Jak to jest z PIN-em Twojej mBankowej karty?

23.03.2010, 15:00

czyli po każdej zmianie pinu do delfina dycha z bzwbk...

16.03.2010, 23:24

Nie bądźcie tacy pewni wgrania skryptów na mikroprocesor karty we wszystkich bankomatach, np. gro maszyn Euronetu nie jest jeszcze w standarcie EMV.

16.03.2010, 09:20

Mam wrażenie jakby mój bank tłumaczył się z popełnionych błędów ?

16.03.2010, 08:54

"co mogło być przyczyną problemów z dokonywaniem transakcji kartami mBanku za granicą" i jak to ma się do tego, że kartą można zapłacić wszędzie gdzie widnieje logo VISA/Mastercard... Wygląda na to, że te organizacje nas oszukiwały ...

10.03.2010, 22:49

@mobilek

Dziękuję za taką garść komplementów.
Zarzucasz innym, że nie czytają, choć sam najwyraźniej masz pewne problemy ze zrozumieniem tego zagadnienia i kontekstu, w jakim ono występuje. Nie jest to specjalnie dziwne, bo powołujesz się na marne tłumaczenia robione przez ludzi spoza branży kartowej, podobnie nie szukających sensu w tym, co piszą. Przez branżę również przetoczył się huragan z powodu tych publikacji, co znakomicie pokazuje siłę mediów, niezależną od siły argumentów.
Dziwi mnie jednak, że pomimo jawności tez już wiele miesięcy temu do tej pory nikt nie zadał pytania, dlaczego autorzy przeprowadzili "badania" wyłącznie dla kart Visa. Czyżby duch Hegla ("tym gorzej dla faktów"?
Nie jest to jedyny z powodów, dla których uważam pracę ludzi z Cambridge za nierzetelną, ale już samo to dyskwalifikuje taką publikację naukową.
Pokłosiem artykułu jest jednak także dyskusja, która wynikła przy okazji, co finalnie może dać dodatni bilans.

09.03.2010, 08:09

Oj co wy z tym PINem znowu...Najwyraźniej nie czytacie gdzie jest błąd

"Główny problem protokołu EMV polega na tym, że pozwala karcie i terminalowi generować sprzeczne dane o procesie weryfikacji, które bank zaakceptuje jako poprawne.
Cytat:

Chwyt polega na tym by sprawić aby karta myślała, że autoryzacji podlega karta i podpis podczas gdy terminal myśli, że autoryzacji podlega karta i PIN.

Następnie wysyłany jest "z karty" kod potwierdzenia poprawności PINu 0x9000.

Umożliwia to zakup produktów z użyciem dowolnego PINu (np. 4225). Przeprowadzono test z różnymi kartami i na wydrukach była informacja, że zatwierdzono PINem."


źródło: tyt. "Zabezpieczenie kart kredytowych PINem bezużyteczne"
link : http://hack.pl/aktualnosci/zabezpieczenie_kart_kredytowych_pinem_bezuzyteczne.html

Najwyraźniej PIN tu nie ma specjalnie znaczenia gdybyś nie zauważył bystrzacho przy tablicy ))


@MG Nad "obejściem problemu" myślały chyba trochę większe głowy jak twoja z Cambridge University w UK( i z pewnością nie są pierwsi). Jeśli nadal twierdzisz że się mylą lub publikują bzdury z narażeniem własnej reputacji to chłopie najwyraźniej marnujesz się w tym kraju ))

B.R. MobileOne

09.03.2010, 07:37

Tak, transakcja w bankomacie powinna zaktualizować PIN. Wgranie skryptu odbywa się przy każdej możliwej okazji.

Ostatnio edytowany 2010-03-09 07:38 przez Marek Jedziniak

09.03.2010, 07:17

Marku, bardziej mi chodziło o to, że jak już mamy wgrany skrypt z pinem offline, to czy transakcja w bankomacie, która jest obsługiwana zawsze pinem online zaktualizuje nam pin na chipie i już nie będzie trzeba wpisywać cztery razy kodu, aby wyzerować licznik?

08.03.2010, 22:38

mobilek:

"Kradzieże" PINów o których tak głośno nie odbywają się bynajmniej przez odczytanie go z karty (to jest CHOLERNIE trudne), lecz przez przechwycenie podczas wprowadzania przez prawowitego posiadacza karty do lekko "zmodyfikowanego" przez przestępców bankomatu (mini kamerka nad klawiaturą, nakładka na klawiaturę itp.) Jednocześnie skanowany jest pasek magnetyczny.

