Come può il mio lettore di carte bancarie sapere che il mio spillo è valido?

La carta lo sa, il lettore non lo sa. Quando si inserisce un pin nel lettore si parla con il microcontrollore sulla scheda da verificare, che registra anche i tentativi errati. Quindi più lettori non aiuteranno a cercare di indovinare un pin di alcuni corpi!
Questo è più o meno l'estensione della mia conoscenza, ma una panoramica di come funziona. I protocolli sottostanti di cui non ho conoscenza sfortunatamente. Ma i migliori ricercatori pubblici di chip e pin che ho visto fino ad oggi sono i ragazzi di Cambridge ( link ) nonostante le minacce legali contro di loro. Una risposta migliore arriverà molto presto!

Se la tua carta di debito ha un chip EMV (quasi tutti i chip sono basati su EMV oggi), molto probabilmente conosce il tuo PIN (o almeno come verificare un PIN inserito).

Se tale capacità viene effettivamente utilizzata dipende dal tipo di transazione e dal terminale; se il terminale è abilitato online, potrebbe anche verificare il PIN direttamente con i server della banca, che conoscono anche il PIN (o qualche valore derivato di verifica). Questo spiega il comportamento nella domanda di riferimento sugli ATM; semplicemente scelgono di ignorare le funzionalità di verifica del PIN integrate della carta.

Dal momento che il tuo lettore non è ovviamente collegato a nulla tranne la tua carta, il PIN che inserisci è effettivamente verificato dal software in esecuzione sulla tua scheda e non dal lettore.

Il lettore fornisce la scheda con il PIN inserito. Se corrispondono, la transazione può procedere; se non corrispondono, un contatore interno della carta viene decrementato e puoi riprovare (ma solo poche volte).

È probabile che il codice a 8 cifre sia matematicamente correlato al tuo pin (cioè la somma di un certo hash di entrambi arriva a un valore statico predefinito) in modo che il codice a 8 cifre possa servire come una sfida e un modo per convalidare il tuo PIN. Un modo per scoprire di più sulla sequenza Digipass è provare a inserire codici a 8 cifre casuali (presumibilmente errati): il codice viene immediatamente respinto o la macchina rifiuta il PIN? Per maggiori informazioni su sistemi come questo, vedi: link

Significa veramente "PIN OK"? Nel senso che hai inserito il PIN corretto? La mia banca utilizza un sistema simile. Inserisco la carta nel lettore, inserisco il mio PIN. La banca fornisce un codice di 8 cifre che inserisco nel lettore. Il lettore restituisce un codice a 8 cifre. Non è necessario sapere se il PIN inserito è corretto per generare questo codice. Se inserisco il PIN sbagliato, verrà semplicemente restituito un altro codice, che non sarà accettato dal sito web.

Card-id + PIN + request code => validation code

Se uno dei due è sbagliato, il codice risulterà sbagliato. La tua carta non ha bisogno di conoscere il PIN per farlo funzionare. Potrebbe tuttavia essere diverso.