Persönliche Identifikationsnummer

3218
Eine persönliche Identifikationsnummer, die an seinen Benutzer in einem Brief gesendet wird. Der abgedunkelte Papierlappen verhindert, dass die Zahl durch Halten des ungeöffneten Umschlags am Licht gelesen wird.

A persönliche Identifikationsnummer (STIFT), oder manchmal redundant a PIN Nummer oder Geheimzahl, ist ein numerisches (manchmal Alpha-Numeric) Passcode Wird zur Authentifizierung eines Benutzers verwendet, der auf ein System zugreift.

Der Stift war der Schlüssel zur Erleichterung des private Daten Austausch zwischen verschiedenen Datenverarbeitungszentren in Computernetzwerken für Finanzinstitute, Regierungen und Unternehmen.[1] Stifte können verwendet werden, um Bankensysteme mit Karteninhabern, Regierungen mit Bürgern, Unternehmen mit Mitarbeitern und Computern mit Benutzern zu authentifizieren.

Bei allgemeiner Verwendung werden Stifte in ATM- oder POS -Transaktionen verwendet,[2] Sichere Zugangskontrolle (z. B. Computerzugriff, Türzugriff, Zugang zum Auto),[3] Internet -Transaktionen,[4] oder um sich auf einer eingeschränkten Website anzumelden.

Geschichte

Der Stift entstand mit der Einführung der Geldautomat (ATM) 1967 als effiziente Möglichkeit für Banken, ihre Kunden Bargeld zu geben. Das erste Geldautomatensystem war das von Barclays in London, 1967; es akzeptierte Überprüfungen mit maschinenlesbarem Codieren anstelle von Karten und stimmte den Pin mit dem Scheck ab.[5][6][7] 1972, Lloyds Bank Die erste Bankkarte, die einen Informationskodiermagnetstreifen mit einem PIN zur Sicherheit bietet.[8] James GoodfellowDer Erfinder, der die erste persönliche Identifikationsnummer patentierte, erhielt eine OBE im Jahr 2006 Die Geburtstagsauszeichnungen der Königin.[9][10]

Mohamed M. Atalla erfand den ersten PIN-basierten PIN Hardware -Sicherheitsmodul (HSM),[11] Die "Atalla Box" bezeichnet, ein Sicherheitssystem, das Pin verschlüsselt und Geldautomat Nachrichten und geschützte Offline-Geräte mit einem nicht gepflegten Pin-generierenden Schlüssel.[12] 1972 reichte Atalla ein US -Patent 3.938.091 Für sein Pin -Überprüfungssystem, das ein codiertes enthielt Kartenleser und beschrieben ein System, das verwendet wurde Verschlüsselung Techniken zur Gewährleistung der Sicherheit von Telefonverbindungen bei der Eingabe persönlicher ID -Informationen, die zur Überprüfung an einen entfernten Standort übertragen wurden.[13]

Er gründete Atalla Corporation (jetzt Utimaco Atalla) 1972,[14] und kommerziell die "Atalla Box" 1973 auf den Markt gebracht.[12] Das Produkt wurde als Identikey veröffentlicht. Es war ein Kartenleser und Kundenidentifikationssystemein Terminal mit der Bereitstellung eines Terminals mit Plastik Karte und Pin -Funktionen. Das System wurde entwickelt, um zu lassen Banken und Sparsamkeitsinstitutionen Wechseln Sie zu einer Plastikkartenumgebung von a Sparbuch Programm. Das Identikey -System bestand aus einer Kartenleserkonsole, zwei Kunden Pinpolster, intelligenter Controller und integriertes elektronisches Schnittstellenpaket.[15] Das Gerät bestand aus zwei Tastaturen, einer für den Kunden und eine für den Kassierer. Es ermöglichte dem Kunden, einen geheimen Code einzugeben, der vom Gerät mit a transformiert wird Mikroprozessor, in einen anderen Code für den Erzähler.[16] Während eines Transaktion, Die Kunden Die Kontonummer wurde vom Kartenleser gelesen. Dieser Vorgang ersetzte den manuellen Eintrag und vermieden mögliche Schlüsselschlagfehler. Es ermöglichte Benutzer, herkömmliche Kundenüberprüfungsmethoden wie Signaturüberprüfung und Testfragen durch ein sicheres PIN -System zu ersetzen.[15] In Anerkennung seiner Arbeit am Pin -System von InformationssicherheitsmanagementAtalla wurde als "Vater der Pin" bezeichnet.[17][18][19]

