Perché la modifica del PIN non influisce sui dati registrati sulla scheda magnetica?

In passato potrebbero aver codificato il PIN sulla carta, tuttavia si spera (come indica il tuo test) che si siano fermati. Sembra che l'articolo che citi sia del 2009, che è piuttosto obsoleto.

Per quanto riguarda il motivo per cui non dovrebbero codificare il PIN sulla carta, consulta la pubblicazione speciale NIST 800-63-2, la linea guida per l'autenticazione elettronica. Nel caso dell'autenticazione Multi-Factor dovrebbe consistere in una combinazione di "Qualcosa che conosci, qualcosa che hai e qualcosa che sei". Per una carta e un sistema PIN hai qualcosa (la carta) e conosci qualcosa (il PIN). Se codi il PIN sulla scheda, hai solo qualcosa, che è l'autenticazione a fattore singolo e non è così sicuro.

Se sei interessato alla sicurezza dei PIN nelle carte di credito puoi dare un'occhiata a: link . Questo è il requisito PCI per la protezione dei PIN.

Per quanto riguarda le differenze nei dati discrezionali, queste potrebbero provenire da diverse fonti. Dalla ISO / IEC 7813 la lunghezza massima di registrazione della traccia 1 e 2 è diversa. Il DD è usato per riempire il saldo dei caratteri.

Per i dati discrezionali l'implementazione è lasciata alla società emittente. Per quanto riguarda ciò che potrebbe contenere, potresti essere in grado di scoprirlo guardando la documentazione della società emittente (dubito piuttosto che troverai qualcosa ma sono accadute cose più strane). Potrebbe essere solo il riempimento casuale per raggiungere la lunghezza corretta o potrebbe contenere dati aggiuntivi. Vedi link .

L'intero punto del pin è che non si trova sulla carta, ma piuttosto nei computer della banca in modo che l'accesso fisico alla carta non possa darti queste informazioni. Se fosse sulla carta, sarebbe solo un numero di conto più lungo.

Nessun codice PIN è memorizzato su Magstripe. Esistono essenzialmente 2 tipi di strategie PIN comunemente utilizzate nei pagamenti con carta: PIN offline e online.

Il PIN offline richiede che il valore del PIN sia memorizzato in modo sicuro all'interno del chip in un modulo antimanomissione. Durante la verifica, il valore PIN immesso dal titolare della carta viene inviato al modulo per la verifica.

Gli scenari PIN online inviano il PIN nella richiesta di autorizzazione all'host dell'istituto finanziario per la verifica rispetto al valore PIN protetto nel loro database.

Se sei in grado di modificare un PIN su una chip card, usando gli script, probabilmente stai cambiando il PIN offline nel chip. Non c'è alcuna visibilità per i PIN nel magstripe.

Per aggiungere alle altre due risposte, i dati sulla striscia magnetica vengono memorizzati utilizzando la codifica IEC_7813 . Secondo Wikipedia i Dati discrezionali possono includere il PIN. Normalmente no.

Il mio ricordo del modo in cui usato per lavorare era approssimativamente il seguente, che ha entrambi un certo grado di sicurezza e consente di modificare il PIN offline.

• Le banche archiviano per ciascuna carta il "PIN bancario", che è il PIN iniziale della carta inviato all'utente.
• Il PIN sulla banda magnetica è impostato su 0000 (o un numero casuale noto)
• Quando un PIN viene inserito in uno sportello automatico, il PIN inserito e il PIN sulla banda magnetica vengono sommati insieme, la risposta viene formulata in modulo 10.000 e il risultato trasmesso alla banca e confrontato con il 'Bank PIN'
• Quando cambi il PIN sulla carta, tutto ciò che accade è memorizzato offset modifiche.

Credo che il codice sulla banda magnetica possa essere chiamato PVV (o "offset PIN"). Vedi per es. qui e qui per un riferimento precedente, dal secondo al quale (fine della sezione 3.1):

Finally, to permit the cardholders to change their PINs, an offset is added which is stored in the mainframe database along with the account number. When an ATM verifies an entered PIN, it simply subtracts the offset from the card before checking the value against the decimalised result of the encryption.

Vedi qui (vedi nota sotto) per un riferimento moderno:

PINCP: PIN Control Parameters (PINPARM). 6 digits:

If FC = 01 the two first digits represent the algorithm used to calculate PIN, where 00-09 mean private algorithm, 10-19 mean DEA and values 20 to 99 are reserved for future use by ISO/TC 68. Next 4 digits are PIN offset, a complementary value of PIN so customers can change their PIN, or PVV.

If FC = 02 the first digit represents the algorithm used to calculate PIN, where 0 means private algorithm, 1 means DEA and values 2 to 9 are reserved for future use by ISO/TC 68. The second digit represents a key for the algorithm. Next 4 digits are PIN offset, a complementary value of PIN so customers can change their PIN, or PVV.

If this field is not used a FS will be in place.

(quanto sopra è stato fatto dalla memoria, poi è stato cercato con Google, e solo allora mi sono reso conto che l'articolo in realtà sembra essere lo stesso di quello a cui si fa riferimento).

Il PIN è memorizzato solo nel chip (probabilmente in formato hash), non nel magstripe. Magstripe contiene solo le informazioni in rilievo visibili, quindi i lettori di magstripe sono equivalenti ai lettori di impronte, non ai lettori di chip e PIN.

Si noti che il documento citato è stato scritto nel 2002; è possibile che gli standard precedenti fossero diversi.

È possibile modificare il codice di servizio sulla banda magnetica che è possibile, in modo da poter trasformare un utilizzo elettronico prepagato solo in incassi sull'atm.