" empfundenen PINs direkt ausschließen können, was die Wahrscheinlichkeit für einen erfolgreichen Angriff erhöht. Folgende Tabelle kann als Anhaltspunkt für eine sichere PIN-Auswahl gelten:
Benutzter Zeichensatz Maximale PIN-Länge Minimale PIN-Länge 0-9 19 Zeichen 12 Zeichen 0-9, A-Z 12 Zeichen 8 Zeichen 0-9, A-Z, a-z 11 Zeichen 7 Zeichen Druckbare ASCII-Zeichen 10 Zeichen 6 Zeichen Siehe auch
- Null-PIN (Verfahren zur Einsparung von PIN-Briefen)
Quelle
Wikimedia Foundation.