Una seconda carta bancaria è arrivata con lo stesso PIN

Naviga le tue risposte
3

Recentemente ho chiesto una seconda carta di credito per il mio partner da utilizzare sul mio account e sono rimasto sorpreso quando il suo numero PIN preimpostato si è rivelato uguale al mio.

Provenendo da uno sfondo di sviluppo ho supposto che i PIN fossero in qualche modo hash.

Sembra molto improbabile che si tratti di una coincidenza, perché i PIN delle carte di credito non vengono memorizzati con l'hash piuttosto che (si spera) crittografati e perché non generarne uno nuovo per la seconda scheda?

    
posta Liath 02.07.2014 - 16:32
fonte

4 risposte

6

A che cosa serve hashing un PIN a 4 cifre? Hai solo bisogno di 10.000 round per recuperare il PIN, anche se ogni PIN ha il proprio sale. Probabilmente sono archiviati crittografati, per impiegati locali ecc., Ma per un ingegnere che lavora lì non sarà un grosso problema estrapolare il PIN dal database.

    
risposta data 02.07.2014 - 16:48
fonte
2

Ho visto accadere questo a un ex collega: si è lamentato del fatto che quando ha chiesto alla sua banca una nuova carta, ne ha ricevuta una con lo stesso numero PIN.

Possibili spiegazioni:

  • I PIN vengono generati casualmente, ma in qualche modo vengono memorizzati "in chiaro"; quando richiedi una nuova scheda viene innescato con il pin memorizzato
  • Colpo di fortuna
  • I PIN non sono casuali, ma dipendono dalla combinazione (numero della carta + data di scadenza + nome del titolare). Quale sarebbe un problema MAJOR , quindi preferirei non pensarci nemmeno.

Dicendo "in chiaro" intendo che è memorizzato in modo leggibile da una macchina, potrebbe essere un database crittografato con la chiave memorizzata in una posizione sicura. Non significa necessariamente che sia in chiaro su un post-it.

    
risposta data 02.07.2014 - 16:48
fonte
0

La mia ipotesi migliore è che tu sia stato davvero fortunato ad avere lo stesso PIN. Alla fine, sono solo 4 cifre e 1/10000 possibilità di ottenere lo stesso risultato. I miracoli accadono ogni giorno.

Per verificare ciò, è possibile aprire un altro conto bancario e fare lo stesso. La probabilità che questo accada due volte sarà molto più piccola. : -)

    
risposta data 02.07.2014 - 16:48
fonte
0

Tutti i tipi di PIN, TPINS (utilizzato per le transazioni basate su dispositivi mobili / telecomunicazione) o FPIN (solitamente utilizzati per l'E-Banking) sono generati da HSM.

HSM genera un PIN applicando operazioni crittografiche (i dettagli dipendono dal produttore e dal tipo di HSM) informazioni fornite come PAN, numeri di conto, ecc. In breve, un PIN è un formato compresso di tutte le informazioni di cui sopra racchiuse in 4 cifre.

Per avere unique PIN è necessario avere almeno un'entità unica nel set di informazioni fornite a HSM per questo scopo per es. come il numero di identificazione nazionale dei clienti. Ma se il PIN viene ripetuto significa che le tue banche non hanno un'entità unica nel set che stanno usando informazioni come PAN, numeri di conto ecc. Che sono uguali per entrambi in questo caso, quindi lo stesso PIN.

Tuttavia, questo potrebbe essere chiamato un errore di configurazione, ma ancora una volta non può essere un difetto di sicurezza, perché devi sempre modificare il PIN iniziale prima di poter iniziare a utilizzare comunque quella scheda.

    
risposta data 07.07.2014 - 18:40
fonte

Leggi altre domande sui tag

Tutti gli hash delle password non salati sono intrinsecamente insicuri? Permettere agli utenti di riprendere da dove erano rimasti ... senza effettuare il login (questa è una cattiva forma?)