Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Персональный идентификационный номер, отправленный пользователю в письме. Затемненный бумажный клапан препятствует считыванию номера, если держать закрытый конверт на свету.

Личный идентификационный номер ( PIN - код ), а иногда и избыточностью номер PIN - кода , является числовым (иногда буквенно-цифровой ) код доступа , используемый в процессе аутентификации пользователя доступа к системе.

PIN-код стал ключом к процветанию частного обмена данными между различными центрами обработки данных в компьютерных сетях для финансовых учреждений, правительств и предприятий. [1] PIN-коды могут использоваться, среди прочего, для аутентификации банковских систем с держателями карт, правительства с гражданами, предприятий с сотрудниками и компьютеров с пользователями.

Обычно PIN-коды используются в транзакциях банкоматов или торговых точек [2], безопасном управлении доступом (например, доступ к компьютеру, доступ к двери, доступ в автомобиль), [3] интернет-транзакциях [4] или для входа на сайт с ограниченным доступом.

История [ править ]

PIN возникла с введением банкомата (ATM) в 1967 году, как эффективный способ для банков выдавать наличные для своих клиентов. Первой системой банкоматов была система Barclays в Лондоне в 1967 году; он принимал чеки с машиночитаемой кодировкой, а не карты, и сопоставлял PIN-код с чеком. [5] [6] [7] В 1972 году Lloyds Bank выпустил первую банковскую карту с магнитной полосой, кодирующей информацию, с использованием PIN-кода для безопасности. [8] Джеймс Гудфеллоу , изобретатель, запатентовавший первый личный идентификационный номер, был награжден OBE в 2006 году по случаю дня рождения королевы .[9] [10]

Мохамед М. Аталла изобрел первый аппаратный модуль безопасности на основе PIN-кода (HSM) [11], получивший название «Atalla Box», систему безопасности, которая шифрует PIN-коды и сообщения банкоматов и защищает автономные устройства с помощью неизвестного ключа для генерации PIN-кода. [12] В 1972 году Аталла подал патент США 3938091 на свою систему проверки PIN-кода, которая включала в себя закодированный считыватель карт и описывала систему, в которой использовались методы шифрования для обеспечения безопасности телефонной линии при вводе личной идентификационной информации, которая передавалась в удаленное место для проверки. . [13]

Он основал Atalla Corporation (ныне Utimaco Atalla ) в 1972 году [14], а в 1973 году запустил на рынок «Atalla Box» [12] . Продукт был выпущен как Identikey. Это был считыватель карт и система идентификации клиентов , обеспечивающая терминал с возможностью ввода пластиковой карты и PIN-кода. Система была разработана, чтобы позволить банкам и сберегательным учреждениям перейти на среду пластиковых карт с программы сберегательных книжек . Система Identikey состояла из консоли считывателя карт, двух контактных панелей клиентов , интеллектуального контроллера и встроенного электронного интерфейса. [15] Устройство состояло из двухклавиатуры , одна для клиента и одна для кассира. Это позволяло клиенту вводить секретный код, который преобразуется устройством с помощью микропроцессора в другой код для кассира. [16] Во время транзакции считыватель карт считал номер счета клиента . Этот процесс заменил ручной ввод и позволил избежать возможных ошибок нажатия клавиш. Это позволило пользователям заменить традиционные методы проверки клиентов, такие как проверка подписи и тестовые вопросы, на безопасную систему PIN. [15] В знак признания его работы над системой ПИН-кода для управления информационной безопасностью Аталла был назван «Отцом ПИН-кода». [17] [18][19]

Успех «Atalla Box» привел к широкому распространению аппаратных модулей безопасности на основе PIN-кода. [20] Его процесс проверки PIN был похож на более поздний IBM 3624 . [21] К 1998 году около 70% всех транзакций банкоматов в Соединенных Штатах проходило через специализированные аппаратные модули Atalla [22], а к 2003 году Atalla Box обеспечивал безопасность 80% всех банкоматов в мире [17], увеличиваясь до 85% по состоянию на 2006 год. [23] HSM-продукты Atalla защищают 250  миллионов транзакций по картам каждый день по состоянию на 2013 год [14] и по-прежнему обеспечивают безопасность большинства мировых транзакций через банкоматы по состоянию на 2014 год. [11]

Финансовые услуги [ править ]