Potem przestępcy robią transakcję "z paska" np. w bankomacie w Rumunii...

Problem potęguje fakt, że banki w U.K. zrzucają na klienta odpowiedzialność za transakcje chip&pin (bo mogą) - nawet jeśli transakcja była "z paska" (wszelkie dowody są w ręku banku, a klient może naskoczyć).

W Polsce jest trochę lepiej, ustawa ogranicza odpowiedzialność klienta do 150 Euro, chyba, że "nie dochował staranności". Jak sąd zinterpretuje "staranność" to już inna bajka, ale nie znam przykładów "z życia".

Ostatnio edytowany 2010-03-08 22:40 przez malgond

08.03.2010, 22:23

W bankomatach PIN jest weryfikowany zawsze online, ale nie przeszkadza to w tym, że można przy okazji wgrać na kartę skrypt z nowym PINem. Więc nie trzeba dodatkowo chodzić na zakupy, bankomat wystarczy.

08.03.2010, 20:54

Marek, a czy skoro w bankomatach weryfikacja PINu zawsze jest on-line to czy jest on wtedy aktualizowany od razu na chipie? Czy jeszcze trzeba dodatkowo dokonywać transakcji np. w sklepie?

Ostatnio edytowany 2010-03-08 20:57 przez wkowal

08.03.2010, 18:50

Jeszcze uzupełniając - podczas płatności PayPassem skrypt nie zostanie wgrany, musi być transakcja kontaktowa. Po zmianie PINu na odblokowanej karcie w bankomacie zadziała tylko nowy PIN, bo tam PIN jest zawsze weryfikowany online. W sklepach może zadziałać stary, ale po pierwsze tylko za pierwszym razem, poza tym jeśli terminal z jakiegoś powodu wybierze weryfikację online, to będzie odmowa. Więc lepiej posłużyć się nowym, tyle że trzeba go będzie podać 4 razy - 3 razy weryfikacja PINu offline do wyzerowania licznika prób (za każdym razem będzie komunikat o błędnym PINie, ale tylko komunikat, nie odmowa wykonania transakcji), po czym za czwartym razem będzie weryfikacja online plus wgranie skryptu i nowego PINu.

Ostatnio edytowany 2010-03-08 18:51 przez Marek Jedziniak

08.03.2010, 17:38

@mobilek:

Artykuł zyskał spory rozgłos ostatnimi czasy, choć jako rewelację opisuje znaną od lat właściwość systemu.
Tezy stawiane w tym artykule są, delikatnie mówiąc, sporo przesadzone. Sprzeczność danych jest wykrywalna wbrew temu, co piszą autorzy, których rzetelność pozostawia nieco do życzenia. Wyraźnie między wierszami widać, że mają stosunek emocjonalny do opisywanego przez siebie problemu, co jest sprzeczne z założeniami publikacji naukowych.

Choć nie czuję się wywołany do tablicy (mimo zbieżnych inicjałów nie ja jestem autorem wpisu na blogu oraz rewelacji podawanych w komentarzach) chętnie odpowiem na zadane pytania:

1. Czy zwać to gwarancjami, czy nie, platformy kartowe są testowane przez co najmniej kilka organizacji, od laboratoriów EMVCo zaczynając, poprzez NIST dla FIPS 140-2, CCRA dla Common Criteria, itp. Odpowiada za to producent układu, na którym oparta jest karta.

2. Odpowiedź na to pytanie znajduje się w jawnej i publicznie dostępnej dokumentacji.
W skrócie:
- szyfrowanie PIN przez kartę na poziomie EEPROM jest zapewniane przez producenta układu,
- PIN jest przekazywany do weryfikacji do karty w jednej z dwóch możliwych postaci (w zależności od karty i sposobu jej spersonalizowania):
a) jawnej
b) szyfrowanej za pomocą klucza publicznego karty

3. Nowa wartość PIN przesyłana jest jako skrypt, zgodnie z mechanizmem opisanym w normie EMV. Do tego celu wykorzystywana jest kryptografia symetryczna (3-DES) przez mechanizm zwany Secure Messaging for Confidentiality.

4. Zmiana PIN dokonywana jest skryptem. Skrypty przesyłane są tylko w transakcjach stykowych. Po zmianach PIN online w systemie Banku, do momentu jego synchronizacji skryptem, egzystują dwie różne wartości. Z tego powodu, banki posiadające własne bankomaty, preferują zmianę PIN właśnie w tych urządzeniach - wtedy zmiana obu wartości PIN może być zsynchronizowana.