Der Erfolg der "Atalla Box" führte zur breiten Einführung von PIN-basierten Hardware-Sicherheitsmodulen.[20] Der Pin -Überprüfungsprozess war ähnlich wie der später IBM 3624.[21] Bis 1998 wurden schätzungsweise 70% aller ATM -Transaktionen in den USA durch spezialisierte Atalla -Hardware -Module geleitet,[22] Und bis 2003 sicherte sich die Atalla -Box 80% aller Geldautomaten der Welt,[17] zunimmt auf 85% ab 2006.[23] Atallas HSM -Produkte schützen 250 Million Kartentransaktionen jeden Tag ab 2013,[14] und sichern Sie sich immer noch die meisten ATM -Transaktionen der Welt ab 2014.[11]

Finanzdienstleistungen

Pin -Verwendung

Im Zusammenhang mit einer Finanztransaktion sind in der Regel sowohl ein privater "PIN -Code" als auch eine öffentliche Benutzerkennung erforderlich, um einen Benutzer mit dem System zu authentifizieren. In diesen Situationen muss der Benutzer in der Regel einen nicht vertraulichen Benutzerkennung oder Token (die Benutzeridentifikation) und ein vertraulicher Stift, um Zugang zum System zu erhalten. Nach Empfang der Benutzer-ID und der PIN sucht das System die PIN basierend auf der Benutzer-ID und vergleicht die Look-Up-PIN mit der empfangenen PIN. Dem Benutzer erhält nur dann Zugriff, wenn die eingegebene Nummer mit der im System gespeicherten Nummer übereinstimmt. Trotz des Namens tut es eine Pin nicht persönlich Identifizieren Sie den Benutzer.[24] Der Stift wird nicht auf der Karte gedruckt oder eingebettet, sondern vom Karteninhaber manuell eingegeben Geldautomat (Atm) und Kasse (Pos) Transaktionen (wie solche, die entsprechen EMV), und in Karte nicht vorhanden Transaktionen wie über das Internet oder für Telefonbanking.

Stiftlänge

Der internationale Standard für Finanzdienstleistungen PIN Management, ISO 9564-1, ermöglicht Pins von vier bis zwölf Ziffern, empfiehlt dies jedoch, dass der Kartenaussteller aus Usability -Gründen keinen Pin länger als sechs Ziffern zuweist.[25] Der Erfinder des Geldautomaten, John Shepherd-Barron, hatte sich zunächst einen sechsstelligen numerischen Code vorgestellt, aber seine Frau konnte sich nur an vier Ziffern erinnern, und das ist an vielen Stellen die am häufigsten verwendete Länge geworden.[6] Obwohl die Banken in der Schweiz und in vielen anderen Ländern einen sechsstelligen Stift benötigen.

Pin -Validierung

Es gibt mehrere Hauptmethoden zur Validierung von Stiften. Die unten diskutierten Operationen werden normalerweise innerhalb von a durchgeführt Hardware -Sicherheitsmodul (HSM).

IBM 3624 Methode

Eines der frühesten ATM -Modelle war die IBM 3624, die die IBM -Methode verwendete, um das zu generieren, was als a bezeichnet wird natürlicher Stift. Der natürliche Pin wird durch Verschlüsseln der Primärkontontzahl (PAN) generiert, wobei ein Verschlüsselungsschlüssel verwendet wird, der speziell für den Zweck generiert wird.[26] Dieser Schlüssel wird manchmal als Pin -Generierungsschlüssel (PGK) bezeichnet. Dieser Pin steht in direktem Zusammenhang mit der primären Kontonummer. Um den PIN zu validieren, regeneriert die ausstellende Bank den PIN mithilfe der obigen Methode und vergleicht diese mit dem eingegebenen PIN.

Natürliche Stifte können nicht ausgewählt werden, da sie von der Pfanne abgeleitet sind. Wenn die Karte mit einer neuen Pfanne neu ausgegeben wird, muss ein neuer Pin generiert werden.