Использование PIN - кода [ править ]

В контексте финансовой транзакции для аутентификации пользователя в системе обычно требуются как частный «PIN-код», так и общедоступный идентификатор пользователя. В этих ситуациях обычно от пользователя требуется предоставить неконфиденциальный идентификатор пользователя или токен ( идентификатор пользователя ) и конфиденциальный PIN-код для получения доступа к системе. После получения идентификатора пользователя и PIN-кода система ищет PIN-код на основе идентификатора пользователя и сравнивает найденный PIN-код с полученным PIN-кодом. Пользователю предоставляется доступ только в том случае, если введенный номер совпадает с номером, хранящимся в системе. Следовательно, несмотря на название, PIN-код не идентифицирует пользователя лично . [24] PIN-код не печатается и не встроен в карту, а вручную вводится владельцем карты во времябанкомат (ATM) и пункт продажи (POS) сделок (например, те , которые соответствуют EMV ), и в карты не представляют операции, такие как через Интернет или по телефону банковских услуг.

Длина PIN-кода [ изменить ]

Международный стандарт управления PIN- кодами финансовых услуг, ISO 9564-1 , допускает использование PIN-кодов от четырех до двенадцати цифр, но рекомендует, чтобы из соображений удобства использования эмитент карты не назначал PIN-код длиннее шести цифр. [25] Изобретатель банкомата, Джон Шеперд-Бэррон , сначала предполагал шестизначный цифровой код, но его жена могла запомнить только четыре цифры, и это стало наиболее часто используемой длиной во многих местах, [6] хотя банки в Швейцарии и многих других странах требуют шестизначный PIN-код.

Подтверждение PIN-кода [ редактировать ]

Есть несколько основных методов проверки PIN-кода. Обсуждаемые ниже операции обычно выполняются в аппаратном модуле безопасности (HSM).

Метод IBM 3624 [ править ]

Одной из первых моделей банкоматов был IBM 3624 , в котором использовался метод IBM для генерации того, что называется естественным PIN-кодом . Естественный PIN-код создается путем шифрования номера основного счета (PAN) с использованием ключа шифрования, созданного специально для этой цели. [26] Этот ключ иногда называют ключом генерации PIN-кода (PGK). Этот PIN-код напрямую связан с номером основного счета. Для подтверждения PIN-кода банк-эмитент повторно создает PIN-код, используя вышеуказанный метод, и сравнивает его с введенным PIN-кодом.

Естественные ПИН-коды не могут выбираться пользователем, поскольку они получены из PAN. Если карта перевыпускается с новым PAN, необходимо сгенерировать новый PIN-код.

Естественные PIN-коды позволяют банкам выпускать письма-напоминания о PIN-кодах, поскольку PIN-код может быть сгенерирован.

IBM 3624 + метод смещения [ править ]

Чтобы разрешить выбор PIN-кода пользователем, можно сохранить значение смещения PIN-кода. Смещение находится путем вычитания естественного PIN-кода из PIN-кода, выбранного клиентом, по модулю 10. [27] Например, если натуральный PIN-код равен 1234, а пользователь желает иметь PIN-код 2345, смещение составляет 1111.

Смещение может храниться либо в данных отслеживания карты [28], либо в базе данных эмитента карты.

Для проверки PIN-кода банк-эмитент вычисляет естественный PIN-код, как в описанном выше методе, затем добавляет смещение и сравнивает это значение с введенным PIN-кодом.

VISA method [ править ]

При использовании этого терминала для кредитных карт владелец карты VISA проводит или вставляет свою кредитную карту и вводит свой PIN-код на клавиатуре.

Метод VISA используется во многих схемах карт и не зависит от VISA. Метод VISA генерирует значение проверки PIN-кода (PVV). Подобно значению смещения, оно может храниться в данных трека карты или в базе данных эмитента карты. Это называется эталонным PVV.

Метод VISA принимает крайние правые одиннадцать цифр PAN, исключая значение контрольной суммы, индекс ключа проверки ПИН-кода (PVKI, выбирается от одного до шести) и требуемое значение ПИН для создания 64-битного числа, PVKI выбирает ключ проверки (PVK , 128 бит), чтобы зашифровать это число. По этому зашифрованному значению находится PVV. [29]

Для подтверждения PIN-кода банк-эмитент вычисляет значение PVV на основе введенного PIN-кода и PAN и сравнивает это значение с эталонным PVV. Если эталонный PVV и рассчитанный PVV совпадают, был введен правильный PIN-код.

