it-swarm.com.de

Warum wirkt sich das Ändern von PIN nicht auf aufgezeichnete Daten auf der Magnetkarte aus?

Ich las Breaking VISA PIN von L. Padilla. Er gab an, dass das Ändern der PIN die gespeicherten Daten auf der Karte ändern wird. Ich habe jedoch mehrere Karten ausprobiert und das Ändern der PIN hat keine Auswirkungen auf die Daten auf den Spuren 1 und 2 gespeichert.

Wie kann ich das interpretieren?

Gibt es eine Möglichkeit, PIN aus diesen Daten zu extrahieren?

Hier einige Beispieldaten:

Track1:
  PAN:6104XXXXXXXXXXXX
  Expiration date:1608
  service code:100
  Discretionary data: 91516084076901530
Track2:
  PAN: same as track1
  Expiration date:1608
  service code:100
  Discretionary data:9154177591894

Verwenden eines anderen Lesegeräts:

;6104XXXXXXXXXXXX=16081009154177591894?
20
MH Samadani

In der Vergangenheit haben sie möglicherweise das PIN auf der Karte) codiert, aber hoffentlich (wie Ihr Test zeigt) haben sie aufgehört. Es sieht so aus, als ob der Artikel, den Sie zitieren, aus dem Jahr 2009 stammt, was ziemlich out ist von Datum.

Informationen darüber, warum sie die PIN auf der Karte nicht codieren sollten), finden Sie in der NIST-Sonderpublikation 800-63-2, der Richtlinie zur elektronischen Authentifizierung. Bei der Multi-Faktor-Authentifizierung sollte dies der Fall sein bestehen aus einer Kombination von "Etwas, das Sie wissen, etwas, das Sie haben und etwas, das Sie sind". Für eine Karte und PIN System haben Sie etwas (die Karte) und wissen etwas (die PIN). Wenn Sie codieren die PIN auf die Karte, dann haben Sie nur etwas, das eine Einzelfaktorauthentifizierung ist und nicht so sicher ist.

Wenn Sie an der Sicherheit von PINs in Kreditkarten interessiert sind, können Sie sich Folgendes ansehen: https://www.pcisecuritystandards.org/documents/PCI_PIN_Security_Requirements.pdf . Dies sind die PCI-Anforderungen zum Sichern von PINS.

Die Unterschiede in den Ermessensdaten können aus verschiedenen Quellen stammen. Ab ISO/IEC 7813 unterscheiden sich die maximalen Aufzeichnungslängen von Spur 1 und 2. Die DD wird verwendet, um das Gleichgewicht der Zeichen zu füllen.

Bei diskretionären Daten bleibt die Implementierung dem ausstellenden Unternehmen überlassen. Was es enthalten könnte, können Sie möglicherweise anhand der Dokumentation des ausstellenden Unternehmens herausfinden (ich bezweifle eher, dass Sie feststellen werden, dass alles andere als seltsame Dinge geschehen sind). Es kann nur ein zufälliges Auffüllen sein, um die richtige Länge zu erreichen, oder es kann zusätzliche Daten enthalten. Siehe https://stackoverflow.com/questions/12239855/discretionary-data-from-magnetic-strip-credit-card-how-to-parse .

24
AstroDan

Der springende Punkt der PIN ist, dass sie sich nicht auf der Karte befindet, sondern auf den Computern der Bank, sodass Sie beim physischen Zugriff auf die Karte diese Informationen nicht erhalten können. Wenn es auf der Karte wäre, wäre es nur eine längere Kontonummer.

19
iAdjunct

Nein PIN wird auf dem Magnetstreifen gespeichert. Es gibt im Wesentlichen zwei Arten von PIN Strategien, die üblicherweise bei Kartenzahlungen verwendet werden: Offline- und Online-PIN.

Offline PIN erfordert, dass der Wert PIN) in einem manipulationssicheren Modul sicher im Chip gespeichert wird. Während der Überprüfung hat der Karteninhaber PIN wird zur Überprüfung an das Modul gesendet.

Online PIN Szenarien senden die PIN in der Autorisierungsanforderung an den Host des Finanzinstituts zur Überprüfung anhand des gesicherten PIN Wert in) ihre Datenbank.