5. Dla kart mBanku jeśli PIN offline w karcie masz zablokowany, to używany będzie PIN online, a więc nowy. Jeśli w karcie masz już odblokowany jakiś PIN offline, to w terminalach obsługujących karty EMV prawdopodobnie będzie on używany (a więc stary). W bankomatach używany jest zawsze PIN online (a więc wtedy należy użyć nowego).

6. To już pytanie do Banku. Koszt jest związany raczej z samą polityką banku, ew. amortyzowaniem kosztu wdrożenia.


Moim zdaniem, jawność dokumentacji jest jak najbardziej wskazana, gdyż bezpieczeństwo nie powinno się opierać na tajności algorytmów, ale wartości kluczy. Oburzenie z tego powodu jest dla mnie nieporozumieniem. Bez większych problemów dokumentacja ta odpowiada na wszystkie powyższe pytania, więc może warto zacząć od przeczytania jej, po prostu.

08.03.2010, 16:01

Cała afera skończy się łatą - tak jak wtopa przy SSL :D:D:D
Zapomnieliście w swoim dążeniu do sensacji o jednej kwestii. Bank może on line pisząc prosto "wzmocnić" zabezpieczenia, a karta wieczna nie jest 2-4 lata i masz nowy plastik i nawet nie wiesz co na tym chipie masz. Ta "afera chipowa" skończy się jak z sim'ami do komórek... ktoś kupi licencje na lepsze zabezpieczenia i na kilka lat spokój....


Ostatnio edytowany 2010-03-08 16:01 przez blom

08.03.2010, 12:25

look at me... http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html

08.03.2010, 12:20

Coś dla tych których tak podnieca EMV

"Opublikowano szczegółowy materiał o ataku man in the middle (człowiek w środku) przeciw systemowi płatności kartą EMV - Eurocard Mastercard Visa. Wykorzystanie ataku pozwala użyć skradzionej karty kredytowej albo karty płatniczej bez znajomości PINu czyli z dowolnym...

Główny problem protokołu EMV polega na tym, że pozwala karcie i terminalowi generować sprzeczne dane o procesie weryfikacji, które bank zaakceptuje jako poprawne."

źródło: http://hack.pl/aktualnosci/zabezpieczenie_kart_kredytowych_pinem_bezuzyteczne.html

Jak nie możliwe staje się możliwe: http://kartyonline.pl/arty.php?id=231

Z najlepszymi życzeniami z okazji Dnia Kobiet!

08.03.2010, 11:58

Z kartami płatniczymi mBanku były problemy również na Słowacji i Litwie.
Szanowny Panie autorze jeśli PIN jest przechowywany na karcie to:

1. Jakie są gwarancje jego zabezpieczeń(proszę się nie ośmieszać twierdząc ze coś jest 100% bezpieczne) ?

2. W jaki sposób informacja o PIN jest szyfrowana i na jakim poziomie(zakładając że jest bo inaczej to nie ma sensu) ?
( w niemczech, UK i krajach starje UE ostatnio prawdziwa plaga jest kradzież PIN nas w Polsce też to czeka kwestia czasu)

3. Kto gwarantuje i w jaki sposób że nowy PIN przesłany np. przy transakcji w sklepie nie zostanie przechwycony i przekazany komuś kto go wykorzysta do wypłaty środków z naszych kont?

4. W jaki sposób w opisanej wcześniej transakcji czyli podczas płatności kartą w sklepie PIN zostanie zmieniony?

Zakładamy że transakcja jest dokonywana ostatnim hitem czyli kartą zbliżeniową(bezstykowo) ?

Czy PIN w tym przypadku zostanie zmieniony Bezprzewodowo ? )))(Czy cały bajer tu nie działa?)

Jeśli zmieniam PIN w systemie(on-line) to nie działa on na karcie - tak wynika z artykułu.

5. Jeśli posiadam stary PIN na karcie to czy po jego zmianie w sklepie używam już nowego numeru PIN czy starego ?

6. Ile kosztuje zmian PIN ?

Dla zainteresowanych polecam kilka ciekawych artykułów i opisów klientów banku którym wyczyszczono konta(ze specjalna dedykacja dla tych co ślepo wierzą w kryptografie).

http://www.bankier.pl/forum/temat_kod-pin-zlamany-mozna-oszukac-terminal,8068965.html

http://www.wiadomosci24.pl/artykul/coraz_czesciej_kradna_nam_pin_128620.html

http://prawo.money.pl/aktualnosci/wiadomosci/artykul/skaner;na;bankomacie;zlodzieje;ukradli;numery;kart;i;pin-y,237,0,417773.html

