Войти
Персональный идентификационный номер, отправленный пользователю в письме. Затемненный бумажный клапан препятствует считыванию номера, если поднести неоткрытый конверт к свету. A личный идентификационный номер (PIN ) или иногда избыточно a ПИН-код - это цифровой или буквенно-цифровой код доступа, используемый в процессе аутентификации пользователя, осуществляющего доступ к системе.
Персональный идентификационный номер был ключом к процветающему обмену частными данными между различными центрами обработки данных в компьютерных сетях для финансовых учреждений, правительств и предприятий. PIN-коды могут использоваться, среди прочего, для аутентификации банковских систем с держателями карт, правительства с гражданами, предприятий с сотрудниками и компьютеров с пользователями.
Обычно ПИН-коды используются в транзакциях банкоматов или торговых точек, безопасном управлении доступом (например, доступ к компьютеру, доступ к двери, доступ в автомобиль), интернет-транзакциях или для входа в веб-сайт с ограниченным доступом.
ПИН-код появился с появлением в 1967 году банкомата (банкомата) как эффективного способа для банков выдавать наличные своим клиентам. Первой системой банкоматов была система Barclays в Лондоне в 1967 году; он принимал чеки с машиночитаемой кодировкой, а не карты, и сопоставлял PIN-код с чеком. 1972 г., Lloyds Bank выпустил первую банковскую карту с магнитной полосой для кодирования информации с использованием PIN-кода для безопасности. Джеймс Гудфеллоу, изобретатель, запатентовавший первый личный идентификационный номер, был награжден OBE в 2006 Дне Рождения Королевы.
Мохамед М. Аталла изобрел первый аппаратный модуль безопасности (HSM) на основе PIN-кода, получивший название " Atalla Box », система безопасности, которая шифрует сообщения PIN и ATM и защищает автономные устройства с помощью неизвестного ключа для генерации PIN. В 1972 году Аталла подала США. Патент 3938091 на его систему проверки PIN-кода, которая включала в себя закодированный кард-ридер и описывала систему, в которой использовались методы шифрования для обеспечения безопасности телефонной линии при вводе передаваемой личной идентификационной информации. в удаленное место для проверки.
Он основал Atalla Corporation (ныне Utimaco Atalla ) в 1972 году, а в 1973 году начал коммерческое производство «Atalla Box». Продукт был выпущен как Identikey. Это был считыватель карт и система идентификации клиентов, обеспечивающая терминал с возможностью использования пластиковой карты и PIN-кода. Система была разработана, чтобы позволить банкам и сберегательным учреждениям перейти на среду пластиковых карт с программы сберегательной книжки. Система Identikey состояла из консоли считывателя карт, двух клиентских PIN-панелей, интеллектуального контроллера и встроенного электронного интерфейса. Устройство состояло из двух клавиатур, одной для клиента и одной для кассира. Это позволило клиенту ввести секретный код, который преобразуется устройством с помощью микропроцессора в другой код для кассира. Во время транзакции номер счета клиента был прочитан устройством чтения карт. Этот процесс заменил ручной ввод и позволил избежать возможных ошибок нажатия клавиш. Это позволило пользователям заменить традиционные методы проверки клиентов, такие как проверка подписи и тестовые вопросы, на безопасную систему PIN. В знак признания его работы над системой ПИН-кода управления информационной безопасностью Аталла был назван «Отцом ПИН-кода».
Успех «Ящика Аталлы» привел к широкое распространение аппаратных модулей безопасности на основе PIN-кода. Его процесс проверки PIN был аналогичен более позднему IBM 3624. К 1998 году около 70% всех транзакций банкоматов в Соединенных Штатах проходило через специализированные аппаратные модули Atalla, а к 2003 году Atalla Box обеспечивал защиту 80% всех банкоматов в мире, а в 2006 году этот показатель увеличился до 85%. HSM-продукты Atalla. защищать 250 миллионов транзакций по картам каждый день по состоянию на 2013 год и по-прежнему обеспечивать безопасность большинства мировых транзакций через банкоматы по состоянию на 2014 год.
