Data: 2012-11-14 20:02:49 | |
Autor: DooMiniK | |
PIN do karty - przechowywany przez bank? | |
Witam.
Czy to normalne, że bank potrafi wysłać stary pin w przypadku, gdy został zapomniany? Tj. czemu bank przechowuje pin a nie np. generuje nowy? -- Dominik Siedlak (bachus) bachus(at)post(dot)peel |
|
Data: 2012-11-14 21:05:50 | |
Autor: MarcinF | |
PIN do karty - przechowywany przez bank? | |
W dniu 2012-11-14 21:02, DooMiniK pisze:
Czy to normalne, że bank potrafi wysłać stary pin w przypadku, A czy ten stary pin został wygenerowany przez bank ? |
|
Data: 2012-11-14 20:43:53 | |
Autor: DooMiniK | |
PIN do karty - przechowywany przez bank? | |
On 14/11/2012 20:05, MarcinF wrote:
W dniu 2012-11-14 21:02, DooMiniK pisze: Tak. Chodzi mi o to, czemu bank przechowuje PIN. -- Dominik Siedlak (bachus) bachus(at)post(dot)peel |
|
Data: 2012-11-14 22:57:18 | |
Autor: Tomasz Chmielewski | |
PIN do karty - przechowywany przez bank? | |
On 11/14/2012 10:43 PM, DooMiniK wrote:
On 14/11/2012 20:05, MarcinF wrote: W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez ciebie w bankomacie czy sklepie sie zgadza? Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej. A czemu twoj bank nie zmienia PINu w przypadku jego utraty - to juz raczej kwestia jego procedur (nienajlepszych zreszta, moim zdaniem). -- Tomasz Chmielewski http://blog.wpkg.org -- - news://freenews.netfront.net/ - complaints: news@netfront.net -- - |
|
Data: 2012-11-14 17:41:56 | |
Autor: witek | |
PIN do karty - przechowywany przez bank? | |
Tomasz Chmielewski wrote:
do tego pin mu nie jest potrzebny.
jeszcze musisz wiedziec jak zaszyfrowanej. zapisz sie na jakis kurs kryptografii. |
|
Data: 2012-11-15 23:48:56 | |
Autor: Krzysztof Halasa | |
PIN do karty - przechowywany przez bank? | |
witek <witek7205@gazeta.pl.invalid> writes:
W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez Potrzebne jest coś, co pozwoli na jego sprawdzenie. Nawet 6 cyfr to dla zwykłego komputerka czas grubo poniżej sekundy. Jakąś możliwością jest taka, w której sprawdzenie każdej kombinacji byłoby bardzo kosztowne obliczeniowo. Wtedy oczywiście atak na pojedynczą kartę wciąż byłby możliwy (i łatwy - komputery w banku nie mogą być nieograniczone), ale już atak na np. wszystkie karty byłby nieopłacalny. Tyle że to nie rozwiązuje żadnego praktycznego problemu. Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to Przecież ma rację, no może poza tym, że to aż tak długo nie trwa. Nie myślisz też chyba że łatwiej ukryć algorytm niż bazę PINów? BTW zawartość bazy wygeneruje (z dużym prawdopodobieństwem) w sposób sensowny bezduszny prosty program typu cat /dev/random. Zrób to samo z algorytmem, i nie zdziw się później, gdy okaże się trywialnie łamalny. BTW znakomita większość "autorskich" algorytmów szyfrujących jest trywialnie łamalna, nawet jeśli teoretyczne założenia umożliwiają napisanie dobrego algorytmu (tu tego nie mamy). W tej chwili praktycznie dowolne algorytmy tego typu operujące na powiedzmy 48-bitowych kluczach są łatwe do złamania nawet amatorskimi sposobami. 4-cyfrowy PIN to jest tylko (prawie) 14 bitów, w kontekście kryptografii to nawet nie jest śmieszne. -- Krzysztof Halasa |
|
Data: 2012-11-16 04:31:38 | |
Autor: TrzyLinie | |
PIN do karty - przechowywany przez bank? | |
W dniu 2012-11-15 23:48, Krzysztof Halasa napisał(a):
W tej chwili praktycznie dowolne algorytmy tego typu operujące na Czy PIN się szyfruje sam? Chyba można go uzupełnić numerem karty, nazwiskiem, PESELem, numerem dowodu, kolorem włosów, długością w zwisie... -- TrzyLinie |
|
Data: 2012-11-17 17:09:35 | |
Autor: Krzysztof Halasa | |
PIN do karty - przechowywany przez bank? | |
TrzyLinie <trzylinie@o2.pl> writes:
Czy PIN się szyfruje sam? Chyba można go uzupełnić numerem karty, nazwiskiem, Nie ma to żadnego znaczenia - to nie są tajne dane. -- Krzysztof Halasa |
|
Data: 2012-11-18 01:04:15 | |
Autor: Eneuel Leszek Ciszewski | |
PIN do karty - przechowywany przez bank? | |
"Krzysztof Halasa" m37gpkyzwg.fsf@intrepid.localdomain Czy PIN się szyfruje sam? Chyba można go uzupełnić numerem Nie ma to żadnego znaczenia - to nie s± tajne dane. Przykładowo pesel jest numerem, który warto znać, aby dostać się do Mille. -- .`'.-. ._. .-. .'O`-' ., ; o.' eneuel@@gmail.com '.O_' `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... |
|
Data: 2012-11-22 07:16:26 | |
Autor: Zibo | |
PIN do karty - przechowywany przez bank? | |
W dniu czwartek, 15 listopada 2012 23:49:00 UTC+1 użytkownik Krzysztof Halasa napisał:
