Új bankkártya a régi PIN kódjával

És akkor el lehet azon tűnődni, hogy egy 10000 elemű értékkészlet esetén van-e érdemi különbség biztonsági szempontból a hash illetve a clear text tárolás között... :)

"Amennyiben ez a kártya egy lejáró kártyájának cserekártyája, akkor a kártya PIN kódja megegyezik előző, lejárt kártyájának PIN kódjával. A kód nincs a bank rendszerében tárolva, és Önön kívül senki más nem rendelkezik róla információval."

Én úgy tudom, hogy ez tényleg létezik köszönhetően a három szereplős megoldásnak. A bankkártyákat a bankok megkérik egy külön bankkártyákkal foglakozó cégtől. A bankkártya ekkor átkerül a bank tulajdonába. A bank átadja a kártyát a felhasználónak, a papírjaival együtt. A bank a papírokat (titkos PIN) lezárt boritékban adja át, aminek tartalmát nem ismeri (ha sérületlen a boriték, akkkor ez áll, mert azt még a gyártó zárja le). A bank ezek után tudja a bankkártya számát, mi pedig tudjuk a titkos PIN-t. A PIN-t tehát csak mi illetve a gyártó ismeri. Amikor új kártyát kapsz, a száma megváltozik viszont egy azonos PIN-t kap (mert a gyártó tudja a régit). Gondolom a kettő összekapcsolására a kártya számot, meg esetleg egy ügyfél kódot használnak.

Az már inkább izgalmas lehet, hogy a gyártó vajon mennyire biztonságosan tárolja ezeket...

A PIN kód a kártyán van tárolva. Nyilván ezt valaki generálta, feltöltötte és még ki is nyomtatta számunkra, borítékba tette és feladta. Hogy ezek után mit csinált vele, nem köti az orrunkra. Szép kis világ....

[quote:54b77893b2="szsz"]

Amennyiben harmadik félnél is vannak adatok, úgy érzem hogy ezzel a "A kód nincs a bank rendszerében tárolva" dumával csak hamis biztonságérzetet akarnak kelteni az ügyfelekben.

Szabi

Valahol valóban arról van szó, hogy az ügyfelekben növeljék a biztonság érzetét...

Hát nem tudom, szvsz. a bankban így is, úgy is meg kell bíznunk, (ha le akarna emelni a számláról, leemelné úgy, hogy még visszamenőleg nézve is az látszik, hogy ott sem volt a pénz...). Innentől hogyha a tranzakcióim listája (==amivel igazolhatom, hogy tényleg van annyi a számlámon, amennyi) a bank gépén van, akkor akár a pin-kódom is lehet ott, mert ha azt feltörik, olyan édesmindegy, hogy leakasztják a pénzt, vagy úgy kavarják, hogy én azt átutaltam valahová/felvettem kp.-ben/meg se kaptam.
Bár mondjuk ha valaki behackeli magát valami ilyesmi banki rendszerbe, szerintem nem az én számlám soványításával fog foglalkozni, hanem a sajátjának a vastagításával :)...
No pláne, ha userek kopasztásával szeretnék pénzt szerezni, boltot nyitnék és a kártyaolvasó ketyere kijelzőjét és a nyomtatóját berhelném meg, hogy ugyan ne jelezze már az utolsó számjegyet, és mindent tízszeres értéken ütnék be a gépbe. A luserke vesz valamit 2000 Ft-ért, én beütök 20k-t, ő a kijelzőn és a számlán is 2k-t lát, megadja a pin-kódot, aláírja a cetlit, boldogan távozik. A terminál meg a 20k-t beszéli le a bankkal, totál hitelesen és szabályosan...

A pinkód nem csak a kártyán, hanem a bank rendszerében is nyilván van tartva kódolt formában. (kulcspár formában, azt hiszem,de ez nem biztos, lehet jobban kellett volna figyelni az oktatáson :))Ha valaki elfelejti, akkor a visszanyerése nem lehetséges, egyszerűen új kódot kap az üf.(az adott bank kártyaosztályának egy bizonyos tagja tudja csak a kódot megváltoztatni, úgy, hogy a rendszer egy random számot generál, és az rögzül. a kódot még az a személy sem látja aki "rögzítette")
Ha új kártyát kapsz, akkor a kártya száma nem változik csak az érvényességi idő nő meg 1 v. 2 v. 3 évvel a kártya típusától függően.

