Idee 1 (ohne Javascript):
Die Ziffern werden zwischen anderen "versteckt". Der User muss Pluszeichen durch seine Ziffern ersetzen. Die Position der Pluszeichen wird im Ernstfall bei jedem Abruf neu bestimmt.

Viel zu kompliziert.

Idee 2 (mit Javascript):
Die eingegebene Kontonummer (a) wird codiert, indem ihr ein Code (b) gegenübersteht. Ziffer für Ziffer wird nun a von b abgezogen. Natürlich auch hier: Bei jedem Aufruf ein neuer Code.

Taugt gegen Abhören gar nichts.

Das ist nicht absolut wasserdicht, aber doch wohl ganz tauglich ?

Das ist alles andere als wasserdicht. Was hindert Dich daran, https einzusetzen?