Jump to content

Персональный идентификационный номер

(Перенаправлено с номера PIN-кода )
«ПИН-код» перенаправляется сюда. PIN-код в индийских адресах см. в разделе «Почтовый индекс» .

Персональный идентификационный номер ( ПИН ), ПИН-код или иногда избыточно ПИН -номер — это цифровой (иногда буквенно-цифровой) пароль , используемый в процессе аутентификации пользователя, получающего доступ к системе.

PIN-код стал ключом к облегчению обмена частными данными между различными центрами обработки данных в компьютерных сетях финансовых учреждений, правительств и предприятий. [1] ПИН-коды могут использоваться для аутентификации банковских систем с держателями карт, правительств с гражданами, предприятий с сотрудниками и компьютеров с пользователями, а также для других целей.

Обычно ПИН-коды используются в транзакциях через банкоматы или POS-терминалы. [2] безопасный контроль доступа (например, доступ к компьютеру, доступ к двери, доступ к машине), [3] интернет-транзакции, [4] или войти на сайт с ограниченным доступом.

История

[ редактировать ]

ПИН-код возник с появлением банкоматов ( АТМ) в 1967 году как эффективный способ выдачи банками наличных денег своим клиентам. Первой системой банкоматов была система Barclays в Лондоне в 1967 году; он принимал чеки с машиночитаемой кодировкой, а не карты, и сопоставлял PIN-код с чеком. [5] [6] [7] В 1972 году Lloyds Bank выпустил первую банковскую карту с магнитной полосой для кодирования информации и PIN-кодом для обеспечения безопасности. [8] Джеймс Гудфеллоу , изобретатель, запатентовавший первый личный идентификационный номер, был награжден Орденом Британской империи на церемонии вручения наград в честь дня рождения королевы в 2006 году . [9] [10]

Мохамед М. Аталла изобрел первый аппаратный модуль безопасности (HSM) на основе PIN-кода. [11] получившая название «Atalla Box», система безопасности, которая шифровала PIN-коды и сообщения банкоматов и защищала автономные устройства с помощью неугадываемого ключа, генерирующего PIN-код. [12] В 1972 году Аталла подал патент США № 3 938 091 на свою систему проверки PIN-кода, которая включала в себя считыватель закодированных карт и описывала систему, которая использовала методы шифрования для обеспечения безопасности телефонной связи при вводе личной идентификационной информации, которая передавалась в удаленное место для проверки. [13]

В 1972 году он основал корпорацию Atalla (ныне Utimaco Atalla ). [14] и коммерчески запустила «Atalla Box» в 1973 году. [12] Продукт был выпущен как Identikey. Это был кард-ридер и система идентификации клиентов , обеспечивающая терминал с возможностью использования пластиковых карт и PIN-кода. Система была разработана, чтобы позволить банкам и сберегательным учреждениям перейти на среду пластиковых карт с программы сберкнижек . Система Identikey состояла из консоли считывателя карт, двух клиентских PIN-падов , интеллектуального контроллера и встроенного электронного интерфейса. [15] Устройство состояло из двух клавиатур : одна для покупателя, другая для кассира. Это позволило покупателю ввести секретный код, который преобразуется устройством с помощью микропроцессора в другой код для кассира. [16] Во время транзакции номер счета клиента был прочитан устройством считывания карт . Этот процесс заменил ручной ввод и позволил избежать возможных ошибок при нажатии клавиш. Это позволило пользователям заменить традиционные методы проверки клиентов, такие как проверка подписи и тестовые вопросы, на безопасную систему PIN-кодов. [15] В знак признания его работы над PIN-системой управления информационной безопасностью Аталлу называют «отцом PIN-кода». [17] [18] [19]

Успех «Atalla Box» привел к широкому распространению аппаратных модулей безопасности на основе PIN-кода. [20] Процесс проверки PIN-кода был аналогичен более позднему IBM 3624 . [21] К 1998 году около 70% всех транзакций через банкоматы в США проводились через специализированные аппаратные модули Atalla. [22] а к 2003 году Atalla Box обеспечивал 80% всех банкоматов в мире. [17] увеличится до 85% по состоянию на 2006 год. [23] По состоянию на 2013 год продукты Atalla HSM защищают 250   миллионов карточных транзакций каждый день. [14] и по-прежнему обеспечивает большую часть мировых транзакций через банкоматы по состоянию на 2014 год. [11]

Финансовые услуги

[ редактировать ]

Использование PIN-кода

[ редактировать ]

В контексте финансовой транзакции обычно для аутентификации пользователя в системе требуются как частный «ПИН-код», так и общедоступный идентификатор пользователя. В таких ситуациях обычно пользователю необходимо предоставить неконфиденциальный идентификатор пользователя или токен ( идентификатор пользователя ) и конфиденциальный PIN-код для получения доступа к системе. После получения идентификатора пользователя и PIN-кода система ищет PIN-код на основе идентификатора пользователя и сравнивает найденный PIN-код с полученным PIN-кодом. Пользователю предоставляется доступ только в том случае, если введенный номер совпадает с номером, хранящимся в системе. Следовательно, несмотря на имя, ПИН-код не идентифицирует личность пользователя. [24] ПИН-код не печатается и не встраивается в карту, а вводится владельцем карты вручную во время транзакций в банкоматах (ATM) и точках продаж (POS) (например, тех, которые соответствуют EMV ), а также в без предъявления карты транзакциях , таких как как через Интернет или для телефонного банкинга.