В отличие от метода IBM, метод VISA не выводит PIN-код. Значение PVV используется для подтверждения PIN-кода, введенного на терминале, также использовалось для создания ссылочного PVV. PIN-код, используемый для создания PVV, может быть сгенерирован случайным образом, выбран пользователем или даже получен с использованием метода IBM.

Безопасность PIN-кода [ править ]

Финансовые ПИН-коды часто представляют собой четырехзначные числа в диапазоне 0000–9999, что дает 10 000 возможных комбинаций. По умолчанию Швейцария выдает шестизначные PIN-коды. [30]

Некоторые системы устанавливают ПИН-коды по умолчанию и большинство позволяют клиенту установить ПИН-код или изменить ПИН-код по умолчанию, а в некоторых смена ПИН-кода при первом доступе является обязательной. Клиентам обычно рекомендуется не устанавливать PIN-код на основании дней рождения их или их супруга, номеров водительских прав, последовательных или повторяющихся номеров или некоторых других схем. Некоторые финансовые учреждения не выдают или не разрешают PIN-коды, в которых все цифры идентичны (например, 1111, 2222, ...), последовательные (1234, 2345, ...), номера, начинающиеся с одного или нескольких нулей, или последние четыре цифры. номера социального страхования или даты рождения держателя карты . [ необходима цитата ]

Многие системы проверки PIN-кода допускают три попытки, тем самым давая похитителю карты предполагаемую вероятность 0,03% угадать правильный PIN-код до того, как карта будет заблокирована. Это справедливо только в том случае, если все PIN-коды одинаково вероятны и у злоумышленника нет дополнительной информации, чего не было с некоторыми из многих алгоритмов генерации и проверки PIN-кодов, которые финансовые учреждения и производители банкоматов использовали в прошлом. [31]

Были проведены исследования по часто используемым PIN-кодам. [32] В результате без предусмотрительности значительная часть пользователей может найти свой PIN-код уязвимым. «Имея всего четыре возможности, хакеры могут взломать 20% всех PIN-кодов. Разрешите им не более пятнадцати цифр, и они смогут открыть счета более четверти держателей карт». [33]

Бьющиеся PIN-коды могут ухудшаться с увеличением длины, а именно:

Проблема с угадываемыми PIN-кодами неожиданно усугубляется, когда клиенты вынуждены использовать дополнительные цифры, переходя от примерно 25% вероятности для пятнадцати номеров к более чем 30% (не считая 7-значных цифр для всех этих телефонных номеров). Фактически, около половины всех 9-значных PIN-кодов можно сократить до двух десятков возможных, в основном потому, что более 35% всех людей используют слишком заманчивый 123456789. Что касается остальных 64%, есть большая вероятность, что они используют их номер социального страхования , что делает их уязвимыми. (Номера социального страхования содержат хорошо известные шаблоны.) [33]

Недостатки реализации [ править ]

В 2002 году два аспиранта Кембриджского университета , Петр Зелиньски и Майк Бонд, обнаружили брешь в системе безопасности в системе генерации PIN-кодов IBM 3624 , которая дублировалась в большинстве более поздних аппаратных средств. Эта уязвимость, известная как атака на таблицу десятичных чисел , позволяет человеку, имеющему доступ к компьютерной системе банка, определять ПИН-код для карты банкомата в среднем за 15 попыток. [34] [35]

Обратный обман PIN-кода [ править ]

Основная статья: Программное обеспечение ATM SafetyPIN

По электронной почте ходят слухи о том, что в случае ввода ПИН-кода в банкомат в обратном порядке, полиция будет немедленно предупреждена, а деньги обычно выдаются, как если бы ПИН-код был введен правильно. [36] Целью этой схемы было бы защитить жертв грабежей; однако, несмотря на то, что система предлагается для использования в некоторых штатах США [37] [38] , в настоящее время банкоматов нет [ когда? ], которые используют это программное обеспечение. [39]

Коды доступа для мобильных телефонов [ править ]

Мобильный телефон может быть защищен PIN-кодом. Если этот параметр включен, PIN-код (также называемый паролем) для мобильных телефонов GSM может содержать от четырех до восьми цифр [40] и записывается на SIM-карту . Если такой PIN-код введен неправильно три раза, SIM-карта блокируется до тех пор, пока не будет введен персональный код разблокировки (PUC или PUK), предоставленный оператором службы. Если код PUC введен неправильно десять раз, SIM-карта будет заблокирована навсегда, и для этого потребуется новая SIM-карта у оператора мобильной связи.