Prawdę mówiąc to większość dokumentacji systemów, którymi posługują się polskie banki i banki UE jest dostępna w internecie a resztę można dokupić więc wcale mnie nie dziwi fala rosnących kradzieży PIN.
Widać powstaje nowa gałąź biznesu. Oczywiście każdy może paść ofiarą jednak celem priorytetowym są i będą klienci o zasobnych portfelach.
Jak widać liczy się doświadczenie i wiedza(nigdy odwrotnie), oraz kto kogo przechytrzy w nieustannej walce o kasę

PS. Czy bank którego klientom wyczyszczono konto może być wiarygodny? - NIE bo to tak jak by trzymać kasę w skarpetce za oknem(będzie do kiedy ktoś po nią nie sięgnie)

Pozdrawiam. "By życie stało sie prostsze..."

08.03.2010, 10:46

Kurczę, może ktos napisałby w punktach, co zrobić, żeby na posiadanej juz karcie uruchomić ten PIN offline? Bo ja już się zagubiłem: czy wystarczy zmienić PIN w serwisie transakcyjnym i np. wypłacić kasę z bankomatu? Czy z każdego bankomatu, czy tylko z takiego, który czyta chipy? Jeśli tak, to jak go rozpoznać? A może sama wypłata kasy z bankomatu nie wystarczy, tylko trzeba jeszcze pomylić się specjalnie przy wpisywaniu PIN-u? Trochę to zagmatwane...

08.03.2010, 06:42

2 zł za zmianę PIN to lekkie przegięcie

07.03.2010, 17:08

Szanowni Państwo,

Wprowadzacie się nawzajem w błąd pisząc o:
- certyfikatach uniemożliwiających emulację terminala na PC - pomijając fakt, że certyfikat wystawiany jest dla klucza publicznego (a więc jawnego), to certyfikaty organizacji płatniczych w urządzeniach służą wyłącznie do uwierzytelniania kart - to nie działa w drugą stronę
- funkcjach skrótu (to jest poprawne polskie nazewnictwo) - PIN jest przesyłany do weryfikacji przez kartę w postaci jawnej lub szyfrowany kluczem publicznym karty, funkcje skrótu nie są używane
- losowym wybieraniu PINu online - metoda uwierzytelnienia posiadacza karty jest wybierana deterministycznie
- "kopiowalności" kart EMV - dla kart wspierających wyłącznie SDA, jako metodę uwierzytelniania danych karty, możliwe jest wykonanie kopii danych jawnych, które wystarczają do wykonania transakcji offline na urządzeniach z niezerowymi limitami dla takich transakcji

06.03.2010, 19:16

@kopil

Obecne zabezpieczenia zarówno kart jak i bankowości elektronicznej, są na tyle bezpieczne, że udane próby włamania wynikają z głupoty samego użytkownika lub pracownika (wyrzucanie papierów, które powinny zostać zniszczone) . Łatwiejsze jest "nieautoryzowane" użycie karty z paskiem magnetycznym niż chipem. Nie jest to nie wykonalne, ale jest tak trudne i czasochłonne, że łatwiej i taniej jest uzyskać dostęp innymi sposobami.

Większe prawdopodobieństwo, że ktoś ci skubnie gotówkę, niż użyje Twojej karty z chipem.

Poczytaj o metodach stosowanych zabezpieczeń, skoro nie wierzysz nikomu.

06.03.2010, 17:33

Kopil- ale w czym problem...?
Google + "Karta chipowa" lub po prostu "EMV" i kopalnia wiedzy. 99,9% klientów naprawdę mało to interesuje, w jaki sposób PIN jest zaszyfrowany i jakie są szanse na jego "zczytanie" z chipa. Podpowiem Ci- jako kolejna osoba- że dla ludzi, którym mogłoby zależeć na łamaniu PINu Twojego delfina- nie ma takiej szansy.

A sama technologia EMV- czy z PINem offline czy bez- to naprawdę krok milowy w stosunku do pasków magnetycznych, które były (i nadal są) w użyciu przez wiele lat. Na dzień dzisiejszy chip jest "niekopiowalny" w warunkach osiągalnych przez jakichkolwiek skimmerów jak również "nierozszyfrowalny" Rzetelna informacja dla użytkownika banku brzmi następująco:
- Szanse na skopiowanie chipa z karty nie są realne. Należy karty pilnować, przy zgubieniu: zastrzec. PIN chronić w miarę możliwości.