Mit natürlichen Stiften können Banken Pin -Erinnerungsbuchstaben ausstellen, sobald der Pin generiert werden kann.

IBM 3624 + Offset -Methode

Damit benutzerfreundliche Stifte zu ermöglichen, können Sie einen Pin-Offset-Wert speichern. Der Offset wird gefunden, indem der natürliche Pin vom vom Kunden ausgewählten Pin verwendet wird Modulo 10.[27] Wenn der natürliche Stift beispielsweise 1234 ist und der Benutzer einen Pin von 2345 haben möchte, ist der Offset 1111.

Der Offset kann entweder auf den Kartenspurdaten gespeichert werden.[28] oder in einer Datenbank beim Kartenausweis.

Um den PIN zu validieren, berechnet die ausstellende Bank den natürlichen Stift wie in der obigen Methode, fügt dann den Offset hinzu und vergleicht diesen Wert mit dem eingegebenen PIN.

Visa -Methode

Wenn Sie dieses Kreditkartenterminal verwenden, wischt sich ein Visa -Karteninhaber auf oder fügt seine Kreditkarte ein und betritt seine Pin auf der Tastatur

Die Visa-Methode wird von vielen Kartenschemata verwendet und ist nicht visumspezifisch. Die Visa -Methode erzeugt einen Pin -Überprüfungswert (PVV). Ähnlich wie beim Offset -Wert kann es auf den Spurdaten der Karte oder in einer Datenbank beim Kartenausweis gespeichert werden. Dies wird als Referenz PVV bezeichnet.

Die Visa -Methode nimmt die höchsten elf Ziffern der Pfanne ohne den Prüfsummenwert, einen Pin -Validierungsschlüsselindex (PVKI, aus einem bis sechs), ein PVKI von 0 an, dass der PIN nicht über PVS verifiziert werden kann[29]) und der erforderliche Pin-Wert, um eine 64-Bit-Nummer zu erstellen, wählt der PVKI einen Validierungsschlüssel (PVK, von 128 Bit) aus, um diese Zahl zu verschlüsseln. Aus diesem verschlüsselten Wert wird der PVV gefunden.[30]

Um den PIN zu validieren, berechnet die ausstellende Bank einen PVV -Wert aus dem eingegebenen Stift und der PAN und vergleicht diesen Wert mit dem Referenz -PVV. Wenn die Referenz -PVV und die berechnete PVV -Übereinstimmung mit dem richtigen Stift eingegeben wurden.

Im Gegensatz zur IBM -Methode leitet die Visa -Methode keinen Pin ab. Der PVV -Wert wird verwendet, um den an der Klemme eingegebenen PIN zu bestätigen, auch zur Erzeugung des Referenz -PVV. Der PIN zum Generieren eines PVV kann mit der IBM-Methode zufällig generiert, benutzerfreundlich oder sogar abgeleitet werden.

Pin -Sicherheit

Finanzstifte sind häufig vierstellige Zahlen im Bereich 0000–9999, was zu 10.000 möglichen Kombinationen führt. Die Schweiz gibt standardmäßig sechsstellige Stifte aus.[31]

Einige Systeme richten Standardstifte ein und ermöglichen es dem Kunden, dass der Kunde eine PIN einrichten oder die Standardeinstellung ändern kann. Den Kunden wird in der Regel empfohlen, keine PIN basiert auf den Geburtstagen der oder der Geburtstage ihres Ehepartners, auf Führerscheinnummern, aufeinanderfolgenden oder sich wiederholenden Nummern oder einigen anderen Systemen. Einige Finanzinstitute geben oder erlauben Stifte, bei denen alle Ziffern identisch sind (wie 1111, 2222, ...), aufeinanderfolgende (1234, 2345, ...), Zahlen, die mit einem oder mehreren Nullen oder dem letzten beginnen vier Ziffern des Karteninhabers Sozialversicherungsnummer oder Geburtsdatum.

Viele Pin -Überprüfungssysteme ermöglichen drei Versuche, wodurch einem Kartendieb eine mutmaßliche 0,03% erfolgt Wahrscheinlichkeit der richtige Stift vor der Karte zu erraten. Dies gilt nur, wenn alle Stifte gleich wahrscheinlich sind und der Angreifer keine weiteren Informationen zur Verfügung hat, was bei einigen der vielen Pin -Generierungs- und -Verifizierungsalgorithmen, die Finanzinstitute und ATM -Hersteller in der Vergangenheit verwendet haben, nicht der Fall waren.[32]

Untersuchungen wurden an häufig verwendeten Stiften durchgeführt.[33] Das Ergebnis ist, dass ohne Voraussicht ein beträchtlicher Teil der Benutzer ihren Pin anfällig empfinden kann. "Mit nur vier Möglichkeiten können Hacker 20% aller Stifte knacken. Erlauben Sie ihnen nicht mehr als fünfzehn Zahlen und können auf die Konten von mehr als einem Viertel der Karteninhaber tippen."[34]

Bruchstifte können sich mit Länge verschlechtern, um es zu tun:

Das Problem mit erratenen Stiften verschlechtert sich überraschend, wenn die Kunden gezwungen sind, zusätzliche Ziffern zu verwenden, und wechseln von einer Wahrscheinlichkeit von etwa 25% mit fünfzehn Zahlen auf mehr als 30% (ohne 7-stellige Zahlen mit all diesen Telefonnummern). In der Tat kann etwa die Hälfte aller 9-stelligen Stifte auf zwei Dutzend Möglichkeiten reduziert werden, vor allem, weil mehr als 35% aller Menschen die allzu verlockenden 123456789 nutzen ihr Sozialversicherungsnummer, was sie verletzlich macht. (Sozialversicherungsnummern enthalten ihre eigenen bekannten Muster.)[34]

Implementierungsfehler

Im Jahr 2002 zwei Doktoranden bei Universität von Cambridge, Piotr Zieliński und Mike Bond, entdeckten einen Sicherheitsfehler im Pin -Generierungssystem des IBM 3624, was in den meisten späteren Hardware dupliziert wurde. Bekannt als der Angriff für Dezimalisierungstabellen, würde der Fehler jemandem, der Zugriff auf das Computersystem einer Bank hat, den PIN für eine ATM -Karte in einem Durchschnitt von 15 Vermutungen bestimmen.[35][36]

Pin -Scherz umgekehrt

Es wurden Gerüchte in E-Mail- und Internetverzirksgeräten durchgeführt, in denen behauptet wurde, dass die Strafverfolgungsbehörden im Falle eines Eintritts in einen PIN in einen Geldautomaten sofort alarmiert werden, und das Geld wird normalerweise so ausgestellt, als wäre die PIN korrekt eingegeben worden.[37] Die Absicht dieses Programms wäre, Opfer von Muggings zu schützen; Trotzdem trotz der System in einigen US -Bundesstaaten vorgeschlagen werden,[38][39] Derzeit gibt es keine Geldautomaten[wenn?] existiert, das diese Software einsetzt.[40]

Mobiltelefonpasscodes

Ein Mobiltelefon kann PIN geschützt sein. Wenn aktiviert, der Pin (auch als Passcode bezeichnet) für GSM Mobiltelefone können zwischen vier und acht Ziffern liegen[41] und wird in der aufgezeichnet SIM Karte. Wenn ein solcher Pin dreimal falsch eingegeben wird, wird die SIM -Karte bis a blockiert Persönlicher Entblockercode (PUC oder PUK), der vom Service -Betreiber bereitgestellt wird, wird eingegeben. Wenn der PUC zehnmal falsch eingegeben wird, wird die SIM -Karte dauerhaft blockiert, wobei eine neue SIM -Karte vom Mobilfunk -Carrier -Dienst erforderlich ist.

Stifte werden auch häufig in Smartphones als Form der persönlichen Authentifizierung verwendet, so dass nur diejenigen, die den PIN wissen, das Gerät freischalten können. Nach einer Reihe fehlgeschlagener Versuche, die richtige PIN einzugeben, kann der Benutzer von der zugewiesenen Zeit nicht erneut versuchen, alle auf dem Gerät gespeicherten Daten gelöscht werden, oder der Benutzer kann gebeten werden, alternative Informationen einzugeben, die Es wird nur der Eigentümer erwartet, dass er sich authentifizieren kann. Ob eines der früher erwähnten Phänomene nach fehlgeschlagenen Versuchen, in den PIN einzugeben, vorkommt, hängt weitgehend vom Gerät und den ausgewählten Präferenzen des Besitzers in seinen Einstellungen ab.