Ha van kérdés az üggyel kapcsolatban, nem technikai, akkor állok rendelkezésre! :)

[quote:512bf49940="gsimon"]Hát nem tudom, szvsz. a bankban így is, úgy is meg kell bíznunk, (ha le akarna emelni a számláról, leemelné úgy, hogy még visszamenőleg nézve is az látszik, hogy ott sem volt a pénz...). Innentől hogyha a tranzakcióim listája (==amivel igazolhatom, hogy tényleg van annyi a számlámon, amennyi) a bank gépén van, akkor akár a pin-kódom is lehet ott, mert ha azt feltörik, olyan édesmindegy, hogy leakasztják a pénzt, vagy úgy kavarják, hogy én azt átutaltam valahová/felvettem kp.-ben/meg se kaptam.
Bár mondjuk ha valaki behackeli magát valami ilyesmi banki rendszerbe, szerintem nem az én számlám soványításával fog foglalkozni, hanem a sajátjának a vastagításával :)...
No pláne, ha userek kopasztásával szeretnék pénzt szerezni, boltot nyitnék és a kártyaolvasó ketyere kijelzőjét és a nyomtatóját berhelném meg, hogy ugyan ne jelezze már az utolsó számjegyet, és mindent tízszeres értéken ütnék be a gépbe. A luserke vesz valamit 2000 Ft-ért, én beütök 20k-t, ő a kijelzőn és a számlán is 2k-t lát, megadja a pin-kódot, aláírja a cetlit, boldogan távozik. A terminál meg a 20k-t beszéli le a bankkal, totál hitelesen és szabályosan...

Ez már csak azért is bukovári, mert mostanában sms küldése dívik az ügyfelek részére, van hogy előbb jön meg az üzenet, mint ahogy a számlát megkapnám... :)
S ha ilyen van, azonnal telefon a banknak, és kb 1-2 nap alatt a valós összeg kerül csak leemelésre a számlámról.
A másik meg az, hogy elvileg ezeket a kütyüket nem nagyon lehet megberhelni, vagy ha mégis sikerül, akkor valahogy le kell azt is tiltani, hogy a ketyere öntesztet hajtson végre, és azt jelezze az adott bank felé. S ha hiba van a mátrixban, akkor a kütyü tilt, és addig nem használható, amíg az adott bank (aki odaadta) képviselője ki nem megy és meg nem javítja.
Bár lehet, hogy sikerülne valakinek mindezt megoldani, végül is semmi sem lehetetlen...

[quote:0f11750ab4="gsimon"]Hát nem tudom, szvsz. a bankban így is, úgy is meg kell bíznunk, (ha le akarna emelni a számláról, leemelné úgy, hogy még visszamenőleg nézve is az látszik, hogy ott sem volt a pénz...). Innentől hogyha a tranzakcióim listája (==amivel igazolhatom, hogy tényleg van annyi a számlámon, amennyi) a bank gépén van, akkor akár a pin-kódom is lehet ott, mert ha azt feltörik, olyan édesmindegy, hogy leakasztják a pénzt, vagy úgy kavarják, hogy én azt átutaltam valahová/felvettem kp.-ben/meg se kaptam.
Bár mondjuk ha valaki behackeli magát valami ilyesmi banki rendszerbe, szerintem nem az én számlám soványításával fog foglalkozni, hanem a sajátjának a vastagításával :)...
No pláne, ha userek kopasztásával szeretnék pénzt szerezni, boltot nyitnék és a kártyaolvasó ketyere kijelzőjét és a nyomtatóját berhelném meg, hogy ugyan ne jelezze már az utolsó számjegyet, és mindent tízszeres értéken ütnék be a gépbe. A luserke vesz valamit 2000 Ft-ért, én beütök 20k-t, ő a kijelzőn és a számlán is 2k-t lát, megadja a pin-kódot, aláírja a cetlit, boldogan távozik. A terminál meg a 20k-t beszéli le a bankkal, totál hitelesen és szabályosan...

