Forza bruta offline del PIN di una carta bancaria

Naviga le tue risposte
8

Potrei trascurare un fatto cruciale qui, ma mettere insieme quanto segue mi porta a credere che sia facile, facile determinare il PIN di una carta di credito usando l'hardware di base disponibile a tutti (parlo per il mio paese in quanto segue) :

  • Ogni banca ha un'applicazione di internet banking che utilizza un "digipass" per verificare l'utente. Questi sono tutti fatti in Cina e ci sono solo alcuni modelli in uso. Non importa quale logo o numero di serie si trovano sul dispositivo, funzionano tutti allo stesso modo.
  • Il digipass richiede il tuo PIN e sa se è corretto o meno (abbastanza veloce).
  • Un normale PIN è composto da 4 cifre, per 10000 possibili codici. Forza brutale è facile.

Metti tutto insieme e ottieni questo:

  1. Ruba una carta bancaria,
  2. modificare un digipass per consentire una rapida successione di prove del numero PIN e rilevare se ritiene che il PIN inserito sia corretto (questo è semplice? elettronica, davvero)
  3. Ottieni il PIN di una scheda, ad esempio, 5 secondi per tentativo, circa 14 ore.

Devo davvero mancare qualcosa, o la sicurezza delle carte di credito è ridicola?

    
posta rubenvb 20.11.2012 - 11:58
fonte

4 risposte

13

Il chip incorporato nella smart card si blocca automaticamente dopo un numero definito di voci PIN errate, in genere tra 3 e 10 tentativi.

    
risposta data 20.11.2012 - 12:21
fonte
7

Dubito che tu abbia effettivamente bisogno di ripetere tutte le 10.000 combinazioni. C'è una bella analisi qui sulla frequenza di diverse coppie di numeri:

link

Fondamentalmente, iniziando con il 19XX e passando per le posizioni, si ottiene un tasso di successo molto più alto rispetto a quando i numeri PIN venivano effettivamente generati casualmente.

    
risposta data 20.11.2012 - 14:28
fonte
5

Il passaggio 1 è semplice, il passaggio 2 è difficile. I chip sono progettati per prevenire questo tipo di manomissione, i gruppi di ricerca hanno lavorato per anni su modi per fare ciò che stai proponendo senza attacchi riusciti.

    
risposta data 20.11.2012 - 12:30
fonte
2

Non ho mai sentito parlare di questo digipass. Non ne uso uno quando faccio attività bancarie online, quindi non credo che l'attacco si applichi negli Stati Uniti.

Negli Stati Uniti, abbiamo una carta bancomat (una carta magstripe con alcuni dati su di essa), e se si ruba la carta bancomat di qualcuno, si può provare vari PIN. Tuttavia, la verifica di un PIn implica una comunicazione con il mainframe della banca e se si immette il PIN errato per circa 3 volte, la banca ingerisce la propria carta bancomat (e presumibilmente blocca l'account). Pertanto, l'ipotesi esaustiva del numero PIN non funzionerà, perché si ottengono solo alcuni tentativi.

Mi aspetto che le banche statunitensi applichino la stessa difesa contro la supposizione delle password di banking online. E qualunque sia il tuo paese, mi aspetto che le banche applichino una difesa simile contro l'ipotesi esaustiva del tuo PIN, implementate nel digipass o in alternativa implementate nei sistemi di back-end bancari (quest'ultimo è possibile solo se l'autenticazione richiede qualche interazione tra il digipass e il server bancario, ma questo è un modo ragionevole per progettare un protocollo di autenticazione).

    
risposta data 20.11.2012 - 22:07
fonte

Leggi altre domande sui tag

Come bloccare alcuni siti Web e l'utilizzo di torrent in un piccolo ufficio? La chat su Skype espone il mio indirizzo IP?