Siehe auch

Verweise

  1. ^ Higgs, Edward (1998). Geschichte und elektronische Artefakte. Oxford University Press. ISBN 0198236336.
  2. ^ Martin, Keith (2012). Alltägliche Kryptographie: Grundprinzipien und Anwendungen. Oxford University Press. ISBN 9780199695591.
  3. ^ Cale, Stephane (2013). Sicherheit mobiler Zugang: Beyond BYOD. Wiley Publishing. ISBN 978-1-84821-435-4.
  4. ^ "E-Commerce: Ein verwickeltes Web für Pin-Debit". Digitale Transaktionen. 1. Februar 2013 - über Associated Press.
  5. ^ Jarunee Wonglimpiyara, Wettbewerbsstrategien im Bankkartengeschäft (2005), p. 1-3.
  6. ^ a b "Der Mann, der die Geldmaschine erfunden hat". BBC. 2007-06-25. Abgerufen 2014-06-15.
  7. ^ "ATM-Erfinder John Shepherd-Barron stirbt bei 84". Los Angeles Zeiten. 19. Mai 2010 - über Associated Press.
  8. ^ Jarunee Wonglimpiyara, Wettbewerbsstrategien im Bankkartengeschäft (2005), p. 5.
  9. ^ "Königliche Ehre für Erfinder der Pin". BBC. 2006-06-16. Abgerufen 2007-11-05.
  10. ^ GB 1197183  "Verbesserungen in oder in Bezug auf kundenunternehmensbetriebene Abgabesysteme"-Ivan Oliveira, Anthony Davies, James Goodfellow
  11. ^ a b Stieennon, Richard (17. Juni 2014). "Schlüsselmanagement Ein schneller wachsender Raum". Sicherheitsstrafe. IT-Harvest. Abgerufen 21. August 2019.
  12. ^ a b Bátiz-Lazo, Bernardo (2018). Bargeld und Dash: Wie Geldautomaten und Computer das Bankgeschäft verändert haben. Oxford University Press. S. 284 & 311. ISBN 9780191085574.
  13. ^ "Die wirtschaftlichen Auswirkungen des Datenverschlüsselungsstandard -Programms (DES Data Encryption Standard)" (PDF). Nationales Institut für Standards und Technologie. Handelsministerium der Vereinigten Staaten. Oktober 2001. Abgerufen 21. August 2019.{{}}: CS1 Wartung: URL-Status (Link)
  14. ^ a b Langford, Susan (2013). "ATM-Auszahlungsangriffe" (PDF). Hewlett Packard Enterprise. Hewlett Packard. Abgerufen 21. August 2019.
  15. ^ a b "ID -System, das als NCR 270 -Upgrade entwickelt wurde". Computerwelt. IDG Enterprise. 12 (7): 49. 13. Februar 1978.
  16. ^ "Vier Produkte für Online-Transaktionen enthüllt". Computerwelt. IDG Enterprise. 10 (4): 3. 26. Januar 1976.
  17. ^ a b "Martin M. (John) Atalla". Purdue Universität. 2003. Abgerufen 2. Oktober 2013.
  18. ^ "Sicherheitsguru befasst sich mit dem Netz: Vater von Pin 'Unterne', um Tristrrata zu starten.". Die Business Journals. American City Business Journals. 2. Mai 1999. Abgerufen 23. Juli 2019.
  19. ^ "Purdue Schools of Engineering Honor 10 Distinguished Alumni". Journal & Courier. 5. Mai 2002. p. 33.
  20. ^ Bátiz-Lazo, Bernardo (2018). Bargeld und Dash: Wie Geldautomaten und Computer das Bankgeschäft verändert haben. Oxford University Press. p. 311. ISBN 9780191085574.
  21. ^ Konheim, Alan G. (1. April 2016). "Automatische Teller -Maschinen: ihre Geschichte und Authentifizierungsprotokolle". Journal of Cryptographic Engineering. 6 (1): 1–29. doi:10.1007/s13389-015-0104-3. ISSN 2190-8516. S2CID 1706990. Archiviert von das Original am 22. Juli 2019. Abgerufen 22. Juli 2019.
