Meinetwegen sollen sich die Leute, welche sich Ihre Passwort nicht merken können, mit 5 Stellen begnügen, alle anderen sollten sich längere Passwörter auswählen dürfen. Die Begrenzung auf exakt 5 Stellen ist schon sehr merkwürdig und unüblich. Je länger und komplizierter ein Passwort ist, desto besser. Der Loginname darf ja auch länger sein. Da hat der Programmierer vielleicht die Vorgaben vertauscht?
Nein, hat er sicher nicht! Beim DKB-Banking ist die PIN auch exaxt fünfstellig.
Rein mathematisch betrachtet hast du zunächst einmal Recht. Es geht nun aber darum, dass Menschen sich Passwörter/PIN-Codes merken müssen. Da ist die neueste Sicherheitsforschung von der Empfehlung, möglichst lange Passwörter mit möglichst hoher Entropie zu verlangen, abgerückt. Gerade weil Menschen dann dazu neigen, unsichere Passwörter zu wählen.
In der praktischen Welt kann ein Passwort wie 1X59A sicherer sein als 93OmaSchmitz17. Die Sicherheit muss natürlich noch durch andere Merkmale unterstützt werden: Biometrie, Zwei-Faktor-Authentifizierung oder rigiroses Sperrverhalten. Letzteres ist bei der DKB implementiert. Nach drei Fehlversuchen ist der Account dicht. Es ist dabei egal, wieviel Zeit zwischen den Fehlversuchen liegt. Erst ein Anmeldung mit richtigem Passwort fürt dazu, dass die Anzahl der fehlerhaften Anmeldeversuchen zurückgesetzt ist.
Nach alles Regeln der Kunst ist das sicher. EC-Karten verwenden dieses Verfahren seit 40 Jahren. Und die haben nur eine PIN, die aus vier Buchstaben besteht.