Нахуя, спрашивается...

... некоторые банки дают 5ти или 6-ти значный PIN, если в банкоматах, которые не принимают больше 4х цифр, спокойно срабатывают первые 4 цифры этого самого PIN-а?

Объясните мне что у меня не так с логикой? По идее, если дается 6ти значный PIN, это делается для большей безопасности - чтобы дескать труднее было подобрать, но при этом транзакция пройдет и с 4мя первыми. В чем смысл? Зачем мучать людей запоминанием лишних 2х цифр?

Так же это ставит под сомнение всю концепцию безопасности ATM транзакций. Как мне когда-то объясняли, там типа сложный алгоритм передающий шифрованные хэши, а не буквально данные. Вот эта возможность вбить только 4 цифры вместо 6ти в сочетании с тем что я знаю о хэшах как-то заставляет усомниться в наличии каких-то несимметричных шифрований при передаче данных. Впрочем, может я изначально имел неправильное представление обо всем этом...

Anyway, if you have a 6 digit pin you should know that first 4 digits will work in any ATM that accepts only 4 digits.

Распечатка баланса с чеком, которую стали делать сейчас повсеместно ИМХО тоже не айс. Настораживает конечно не то, что банкомат это делает по-умолчанию, а то, что он имеет возможность это сделать для счетов, находящихся в банках, к которым данный банкомат не имеет никакого отношения, и вообще находящихся в другой стране. Это в частности означает, что любой хуй работающий админом местного мухосранского банка теоретически может узнать все о вашем финансовом состоянии.

posted by am@mudasobwa.ru at November 15, 2011 Свернуть

Навскидку могу придумать четыре разных варианта: а) «пиар-мессадж тупому юзеру: „я — крутой банк“»; б) скоро все банки перейдут на 100500-значные пины, а пока идет тестовый период и подсуетились только некоторые; в) транзакция из «старых» АТМ-ов идет по другой ветке логики; г) шестизначные пины устроены как ключи ПО раньше: последние два байта могут быть проверены на корректность по первым четырем.

Ответить

posted by мини_я at November 15, 2011 Свернуть

Вариант (а) отпадает сразу, как и (б) в общем-то. Почти все банки США по дефолту раньше использовали 6-ти значный PIN, только недавно у них появились карты и с 4х значными пинами, то есть процесс у них идет явно не в сторону увеличения разрядности пинов. Европейские же банки почти никогда не используют PIN больше 4х.

Ответить

posted by мини_я at November 15, 2011 Свернуть

Проверил свои знания, для передачи данных от ATM к банку используется Triple Des. Это симметричный алгоритм. Но таки про пин все равно пишут, что якобы:

The PIN is not on the card -- it is encrypted (hidden in code) in a database. (For example, before you get cash from an ATM, the ATM encrypts the PIN and sends it to the database to see if there is a match.) The PIN can be either in the bank's computers in an encrypted form (as a cipher) or encrypted on the card itself. The transformation used in this type of cryptography is called one-way. This means that it's easy to compute a cipher given the bank's key and the customer's PIN, but not computationally feasible to obtain the plain-text PIN from the cipher, even if the key is known. This feature was designed to protect the cardholder from being impersonated by someone who has access to the bank's computer files.

Вот это явно разновидность хэша. И вот я нихуя не понимаю, как может совпадать хэш 4х и 6ти значного пина. Либо они хранят 2 специально для таких случаев. Но все равно получается что подбирать можно по более короткому...

Ответить

posted by мини_я at November 15, 2011 Свернуть

Впрочем, если подумать - это вообще гон. Часть банков высылает напоминалки с пинами, если их забыл. Что уже по определению означает, что где-то они пины хранят в явном виде.

Я просто к тому, что все эти уверения в безопасности данных, сдается мне, звучат значительно лучше, чем дело обстоит на практике.

Ответить

Нахуя, спрашивается...

Категории:

Реклама:

Архив: