Um noch ein fachliches Argument anzubringen: In der IT-Sicherheit ist es seit vielen Jahren akzeptierter Konsens, das ein häufiges Ändern von Passwörtern nicht die Sicherheit erhöht - im Gegenteil, denn häufig geänderte Passwörter werden schnell mal aufgeschrieben und können dann verloren gehen.
Stattdessen wird empfohlen, für jeden Dienst ein eigenes, komplexes Passwort zu nutzen und mit einem Passwort-Manager zu verwalten. Und jedes diese Passwörter nur genau dann zu ändern, wenn es den Verdacht gibt, dass es verloren gegangen ist.
Auf Karten bezogen heißt das, für jede Karte eine eigene PIN und diese sicher verwahren reicht völlig aus. Dann ändern, wenn jemand unbefugt Kenntnis über die PIN erlangt hat, und ansonsten sich mit anderen, wichtigeren Dingen beschäftigen.
Und zumindest ich kann sagen, dass in meinen vielen Jahrzehnten Bankennutzung noch nie jemand (unbefugt) eine PIN erfahren hat. Insofern scheint mir das eher ein akademisches Problem zu sein.
Dass die Anzahl der Stellen einer PIN auf genau vier beschränkt ist, ist dahingegen sicherheitstechnisch tatsächlich zu kritisieren. Hier würde eine Erweiterung auf mindestens vier Stellen die mögliche Sicherheit sehr erhöhen. Aber das werden wir wahrscheinlich nicht mehr erleben, vorher werden bessere Lösungen als vierstellige Passwörter umgesetzt werden.