PIN-коды также обычно используются в смартфонах в качестве формы личной аутентификации, поэтому только те, кто знает PIN-код, смогут разблокировать устройство. После ряда неудачных попыток ввода правильного ПИН-кода пользователю может быть запрещено повторять попытку в течение определенного периода времени, все данные, хранящиеся на устройстве, могут быть удалены, или пользователя могут попросить ввести альтернативную информацию, которая только владелец должен знать об аутентификации. Возникнет ли какое-либо из упомянутых ранее явлений после неудачных попыток ввода ПИН-кода, в значительной степени зависит от устройства и предпочтений, выбранных владельцем в его настройках.

См. Также [ править ]

  • Программное обеспечение ATM SafetyPIN
  • Защитный код карты
  • Номер аутентификации транзакции

Ссылки [ править ]

  1. ^ Хиггс, Эдвард (1998). История и электронные артефакты . Издательство Оксфордского университета. ISBN 0198236336.
  2. ^ Мартин, Кейт (2012). Повседневная криптография: основные принципы и приложения . Издательство Оксфордского университета. ISBN 9780199695591.
  3. ^ Кейл, Stephane (2013). Безопасность мобильного доступа: помимо BYOD . Wiley Publishing. ISBN 978-1-84821-435-4.
  4. ^ «Электронная коммерция: запутанная сеть для дебетования ПИН-кода» . Цифровые транзакции . 1 февраля 2013 г. - через Associated Press.
  5. ^ Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе банковских карт (2005), стр. 1-3.
  6. ^ a b «Человек, который изобрел банкомат» . BBC. 2007-06-25 . Проверено 15 июня 2014 .
  7. ^ "Изобретатель банкомата Джон Шеперд-Бэррон умирает в 84 года" . Лос-Анджелес Таймс . 19 мая 2010 г. - через Associated Press.
  8. ^ Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе банковских карт (2005), стр. 5.
  9. ^ "Королевская честь изобретателю Пин" . BBC. 2006-06-16 . Проверено 5 ноября 2007 .
  10. ^ GB 1197183  «Усовершенствования в системах дозирования, управляемых клиентом или относящиеся к ним» - Иван Оливейра, Энтони Дэвис, Джеймс Гудфеллоу
  11. ^ a b Стиеннон, Ричард (17 июня 2014 г.). «Управление ключами в быстрорастущем пространстве» . SecurityCurrent . IT-Harvest . Проверено 21 августа 2019 .
  12. ^ a b Батис-Лазо, Бернардо (2018). Cash and Dash: как банкоматы и компьютеры изменили банковское дело . Издательство Оксфордского университета . стр. 284 и 311. ISBN 9780191085574.
  13. ^ "Экономические последствия программы стандарта шифрования данных (DES) NIST" (PDF) . Национальный институт стандартов и технологий . Министерство торговли США . Октябрь 2001 . Проверено 21 августа 2019 .
  14. ^ а б Лэнгфорд, Сьюзен (2013). «Атаки с обналичиванием банкоматов» (PDF) . Hewlett Packard Enterprise . Hewlett-Packard . Проверено 21 августа 2019 .
  15. ^ a b «Система идентификации, разработанная как модернизация NCR 270» . Компьютерный мир . IDG Enterprise. 12 (7): 49. 13 февраля 1978 г.
  16. ^ «Представлены четыре продукта для онлайн-транзакций» . Компьютерный мир . IDG Enterprise. 10 (4): 3. 26 января 1976 г.
  17. ^ a b "Мартин М. (Джон) Аталла" . Университет Пердью . 2003 . Проверено 2 октября 2013 года .
  18. ^ "Гуру безопасности решает проблему Сети: Отец PIN-кода" unretires "для запуска TriStrata" . Деловые журналы . Деловые журналы американского города . 2 мая 1999 . Проверено 23 июля 2019 года .