Wenn Sie in der Lage sind, eine PIN auf einer Chipkarte mithilfe von Skripten zu ändern, ändern Sie wahrscheinlich die Offline PIN im Chip. Es gibt keine Sichtbarkeit zu PINs im Magnetstreifen.

7
ryd3r

Um die beiden anderen Antworten zu ergänzen, werden die Daten auf dem Magnetstreifen mit IEC_781 Codierung gespeichert. Laut Wikipedia können die diskretionären Daten die PIN enthalten. Normalerweise nicht.

Meine Erinnerung an die Art und Weise, wie verwendet wurde, war ungefähr wie folgt: Beide haben ein gewisses Maß an Sicherheit und erlauben Offline PIN Änderungen.

  • Die Bank speichert für jede Karte die 'Bank-PIN', die die ursprüngliche Karte ist PIN, wie an den Benutzer gesendet).
  • Die PIN auf dem Magnetstreifen ist auf 0000 (oder eine bekannte Zufallszahl) eingestellt.)
  • Wenn eine PIN in einen Geldautomaten eingegeben wird, werden die eingegebenen PIN und die PIN auf dem Magnetstreifen) addiert). und die Antwort modulo 10.000 genommen und das Ergebnis an die Bank übermittelt und mit der 'Bank-PIN' verglichen
  • Wenn Sie die PIN auf der Karte) ändern, werden nur Offset Änderungen gespeichert.

Ich glaube, der Code auf dem Magnetstreifen kann als PVV (oder "PIN-Offset") bezeichnet werden. Siehe z. hier und hier für eine ältere Referenz, von der zweiten (Ende von Abschnitt 3.1):

Um den Karteninhabern das Ändern ihrer PINs zu ermöglichen, wird schließlich ein Offset hinzugefügt, der zusammen mit der Kontonummer in der Mainframe-Datenbank gespeichert wird. Wenn ein Geldautomat eine eingegebene PIN überprüft, subtrahiert er einfach den Versatz von der Karte, bevor der Wert mit dem dezimalisierten Ergebnis der Verschlüsselung verglichen wird.

Siehe hier (siehe Hinweis unten) für eine moderne Referenz:

PINCP: PIN Steuerparameter (PINPARM). 6 Ziffern:

Wenn FC = 01, stellen die beiden ersten Ziffern den Algorithmus dar, der zur Berechnung der PIN verwendet wird, wobei 00-09 mittlerer privater Algorithmus, 10-19 mittlere DEA und Werte 20 bis 99 für die zukünftige Verwendung durch ISO/TC 68 reserviert sind. Die nächsten 4 Ziffern sind = PIN Offset, ein ergänzender Wert von PIN, damit Kunden ihre PIN oder PVV ändern können.

Wenn FC = 02, stellt die erste Ziffer den zur Berechnung der PIN verwendeten Algorithmus dar, wobei 0 für privaten Algorithmus, 1 für DEA und die Werte 2 bis 9 für die zukünftige Verwendung durch ISO/TC 68 reserviert sind. Die zweite Ziffer stellt einen Schlüssel für den Algorithmus dar. Die nächsten 4 Ziffern sind PIN Offset, ein ergänzender Wert von PIN, damit Kunden ihre PIN oder PVV ändern können.

Wenn dieses Feld nicht verwendet wird, ist ein FS vorhanden).

(Das Obige wurde aus dem Speicher erstellt und dann mit Google durchsucht. Erst dann wurde mir klar, dass der Artikel tatsächlich mit dem Artikel übereinstimmt, auf den Sie verwiesen haben.).

6
abligh

Die PIN wird nur im Chip (wahrscheinlich in Hash-Form) gespeichert, nicht auf dem Magnetstreifen. Der Magnetstreifen enthält nur die sichtbaren geprägten Informationen, sodass Magnetstreifenleser den Abdrucklesern entsprechen, nicht den Chip- und-PIN-Lesegeräte.

Beachten Sie, dass das zitierte Papier im Jahr 2002 geschrieben wurde; Es ist möglich, dass ältere Standards anders waren.

2
Toby Speight

Sie können Ihren Servicecode auf dem Magnetstreifen ändern, der möglich ist, sodass Sie eine vorausbezahlte elektronische Nutzung nur in Geld auf dem Geldautomaten umwandeln können.

2
ADMIN