  22. ^ Grant, Gail L. (1998). Verständnis digitaler Signaturen: Vertrauen in das Internet und andere Netzwerke schaffen. McGraw-Hill. p. 163. ISBN 9780070125544. Tatsächlich werden schätzungsweise 70 Prozent aller Banken -ATM -Transaktionen in den USA durch spezialisierte Atalla -Hardware -Sicherheitsmodule geleitet.
  23. ^ "Portfolioübersicht für Zahlung & GP HSMS" (PDF). Utimaco. Abgerufen 22. Juli 2019.
  24. ^ Ihre ID -Nummer ist kein Passwort, Webb-Site.com, 8. November 2010
  25. ^ ISO 9564-1: 2011 Finanzdienstleistungen-PIN) Management und Sicherheit für Personalidentifikationsnummer (PIN)-Teil 1: Grundprinzipien und Anforderungen für Stifte in kartenbasierten Systemen, Klausel 8.1 Pin Länge
  26. ^ "3624 -Pin -Generierungsalgorithmus". IBM.
  27. ^ "Algorithmus zur Erzeugung von Pin -Offset -Erzeugung". IBM.
  28. ^ "Trackformat von Magnetstreifenkarten". Gae.ucm.es.
  29. ^ "Sun Crypto Accelerator 6000 Board Benutzerhandbuch für Version 1.0". docs.oracle.com. Abgerufen 2021-06-22.
  30. ^ "PVV -Generierungalgorithmus". IBM.{{}}: CS1 Wartung: URL-Status (Link)
  31. ^ Wang, Ding; Gu, Qianchen; Huang, Xinyi; Wang, Ping (2017-04-02). "Verständnis von Menschen ausgewählten Stifte: Merkmale, Verteilung und Sicherheit". Proceedings der ACM 2017 ASIA -Konferenz über Computer- und Kommunikationssicherheit. Asien CCS '17. Abu Dhabi Vereinigte Arabische Emirate: ACM: 372–385. doi:10.1145/3052973.3053031. ISBN 978-1-4503-4944-4. S2CID 14259782.
  32. ^ Kuhn, Markus (Juli 1997). "Wahrscheinlichkeitstheorie für Taschendien-Ec-Pin-Vermutung" (PDF). Abgerufen 2006-11-24. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  33. ^ Nick Berry (28. September 2012). "Die häufigsten Stifte: Ist Ihr Bankkonto verwundbar?". Guardian Zeitungswebsite. Abgerufen 2013-02-25.
  34. ^ a b Lundin, Leigh (2013-08-04). "Pins und Passwörter, Teil 1". Passwörter. Orlando: SLEUTHSAYERS. Mit nur vier Möglichkeiten können Hacker 20% aller Stifte knacken.
  35. ^ Zieliński, P & Bond, M (Februar 2003). "Dezimalisierungstischangriffe für das Knacken von Nadeln" (PDF). 02453. Computerlabor der Universität von Cambridge. Abgerufen 2006-11-24. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  36. ^ "Medienberichterstattung". Computerlabor der Universität von Cambridge. Abgerufen 2006-11-24.
  37. ^ "Panikcode umgekehrter Pin". Abgerufen 2007-03-02.
  38. ^ Volltext von SB0562 Illinois General Assembly, abgerufen 2011-07-20
  39. ^ sb379_sb_379_pf_2.html Senat Bill 379 Archiviert 2012-03-23 ​​bei der Wayback -Maschine Die Generalversammlung Georgia, veröffentlicht 2006, abgerufen 2011-07-20
  40. ^ "Wird der Eintritt in Ihren Geldautomaten nach hinten die Polizei auslösen?". Selten. 2020-12-15. Abgerufen 2021-02-27.
  41. ^ 082251615790 GSM 02.17 Abonnenten -Identitätsmodule, Funktionseigenschaften, Version 3.2.0, Februar 1992, Klausel 3.1.3