  19. ^ "Инженерные школы Purdue чествуют 10 выдающихся выпускников" . Журнал и курьер . 5 мая 2002 г. с. 33.
  20. ^ Batiz-Лазо, Бернардо (2018). Cash and Dash: как банкоматы и компьютеры изменили банковское дело . Издательство Оксфордского университета . п. 311. ISBN. 9780191085574.
  21. ^ Конхайм, Алан Г. (1 апреля 2016). «Банкоматы: их история и протоколы аутентификации» . Журнал криптографической инженерии . 6 (1): 1-29. DOI : 10.1007 / s13389-015-0104-3 . ISSN 2190-8516 . Архивировано из оригинала 22 июля 2019 года . Проверено 22 июля 2019 . 
  22. ^ Грант, Гейл Л. (1998). Понимание цифровых подписей: установление доверия через Интернет и другие сети . Макгроу-Хилл . п. 163. ISBN. 9780070125544. Фактически, около 70 процентов всех банковских транзакций через банкоматы в США проходят через специализированные аппаратные модули безопасности Atalla.
  23. ^ «Обзор портфеля для HSM платежей и GP» (PDF) . Утимако . Проверено 22 июля 2019 .
  24. ^ Ваш идентификационный номер не является паролем , Webb-site.com, 8 ноября 2010 г.
  25. ^ ISO 9564-1: 2011 Финансовые услуги - Управление персональным идентификационным номером (PIN) и безопасность - Часть 1: Основные принципы и требования к PIN в карточных системах , пункт 8.1 Длина PIN.
  26. ^ «Алгоритм создания PIN-кода 3624» . IBM.
  27. ^ «Алгоритм генерации смещения PIN» . IBM.
  28. ^ "Формат трека карт с магнитной полосой" . Gae.ucm.es.
  29. ^ «Алгоритм генерации PVV» . IBM.
  30. ^ Ван, Дин; Гу, Цяньчэнь; Хуанг, Синьи; Ван, Пинг (2017-04-02). «Понимание выбранных человеком PIN-кодов: характеристики, распространение и безопасность» . Материалы Азиатской конференции ACM 2017 года по компьютерной и коммуникационной безопасности . Абу-Даби, Объединенные Арабские Эмираты: ACM: 372–385. DOI : 10.1145 / 3052973.3053031 . ISBN 978-1-4503-4944-4.
  31. ^ Кун, Маркус (июль 1997 г.). «Теория вероятностей для карманников - угадывание ec-PIN» (PDF) . Проверено 24 ноября 2006 . Цитировать журнал требует |journal=( помощь )
  32. Ник Берри (28 сентября 2012 г.). "Наиболее распространенные PIN-коды: уязвим ли ваш банковский счет?" . Сайт газеты Guardian . Проверено 25 февраля 2013 .
  33. ^ a b Лундин, Ли (2013-08-04). «ПИН-коды и пароли, часть 1» . Пароли . Орландо : SleuthSayers. Имея всего четыре возможности, хакеры могут взломать 20% всех PIN-кодов.
  34. ^ Зелинский, P & Bond, M (февраль 2003). «Атаки на таблицу десятичной дроби для взлома PIN-кода» (PDF) . 02453. Компьютерная лаборатория Кембриджского университета . Проверено 24 ноября 2006 . Цитировать журнал требует |journal=( помощь )
  35. ^ «Освещение в СМИ» . Компьютерная лаборатория Кембриджского университета . Проверено 24 ноября 2006 .
  36. ^ "Обратный PIN-код паники" . Проверено 2 марта 2007 .
  37. ^ Полный текст SB0562 Иллинойс Генеральной Ассамблеи, доступ 2011-07-20
  38. ^ sb379_SB_379_PF_2.html Законопроект Сената 379 Архивировано 23 марта 2012 г. наГенеральной ассамблее Wayback Machine, Джорджия, опубликовано в 2006 г., по состоянию на 20 июля 2011 г.
  39. ^ "Будет ли ввод вашего PIN-кода банкомата в обратном направлении вызвать полицию?" . Редко . 2020-12-15 . Проверено 27 февраля 2021 .
  40. ^ 082251615790 GSM 02.17 Модули идентификации абонента, функциональные характеристики, версия 3.2.0, февраль 1992 г. , пункт 3.1.3

757575