Transakcje EMV są naprawdę bardzo bezpieczne... Ty się lepiej- skoro tak się obawiasz- zastanów nad tym, że u większości sprzedawców zostaje numer + data ważności, które umożliwiają zakupy w necie na Twoją kartę )" />) Ale "jakoś" to się masowo nie dzieje.
Reasumując: zanim wpadniesz w panikę (i zaczniesz ją siać dalej) zainteresuj się bardziej tematem bezpieczeństwa kart płatniczych- a także regulacjami prawnymi w tym zakresie i odpowiedzialnością banków w razie fraduów- bo po prostu szukasz problemu tam, gdzie akurat go nie ma.

Michał

06.03.2010, 13:38

A ja dalej swoje, ale już poraz ostatni - faktycznie, to nie miejsce na tego typu dyskusje.

Dziękuję wszystkim, którzy próbowali mi pomóc w rozwianiu wątpliwości. Niestety, nie udało się. Wina za to leży po mojej stronie, a wynika z braku rozeznania w tej dziedzinie. Czytając otrzymane tu wyjaśnienia (dziękuję) odnoszę wrażenie, że udzieliły je osoby, które opierając się na informacjach dostępnych w popularnych mediach same starają się uwierzyć w to, że mogą spać spokojnie.

Natomiast co zrobił mBank? Zamieścił na blogu komunikat, sygnowany przez uroczą (zdjęcie!) panią, w stylu tych, jakie zalewają (komunikaty, nie panie) popularne media. I o ile w niegdysiejszej reklamie czegoś tam ze skrzydełkami taka forma mogła budzić uśmiech bądź politowanie, to w przypadku produktu bankowego sprawa jest poważniejsza. Uważam, że klientowi należy się informacja o potencjalnych zagrożeniach. I nie chodzi o to, by przytaczać merytoryczne wywody lecz wskazać miejsce, gdzie takie można znaleźć, ewentualnie ograniczyć się do zapewnienia, że wprowadzona technologia spełnia warunki określonego poziomu bezpieczeństwa (o ile wiem, istnieje klasyfikacja takich poziomów).

06.03.2010, 12:14

Od kiedy PIN offline działa? Czy w MC Credit wydanej w listopadzie 2009 mógł być już wgrany; inaczej - czy ustalony przeze mnie wtedy PIN dla tej karty działa już w offline?

06.03.2010, 10:54

Autoryzacja offline, czyli defacto jej brak, faktycznie działa. Wczoraj płatność w McD za pomocą MC Debit Gold i brak blokady oraz powiadomienia sms. Na początku myślałem, że smsy się popsuły

06.03.2010, 09:21

Jaja sobie robi mBank? Piszą o przechodnim PINie ale nigdzie nie doczytałem się, że mam na nowo PIN ustalać! A poza tym dlaczego teraz nagle ode mnie go zażądano, skoro zawsze realizowałem podpisem? Jak to zmienić?

06.03.2010, 08:16

kopil - żeby chip na karcie chciał "rozmawiać" na temat weryfikacji PINu z Twim PC lub terminalem, musiałby on mieć certyfikat odpowiednio Visy lub Mastercarda. Wiec te algorytmy wcale nie są dostępne dla każdego kto ma komputer i odpowiedni czytnik sprzętowy kart chipowych.

06.03.2010, 00:19

>jest oczywistością. Ważne jest to, że algorytm szyfrujący jest poza bankiem (tzn. w terminalu lub na chipie, co jest bez znaczenia). Zatem jest dostępny dla oszusta.

Jawność algorytmu nie wpływa na jego siłę.

>I nie przemawia do mnie argument, że jest ograniczona (np. do 3) liczba prób. Jeżeli programista ma dostęp do kodu, to nie będzie dla niego problemem modyfikacja rejestru zawierającego liczbę prób.

Ale tego dostępu nie ma.

>Zatem emulując terminal na zwykłym PC i usuwając ograniczenie liczby prób,

Tego się nie da zrobić na zwykłym PC.

>w najgorszym przypadku po 9 (10) tys. prób można otrzymać PIN.

Prościej byłoby Cie poprosić o podanie PINu. Przy zastosowaniu odpowiedniej argumentacji podasz go od razu.

06.03.2010, 00:14

Kopil Siła algorytmu zależny od długo klucza jest użyjemy dość dużej wartości nie starczy czy życia żeby znaleźć. Raczej niejest to takie łatwe jak piszesz i na domowym komputerze to możesz sobie jedyne pomarzyć o tym.