В контексте финансовой транзакции для аутентификации пользователя в системе обычно требуются как частный «PIN-код», так и общедоступный идентификатор пользователя. В этих ситуациях обычно от пользователя требуется предоставить неконфиденциальный идентификатор пользователя или токен (идентификатор пользователя) и конфиденциальный PIN-код для получения доступа к системе. После получения идентификатора пользователя и PIN-кода система ищет PIN-код на основе идентификатора пользователя и сравнивает найденный PIN-код с полученным PIN-кодом. Пользователю предоставляется доступ только в том случае, если введенный номер совпадает с номером, хранящимся в системе. Следовательно, несмотря на название, PIN-код не идентифицирует пользователя лично. ПИН-код не печатается и не встроен в карту, а вручную вводится владельцем карты во время транзакций банкомата (ATM) и в точке продажи (POS) (например, тех, которые соответствуют с EMV ), а в карте нет транзакций, например, через Интернет или для телефонного банкинга.
Международный стандарт управления PIN-кодами финансовых услуг, ISO 9564 -1, допускает использование PIN-кодов от четырех до двенадцати цифр, но рекомендует это из соображений удобства использования. эмитент карты не присваивает ПИН-код более шести цифр. Изобретатель банкомата Джон Шеперд-Баррон сначала придумал шестизначный цифровой код, но его жена могла запомнить только четыре цифры, и эта длина стала наиболее часто используемой во многих местах. хотя банки в Швейцарии и многих других странах требуют шестизначный PIN-код.
Существует несколько основных методов проверки PIN-кода. Обсуждаемые ниже операции обычно выполняются в аппаратном модуле защиты (HSM).
Одной из самых ранних моделей банкоматов была IBM 3624, в которой использовался метод IBM для генерации так называемого естественного ПИН-кода. Естественный ПИН-код генерируется путем шифрования основного номера учетной записи (PAN) с использованием ключа шифрования, созданного специально для этой цели. Этот ключ иногда называют ключом генерации PIN-кода (PGK). Этот PIN-код напрямую связан с номером основного счета. Для подтверждения PIN-кода банк-эмитент повторно создает PIN-код, используя вышеуказанный метод, и сравнивает его с введенным PIN-кодом.
Естественные ПИН-коды не могут выбираться пользователем, поскольку они получены из PAN. Если карта перевыпускается с новым PAN, необходимо сгенерировать новый PIN-код.
Естественные PIN-коды позволяют банкам выпускать письма-напоминания о PIN-кодах, поскольку PIN-код может быть сгенерирован.
Чтобы разрешить выбор PIN-кода пользователем, можно сохранить значение смещения PIN-кода. Смещение находится путем вычитания естественного PIN-кода из PIN-кода, выбранного клиентом, с использованием по модулю 10. Например, если естественный PIN-код равен 1234, а пользователь желает иметь PIN-код 2345, смещение будет 1111.
Смещение может быть сохранено либо в данных дорожки карты, либо в базе данных в эмитент карты.
Для подтверждения PIN-кода банк-эмитент вычисляет естественный PIN-код, как в описанном выше методе, затем добавляет смещение и сравнивает это значение с введенным PIN-кодом.
При использовании этого терминала для кредитных карт владелец карты VISA смахивает или вставляет свою кредитную карту и вводит свой PIN-код на клавиатуре Метод VISA используется во многих схемах карт и не является Для визы. Метод VISA генерирует значение проверки PIN-кода (PVV). Подобно значению смещения, оно может храниться в данных трека карты или в базе данных эмитента карты. Это называется эталонным PVV.
Метод VISA принимает крайние правые одиннадцать цифр PAN, исключая значение контрольной суммы, индекс ключа проверки ПИН-кода (PVKI, выбирается от одного до шести) и требуемое значение ПИН для создания 64-битного числа, PVKI выбирает ключ проверки (PVK, 128 бит) для шифрования этого числа. По этому зашифрованному значению находится PVV.
Для проверки PIN-кода банк-эмитент вычисляет значение PVV на основе введенного PIN-кода и PAN и сравнивает это значение с эталонным PVV. Если эталонный PVV и рассчитанный PVV совпадают, был введен правильный PIN-код.
В отличие от метода IBM, метод VISA не получает PIN-код. Значение PVV используется для подтверждения PIN-кода, введенного на терминале, также использовалось для создания ссылочного PVV. PIN-код, используемый для генерации PVV, может быть сгенерирован случайным образом, выбран пользователем или даже получен с использованием метода IBM.