És mi biztosítja, hogy van tízszeres összeg a számláján?:)

[quote:498d56f5ec="gsimon"]Hát nem tudom, szvsz. a bankban így is, úgy is meg kell bíznunk, (ha le akarna emelni a számláról, leemelné úgy, hogy még visszamenőleg nézve is az látszik, hogy ott sem volt a pénz...). Innentől hogyha a tranzakcióim listája (==amivel igazolhatom, hogy tényleg van annyi a számlámon, amennyi) a bank gépén van, akkor akár a pin-kódom is lehet ott, mert ha azt feltörik, olyan édesmindegy, hogy leakasztják a pénzt, vagy úgy kavarják, hogy én azt átutaltam valahová/felvettem kp.-ben/meg se kaptam.
Bár mondjuk ha valaki behackeli magát valami ilyesmi banki rendszerbe, szerintem nem az én számlám soványításával fog foglalkozni, hanem a sajátjának a vastagításával :)...
No pláne, ha userek kopasztásával szeretnék pénzt szerezni, boltot nyitnék és a kártyaolvasó ketyere kijelzőjét és a nyomtatóját berhelném meg, hogy ugyan ne jelezze már az utolsó számjegyet, és mindent tízszeres értéken ütnék be a gépbe. A luserke vesz valamit 2000 Ft-ért, én beütök 20k-t, ő a kijelzőn és a számlán is 2k-t lát, megadja a pin-kódot, aláírja a cetlit, boldogan távozik. A terminál meg a 20k-t beszéli le a bankkal, totál hitelesen és szabályosan...

Na akkor csak hogy tud azok akik anál a banknál vannak akinek így kűldik a kártyát havi 2-3száz forintért kapnak SMS értesítést minden tranzakciórol ami folyamatban van. A printered nyomtatja a blokot amit alá kéne írnom megjön az SMS elolvasom átveszem a blokot felhívom a bankot és még alá sem írok. Kijönnek a Banktol megvizsgálják a cucot és téged lecsuknak.

hát nemtom, szerintem sokkal egyszerűbb a dolog.
A kártyán nem lehet rajta a PIN, mert akkor minden zsebtolvaj azzal szórakozna, hogy ellopja a kártyád, leolvassa róla a PIN-t, aztán vásárol kifulladásig a te számládon. Köztudomású, hogy a talált kártyával nem sokat lehet kezdeni, amíg ki nem imádkozzák vhonnan a PIN-t (ezért nem szabad a kártya tokjára ráírni... :)).
Tehát a kártyán csak a számlaszám/egyéb azonosítók vannak. Azért, hogy más ne tudja berhelni az ATM-ből a bankba irányuló adatfolyamot, a PIN-el lekódolják a kártya hálózaton átáramló adatait. A bank rendszerében el van tárolva a PIN, és amikor megérkezik az ATM üzenete a bankhoz, akkor a bank megpróbálja az általa tárolt PIN-el dekódolni az ATM üzenetét. Ha értelmes cucc jön ki, akkor egyezett az ügyfél által beírt PIN és a bank PIN-je, szóval jó a PIN. Ha nem egyezett, akkor hablaty jön ki, és az ATM nagyokat sikít, hogy rossz a PIN.
Ez a rendszer megmagyarázza, hogy új kártya esetén miért nem kell új PIN: mert a kártyától tök független a PIN, azt csak a bank és az ügyfél tudja, és kizárólag az adatfolyam kódolására (és egyúttal hitelesítésére is) szolgál.
Így tehát megkérdőjelezhető az a mondat, hogy a bank nem ismeri az én PIN-emet...
(egyesek persze már olvasás közben rájöttek, hogy hol sántít a dolog: akadnak olyan boltok, ahol a kártyával fizetés során az automata nem kéri a PIN-t, hanem szépen szólóban leszedi a zsét a kártyáról. Na hogy ez hogy sikerül neki, azt nemtom 8O )

üdv:
JJ

Azért nem teljesen úgy van a dolog ahogy azt gondolod. Kiváncsiságból rákerestem a neten és ezen a helyen találtam a kártyák adatszerkezetéről egy leírást.

[quote:d36af54d2c="rudanj"]... a kártyától tök független a PIN ...

A leírás szerint a Track1 és Track2 is tartalmaz egy 5 számjegyű PVV mezőt, mely a PIN ellenőrzésére szolgál (gondolom valamilyen hash kód található benne). Ezek szerint mégsem kell a bankank ismernie a PIN kódot. Ezen kívül a kártya tartalmazza a hátrlevő próbálkozások számát (RC mező) is, ami szintén ezt látszik alátámasztani.

[quote:d36af54d2c="rudanj"]... akadnak olyan boltok, ahol a kártyával fizetés során az automata nem kéri a PIN-t, hanem szépen szólóban leszedi a zsét a kártyáról. Na hogy ez hogy sikerül neki, azt nemtom ...

Szintén a kártya Track1 és Track2 sávján van egy 3 számjegyű SC mező, mely meghatározza hogy hol hogyan és mire használhatod a kártyádat.

A kód nincs a bank rendszerében tárolva

De valószínű a hash-e igen.