06.03.2010, 00:05

Wojteq,

nie ma sensu zastanawiać się tutaj, czy chodzi o kombinacje, czy też wariacje. Nie powiedziane bowiem było, o jakim zbiorze (w sensie teoriomnogościowym) jest mowa. Jeżeli byśmy przyjęli, że chodzi o zbiór wszystkich cyfr dziesiętnych, tzn. {0,1,...,9}, to należało by mówić o czteroelementowych WARIACJACH Z POWTÓRZENIAMI z tego zbioru.

05.03.2010, 23:56

Marek, Wojteq,

niestety, Wasze wyjaśnienia nie rozwiewają moich wątpliwości. Nie musi to oczywiście oznaczać, że technologia ta nie zapewnia wysokiego poziomu bezpieczeństwa (o absolutnym bezpieczeństwie oczywiście nie może być mowy). Tylko nadal nie wiemy, jaki jest to poziom.

To, czy PIN może przybierać 9000 wartości (wydawało mi się, że pierwsza cyfra nie może być zerem, stąd ta liczba), czy 10000, jest bez znaczenia. To, że na chipie nie jest zapisany bezpośrednio PIN, w postaci czterech cyfr dziesiętnych, lecz wynik określonego (niechby najbardziej wymyślnego) przekształcenia, też jest oczywistością. Ważne jest to, że algorytm szyfrujący jest poza bankiem (tzn. w terminalu lub na chipie, co jest bez znaczenia). Zatem jest dostępny dla oszusta. I nie przemawia do mnie argument, że jest ograniczona (np. do 3) liczba prób. Jeżeli programista ma dostęp do kodu, to nie będzie dla niego problemem modyfikacja rejestru zawierającego liczbę prób. Zatem emulując terminal na zwykłym PC i usuwając ograniczenie liczby prób, w najgorszym przypadku po 9 (10) tys. prób można otrzymać PIN.

Wierzę, że nie jest to takie proste, jak napisałem. Jednak dobrze by było, gdyby klient Banku mógł otrzymać rzetelną ocenę poziomu zabezpieczenia.

Ostatnio edytowany 2010-03-05 23:59 przez kopil

05.03.2010, 21:45

@Marek:
Tak na moje, to tam jest 10 000 wariacji a nie kombinacji...

A wracając do PINn na karcie:
W takich sytuacjach stosuje się funkcje hashujące. W skrócie działa to tak: mamy sobie ciąg znaków, który jest modyfikowany na inny ciąg znaków za pomocą algorytmu znajdującego się na chipie. Nie istnieją funkcje odwrotne do hashujących. PIN, który podajesz jest najpierw hashowany, a następnnie porównywany z tym w chipie. Więcej szczegółów niestety nie znam...

05.03.2010, 21:01

Po pierwsze nie 9000 tylko 10000 kombinacji Dokładnie jak to działa nie wiem, bo nie jestem specjalistą od zabezpieczeń PIN jest weryfikowany przez sam chip, więc nigdy w postaci jawnej z niego się nie wydostaje. Co więcej, weryfikacja nie odbywa się przez sprawdzenie zgodności samego ciągu cyfr, tylko przez sprawdzenie pewnej funkcji. Przyjmijmy że tą funkcją jest suma cyfr. Załóżmy, że Twój PIN to 1111, wpisujesz teraz na terminalu 1111, ten sumuje cyfry i pyta chipa karty czy suma cyfr PINu to 4. Chip odpowiada że tak albo nie i już - nie musi ujawniać w tym celu terminalowi jaki jest PIN. Oczywiście funkcja ta jest znacznie bardziej skomplikowana niż proste sumowanie cyfr. I jeszcze jedno - na karcie jest licznik prób PINu, którego wartość standardowo dla kart mBanku wynosi 3 (gdy PIN offline jest już odblokowany). Po każdej nieudanej próbie wartość licznika się zmniejsza, więc po 3 próbach weryfikacji offline nie będzie już kolejnej, tylko terminal będzie musiał sprawdzić PIN online, w banku. Więc jeśli ktoś chciałby zgadywać PIN metodą prób i błędów to sprawdzi maksymalnie 3 kombinacje. Tak samo masz z kartą SIM w telefonie komórkowym - po 3 błędnych PINach, następuje jej blokada. No i oczywiście terminal losowo może wybrać transakcję do weryfikacji PINu onloine, mimo, że mógłby sprawdzić PIN offline.

Ostatnio edytowany 2010-03-05 21:02 przez Marek Jedziniak

05.03.2010, 20:46

Marku,

domyślam się, że PIN jest mocno zaszyfrowany. Jednak nadal nie wiem, jak mocno. Pewnie coś tu źle rozumiem, więc byłbym wdzięczny za wyjaśnienie wątpliwości (jeżeli tego nie można zrobić w kilku słowach, to może link do jakiegoś bardziej technicznego wyjaśnienia?).