Финансовые PIN-коды часто представляют собой четырехзначные числа в диапазоне 0000–9999, что дает 10 000 возможных комбинаций. По умолчанию Швейцария выдает шестизначные PIN-коды.
Некоторые системы устанавливают ПИН-коды по умолчанию и в большинстве своем позволяют клиенту установить ПИН-код или изменить ПИН-код по умолчанию, а в некоторых смена ПИН-кода при первом доступе является обязательной. Клиентам обычно не рекомендуется устанавливать PIN-код на основании дней рождения их или их супруга, номеров водительских прав, последовательных или повторяющихся номеров или некоторых других схем. Некоторые финансовые учреждения не выдают и не разрешают PIN-коды, в которых все цифры идентичны (например, 1111, 2222,...), последовательные (1234, 2345,...), номера, начинающиеся с одного или нескольких нулей, или последние четыре цифры. номера социального страхования или даты рождения держателя карты.
Многие системы проверки PIN-кода допускают три попытки, тем самым давая похитителю карты вероятность 0,03% угадать правильный ПИН-код до блокировки карты. Это справедливо только в том случае, если все ПИН-коды одинаковы и у злоумышленника нет дополнительной информации, чего не было с некоторыми из многих алгоритмов генерации и проверки ПИН-кодов, которые финансовые учреждения и производители банкоматов использовали в прошлом.
Было проведено исследование часто используемых PIN-кодов. В результате значительная часть пользователей без предусмотрительности может счесть свой PIN-код уязвимым. «Имея всего четыре возможности, хакеры могут взломать 20% всех PIN-кодов. Разрешите им не более пятнадцати цифр, и они смогут использовать учетные записи более четверти держателей карт».
Взламываемые PIN-коды могут усугубляется с увеличением длины, а именно:
Проблема с угадываемыми PIN-кодами на удивление усугубляется, когда клиенты вынуждены использовать дополнительные цифры, переходя от примерно 25% вероятности при пятнадцати числах к более чем 30% (не считая 7-значных цифр со всеми этими телефонные номера). Фактически, около половины всех 9-значных PIN-кодов можно сократить до двух десятков возможных, в основном потому, что более 35% всех людей используют слишком заманчивый 123456789. Что касается остальных 64%, есть большая вероятность, что они используют их номер социального страхования, что делает их уязвимыми. (Номера социального страхования содержат собственные хорошо известные шаблоны.)
В 2002 году два аспиранта Кембриджского университета, Петр Зелиньски и Майк Бонд, обнаружили брешь в системе безопасности. в системе генерации PIN-кодов IBM 3624, которая была продублирована в большинстве более поздних аппаратных средств. Эта уязвимость, известная как ", позволяет человеку, имеющему доступ к компьютерной системе банка, определять PIN-код для банкоматной карты в среднем за 15 попыток.
Ходят слухи". в электронной почте, утверждающей, что в случае ввода ПИН-кода в банкомат в обратном порядке, полиция будет немедленно предупреждена, а деньги будут выданы, как если бы ПИН-код был введен правильно. Цель этой схемы - защитить жертв ограблений; однако, несмотря на то, что система система предлагается для использования в некоторых штатах США, в настоящее время нет банкоматов, в которых используется это программное обеспечение.
Мобильный телефон может быть защищен PIN-кодом. Если этот параметр включен, PIN-код (также называемый кодом доступа) для мобильных телефонов GSM может содержать от четырех до восьми цифр и записывается на SIM-карту. Если такой PIN-код введен неправильно три раза, SIM-карта блокируется до тех пор, пока не будет введен персональный код разблокировки (PUC или PUK), предоставленный оператором службы. Если код PUC введен неправильно десять раз, SIM-карта будет заблокирована навсегда, и для этого потребуется новая SIM-карта у оператора мобильной связи.
PIN-коды также обычно используются в смартфонах в качестве формы личной аутентификации, поэтому только те, кто знает PIN-код, смогут разблокировать устройство. После ряда неудачных попыток ввода правильного ПИН-кода пользователь может быть заблокирован от повторной попытки в течение определенного периода времени, все данные, хранящиеся на устройстве, могут быть удалены, или пользователя могут попросить ввести альтернативную информацию, которая только владелец должен знать об аутентификации. Возникнет ли какое-либо из упомянутых ранее явлений после неудачных попыток ввода ПИН-кода, во многом зависит от устройства и выбранных пользователем предпочтений в его настройках.