witek <witek7205@gazeta.pl.invalid> writes: A nie można przyj±ć założenie że kluczem szyfruj±cym nie jest PIN tylko jaki¶ wielobitowy klucz inny a pin jest czę¶ci± wiadomo¶ci szyfruj±cej? |
|
Data: 2012-11-22 09:36:35 | |
Autor: witek | |
PIN do karty - przechowywany przez bank? | |
Zibo wrote:
A nie można przyj±ć założenie że kluczem szyfruj±cym nie jest PIN tylko jaki¶ wielobitowy klucz inny a pin jest czę¶ci± wiadomo¶ci szyfruj±cej? s± całe algorytmy do wymiany i uzgadniania kluczy. |
|
Data: 2012-11-22 19:53:18 | |
Autor: Krzysztof Halasa | |
PIN do karty - przechowywany przez bank? | |
Zibo <z.zibo.z@gmail.com> writes:
A nie można przyjąć założenie że kluczem szyfrującym nie jest PIN Tzn. rozumiem że PIN ma być częścią wiadomości szyfrowanej. Oczywiście, można tak zrobić, tyle że bank w dalszym ciągu będzie znał PINy - zaszyfrowane, ale będzie je mógł (i musiał) sobie odszyfrowywać swoim kluczem, który przecież musi znać. Problem leży w wielkości przestrzeni PINów (kluczy). W tym przypadku tylko PIN jest tajny i potencjalnie nieznany bankowi, a brutalny atak na niego jest dziecinnie łatwy. Nie ma żadnej innej informacji, nieznanej bankowi, która byłaby znana właścicielowi terminala (bankomatu), i która mogłaby służyć jako część klucza. Gdyby np. było tak, że na podstawie odcisków palców dałoby się wygenerować część klucza, i gdyby te odciski palców były przynajmniej tak tajne jak PIN, _oraz_gdyby_bank_ich_nie_znał_, oraz gdyby bankomaty i inne terminale mogły ich używać (wraz z PINem) do obliczenia całego klucza, to to miałoby teoretyczny sens. Oczywiście w praktyce tak by to nie działało. Istnieje metoda bezpiecznej dla obu stron weryfikacji zleceń bankowych, i jest zresztą dość szeroko wykorzystywana - tyle, że nie w bankowości detalicznej. Klient po prostu podpisuje zlecenie swoim asymetrycznym kluczem prywatnym, bank to sprawdza i wystawia potwierdzenie (podpisane kluczem banku). W takim układzie żadna ze stron nie zna klucza prywatnego drugiej strony ani żadna ze stron nie może się wyprzeć wystawienia zlecenia (ani jego treści, w tym np. czasu wystawienia). Jednak takie rozwiązanie zastosowane dla "Kowalskiego" miałoby pewnie zasadnicze wady, związane z niewielką świadomością i możliwościami "Kowalskiego". -- Krzysztof Halasa |
|
Data: 2012-11-23 10:34:22 | |
Autor: Jarek Andrzejewski | |
PIN do karty - przechowywany przez bank? | |
On Thu, 22 Nov 2012 19:53:18 +0100, Krzysztof Halasa <khc@pm.waw.pl>
wrote: kluczem banku). W takim układzie żadna ze stron nie zna klucza pozostaje kwestia zaufania do urz±dzeń przechowuj±cych klucze i przeprowadzaj±cych operację wyliczania MAC i znakowania czasem... -- pozdrawiam, Jarek Andrzejewski Super gadżet na Mikołaja lub gwiazdkę: zwijacz do krawata! http://allegro.pl/show_item.php?item=2808394711 |
|
Data: 2012-11-23 22:09:10 | |
Autor: Krzysztof Halasa | |
PIN do karty - przechowywany przez bank? | |
Jarek Andrzejewski <ptja.pl@gmail.com> writes:
kluczem banku). W takim układzie żadna ze stron nie zna klucza Zakładamy że bank może ufać swoim urządzeniom. Na drugim końcu (klienta) potencjalny problem jest zawsze mniejszy lub równy temu, który mamy używając PINów, haseł itp. -- Krzysztof Halasa |
|
Data: 2012-11-14 21:19:35 | |
Autor: DooMiniK | |
PIN do karty - przechowywany przez bank? | |
On 14/11/2012 20:57, Tomasz Chmielewski wrote:
On 11/14/2012 10:43 PM, DooMiniK wrote: Czyli uważasz, że przechowywanie haseł to dobra praktyka? Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to .... bierzesz pod uwagę wyciek takiej bazy? W przypadku 'zewnętrznego' użytkownika kilka nieudanych prób (blokuj±cych kartę) skutecznie obala teorię o współczesnych komputerach. A czemu twoj bank nie zmienia PINu w przypadku jego utraty - to juz Moim zdaniem nie powinien przechowywać kodu PIN i tego się będę trzymał - albo czego¶ tu nie rozumiem... -- Dominik Siedlak (bachus) bachus(at)post(dot)peel |
|
Data: 2012-11-14 21:27:23 | |
Autor: DooMiniK | |
PIN do karty - przechowywany przez bank? | |
On 14/11/2012 21:19, DooMiniK wrote:
On 14/11/2012 20:57, Tomasz Chmielewski wrote: Czytam dokumentację do kart płatnicznych i zanim za głęboko w to wejdę: - PIN jest także przechowywany na karcie płatnicznej, - po np. zmianie PIN do karty przez internet przy pierwszym użyciu karty płatniczej w terminalu (PIN się nie zgadza), system sprawdza flagę, czy oby PIN po stronie banku się nie zmienił - jeżeli tak, to po udanym uwierzytelnianiu PIN na chipie karty zostaje uaktualniony. -- Dominik Siedlak (bachus) bachus(at)post(dot)peel |
|