Mianowicie, jeżeli terminal, nie kontaktując się z bankiem, jest w stanie zweryfikować w kilka sekund PIN podany przez użytkownika, a PIN może przybierać jedynie 9000 wartości, to dla laika wydaje się, że nakład obliczeń potrzebnych do wyłuskania PIN-u wcale nie jest duży. Jeżeli pomożesz mi rozwiać wątpliwości, będę spokojny... i wdzięczny .

05.03.2010, 20:04

To już powinieneś mieć PIN odblokowany. Dla pewności przy najbliższych zakupach chipowych możesz zrobić próbę z podaniem błędnego PINu, tak jak opisałem niżej (komentarz z 17:23)

05.03.2010, 19:50

@Marku!
No to teraz już wiem na czym stoję, dzięki Tobie - w 100%. Dziękuję.
Dokonałem zmiany PINu w serwisie transakcyjnym, potem transakcja w euronecie + zakupy w sklepie z terminalem dostarczonym przez eService (transakcja leciała z chipa, nie z paska), więc chyba wszystko jest OK. Teraz tylko szczęśliwie dolecieć do Londynu i przy okazji dokonać delfinkiem zakupu ostrzy gillette he he

05.03.2010, 19:31

kopil - nie jest możliwe. PIN jest na karcie mocno zaszyfrowany.

05.03.2010, 19:21

Jak wygląda sprawa zabezpieczenia rachunku klienta w przypadku odblokowanego PIN-u off-line? Jeżeli karta trafi w niepowołane ręce, to możliwe jest przecież odczytanie z niej PIN-u i dostęp do rachunku. Interesuje mnie zarówno strona techniczna (poziom zabezpieczenia) jak i organizacyjno-prawna.

05.03.2010, 18:07

Piotr, mylisz 2 różne pojęcia. PIN offline to jedno, a brak autoryzacji, czy też autoryzacja offline to drugie. W przypadku karty Visa Electron z odblokowanym PINem offline, jeśli tylko terminal nie zechce zrobić inaczej, kod PIN zostanie zweryfikowany offline, a autoryzacja odbędzie się online, będzie założona blokada i dostaniesz powiadomienie SMS (jeśli masz je uruchomione). Wszystko dlatego, że dla kart electron autoryzacja powinna być zawsze wykonana online, ale PIN może już być zweryfikowany offline, czyli terminal najpierw sprawdzi na chipie poprawność PINu (offline), a potem połączy się żeby zrobić autoryzację (online).

05.03.2010, 18:01

@Marku!
A jak się przedstawia sprawa transakcji na małe kwoty, które będą dokonywane w terminalach obsługiwanych przez eService przez VE z odblokowanym PINem offline? Też przejdzie na VE transakcja offline (analogiczna sytuacja do KK) czy jednak wymusi online jak ma to miejsce obecnie?

05.03.2010, 17:23

Tak, można to sprawdzić. Płacąc kartą przy następnych zakupach, jeśli użyty jest chip, podaj zły PIN i obserwuj wyświetlacz terminala. Jeśli od razu napisze 'błędny PIN' i poprosi o ponowne wprowadzenie, to znaczy, że zweryfikował go na karcie przed połączeniem z bankiem, czyli PIN offline jest odblokowany. Jeśli natomiast terminal najpierw połączy się z bankiem, a potem dopiero będzie komunikat o złym PINie (i odmowa transakcji), to znaczy tyle, że PIN offline nie został w tej transakcji zweryfikowany. Albo dlatego, że nie został odblokowany, albo dlatego, że terminal celowo wybrał weryfikację online. Poza tym jeśli masz kartę wypukłą, to w terminalach eService płatności na małe kwoty przy odblokowanym PIN offline mogą dodatkowo przejść całkowicie bez autoryzacji, czyli nie ma ani blokady, ani powiadomienia SMS.

Ostatnio edytowany 2010-03-05 17:23 przez Marek Jedziniak

05.03.2010, 17:16

Czy po wykonaniu tej procedury, tzn 1) zmianie PIN-u w systemie transakcyjnym (w szczególności na ten sam), 2) wykonaniu transakcji on-line, jest możliwość sprawdzenia "na sucho", że off-line został odblokowany? Chodzi o to, by przed wyjazdem za granicę mieć pewność, że to działa.

