Outbound Link Summary:
6 years ago
p3k dots

Eine große österr. Bank hat beschlossen, beim Login zu ihrem Online-Banking von nun an das vom Browser gespeicherte Kennwort automatisch (lies: mittels irgendeiner JavaScript-Trickersei) durch eine Folge von Nullen zu ersetzen – damit das Kennwort auf jeden Fall händisch eingegeben werden muss.

Nicht völlig überraschend geschah diese Änderung ohne Vorankündigung. Wenn mensch sich also wie gewohnt (mit Browser-Unterstützung) anmelden will, schlägt das logischerweise fehl.

Nach drei Fehlschlägen wird der Zugang gesperrt. Das kann durch einen Anruf recht einfach behoben werden. Danach hat mensch allerdings nur noch einen Versuch, sich erfolgreich anzumelden.

Und der schlägt natürlich mit dem voreingestellten Kennwort wieder fehl. Zugang also wieder gesperrt, wieder anrufen, da capo al fine – bis es einen Hinweis darauf gibt, was da eigentlich mit dem Kennwort passiert.

Ich möchte mir eigentlich nicht vorschreiben lassen, mein Kennwort händisch einzugeben und verwende gern die gespeicherten Kennwörter. Ist das fahrlässig? Bzw. fahrlässiger als die Kennwörter aufzuschreiben, z.B. in ein kleines Heft, alphabetisch sortiert? (Go figure.)

Bieten die mobilen TAN-Nummern denn nicht genug Sicherheit, dass auf so einen benutzerunfreundlichen Akt verzichtet werden kann?

Hat jedenfalls dazu geführt, dass ich am Telefon mit dem Support ziemlich genervt und unfreundlich war. Dafür schäme ich mich jetzt auch ein wenig.