05.03.2010, 16:40

Nie wystarczy, zmiana PIN jest konieczna. Najpierw trzeba zmienić PIN a potem przeprowadzić jakąkolwiek transakcję z użyciem chipa, podczas której dojdzie do połączenia z bankiem. Tylko po zmianie PINu system banku wygeneruje polecenie wgrania PINu na kartę i odblokowania go. Jeśli nie zmienisz PINu, to nic na karcie się nie zmieni.

05.03.2010, 16:37

Czyli wystarczy jak zawsze zaprowadzić delfina do bankomatu lub płatność chip - aby OFF się zapisał, nie jest wymagana wymiana karty/zmiana pin.

05.03.2010, 16:34

OK. Teraz jest już dla mnie wszystko jasne. Dziękuję za wyjaśnienie.

05.03.2010, 16:31

Marek z tego było na spotkaniu mRady to w bankomatach zawsze jest PIN onlinie trzeba podac PIN który jest w banku a nie chipie

Michał

05.03.2010, 16:27

Tak, ważne jest tylko to, żeby bankomat połączył się z bankiem i dostał z systemu instrukcję, że ma wgrać PIN na kartę. Czyli każda transakcja prowadząca do połączenia z bankiem powinna odblokować PIN, oczywiście jeśli jest przeprowadzana z chipem.

05.03.2010, 16:24

Marku!
Piszesz o błędnym podaniu PINu w bankomacie, w wyniku czego offline PIN powinien "zakotwiczyć" na CHIPie.
Rozumiem, że jeżeli podam dobry PIN + przy okazji wypłacę gotówkę/zasilę telefon to offline PIN również "zakotwiczy" na moim delfinie.

05.03.2010, 16:20

@wkowal - włóż kartę do bankomatu tak, jakbyś robił normalną wypłatę, ale celowo podaj błędny PIN, powinno zadziałać

05.03.2010, 16:07

Możesz, opisana procedura dotyczy wszystkich mBankowych chip'ówek...

Tylko w przypadku kart debetowych (np. VE) zmiana PIN płatna 2zł (chyba, że komuś chce się dla 2zł bawić w zastrzeganie karty i zamówienie nowej, to PIN offline będzie miał za free...)

A w przypadku KK (kredytowe) zmiana PIN bezpłatna...

Ostatnio edytowany 2010-03-05 16:12 przez PRC

05.03.2010, 15:58

czy ja tez moge mie pin offline? mam karte z delfinkiem z chipem.

05.03.2010, 15:42

Odnośnie bankomatu; czy wystarczy włożyć kartę do bankomatu i wklepać PIN czy trzeba dokonywać faktycznej wypłaty pieniędzy?

05.03.2010, 15:41

Super, znowu zmiana pinu.
Zmienialem w ub. tygodniu...

05.03.2010, 15:35

Tomek!
Dziękuję za informacje!

05.03.2010, 15:28

@Piotr

1. Zmieniasz PIN (może być na ten sam)
2. Idziesz do bankomatu lub wykonujesz transakcję online w sklepie
3. PIN powinien zostać odblokowany

05.03.2010, 15:20

Podsumujmy - jeżeli teraz dokonam zmiany PINu (może być podany ten co mam obecnie?) i udam się np. do bankomatu euronetu po gotówkę to pin offline zostanie uaktywniony na mojej karcie?
2 PLN za zmianę PINu dużo i nie dużo, zależy jak się patrzy. Wyjeżdżam na dniach w odwiedziny do rodziny do UK więc bezproblemowe zakupy są warte 2 PLN he he he he.
Pozdrawiam.

05.03.2010, 15:02

Czyli zapłać Pan 2 zł za pełnowartościowy produkt...

05.03.2010, 14:55

@Piotr - nie jest, musisz przejść zmianę PINu i dokonać po tym transakcji chipowej. Do tego czasu PIN offline pozostaje zablokowany. Natomiast tę możliwość (odblokowania) ma już każda karta mBanku.

05.03.2010, 14:46

Rozumiem, że powyższy wpis na blogu dobitnie świadczy o tym, że chip offline jest już aktywny na wszystkich kartach. Jeżeli się mylę bardzo proszę o sprostowanie.

05.03.2010, 14:39

Jak delikatne ujęcie problemu :D

No i już pamiętajcie - OFF nie zwalnia od kontroli stanu rachunku, bo zaraz się zacznie że zakupy za darmo "bo ja nie wiedziałem"... Karta działa tak samo - a to że ma nowe zęby to lepiej dla niej i... kasa dla 'u

Ostatnio edytowany 2010-03-05 14:42 przez blom