Длина PIN-кода

[ редактировать ]

Международный стандарт управления PIN-кодами финансовых услуг ISO 9564-1 допускает использование PIN-кодов от четырех до двенадцати цифр, но рекомендует эмитенту карты из соображений удобства использования не назначать PIN-код длиной более шести цифр. [25] Изобретатель банкомата Джон Шеперд-Бэррон сначала предполагал шестизначный цифровой код, но его жена могла запомнить только четыре цифры, и во многих местах эта длина стала наиболее часто используемой. [6] хотя банки в Швейцарии и многих других странах требуют шестизначный PIN-код.

Проверка PIN-кода

[ редактировать ]

Существует несколько основных методов проверки PIN-кодов. Операции, обсуждаемые ниже, обычно выполняются внутри аппаратного модуля безопасности (HSM).

Метод IBM 3624

[ редактировать ]

Одной из первых моделей банкоматов был IBM 3624 , в котором использовался метод IBM для генерации так называемого естественного PIN-кода . Естественный PIN-код генерируется путем шифрования основного номера счета (PAN) с использованием ключа шифрования, созданного специально для этой цели. [26] Этот ключ иногда называют ключом генерации PIN-кода (PGK). Этот PIN-код напрямую связан с основным номером счета. Для проверки ПИН-кода банк-эмитент повторно генерирует ПИН-код, используя описанный выше метод, и сравнивает его с введенным ПИН-кодом.

Естественные PIN-коды не могут быть выбраны пользователем, поскольку они основаны на PAN. Если карта перевыпускается с новым PAN, необходимо сгенерировать новый PIN-код.

Естественные ПИН-коды позволяют банкам рассылать письма с напоминанием о ПИН-коде, поскольку ПИН-код может быть сгенерирован.

IBM 3624 + метод смещения

[ редактировать ]

Чтобы разрешить выбор PIN-кодов пользователем, можно сохранить значение смещения PIN-кода. Смещение определяется путем вычитания естественного ПИН-кода из ПИН-кода, выбранного клиентом, по модулю 10. [27] Например, если естественный ПИН-код — 1234, а пользователь желает иметь ПИН-код 2345, смещение составит 1111.

Смещение может быть сохранено либо в данных дорожки карты, [28] или в базе данных эмитента карты.

Для проверки ПИН-кода банк-эмитент вычисляет естественный ПИН-код, как описано выше, затем добавляет смещение и сравнивает это значение с введенным ПИН-кодом.

ВИЗОВЫЙ метод

[ редактировать ]
При использовании этого терминала для кредитных карт владелец карты VISA проводит или вставляет свою кредитную карту и вводит свой PIN-код на клавиатуре.

Метод VISA используется многими карточными схемами и не является специфичным для VISA. Метод VISA генерирует значение проверки PIN-кода (PVV). Подобно значению смещения, оно может храниться в данных отслеживания карты или в базе данных эмитента карты. Это называется эталонным PVV.

Метод VISA использует одиннадцать крайних правых цифр PAN, исключая значение контрольной суммы, индекс ключа проверки PIN-кода (PVKI, выбирается от одного до шести, PVKI, равный 0, означает, что PIN-код не может быть проверен через PVS). [29] ) и необходимое значение PIN-кода для создания 64-битного числа, PVKI выбирает ключ проверки (PVK, 128 бит) для шифрования этого числа. По этому зашифрованному значению находится PVV. [30]

Для проверки PIN-кода банк-эмитент вычисляет значение PVV на основе введенных PIN-кода и PAN и сравнивает это значение с эталонным PVV. Если эталонный PVV и рассчитанный PVV совпадают, значит, введен правильный PIN-код.

В отличие от метода IBM, метод VISA не выводит PIN-код. Значение PVV используется для подтверждения PIN-кода, введенного на терминале, а также использовалось для создания эталонного PVV. PIN-код, используемый для создания PVV, может быть сгенерирован случайным образом, выбран пользователем или даже получен с использованием метода IBM.

Безопасность PIN-кода

[ редактировать ]

Финансовые ПИН-коды часто представляют собой четырехзначные числа в диапазоне 0000–9999, что дает 10 000 возможных комбинаций. По умолчанию Швейцария выдает шестизначные PIN-коды. [31]

Некоторые системы устанавливают ПИН-коды по умолчанию, и большинство из них позволяют клиенту установить ПИН-код или изменить ПИН-код по умолчанию, а в некоторых смена ПИН-кода при первом доступе является обязательной. Клиентам обычно не рекомендуется устанавливать PIN-код на основе дней рождения их или их супруга, номеров водительских прав, последовательных или повторяющихся номеров или каких-либо других схем. Некоторые финансовые учреждения не выдают и не разрешают использовать ПИН-коды, в которых все цифры одинаковы (например, 1111, 2222, ...), последовательные (1234, 2345, ...), числа, начинающиеся с одного или нескольких нулей или последних или даты рождения владельца карты четыре цифры номера социального страхования . [ нужна ссылка ]

Многие системы проверки ПИН-кода допускают три попытки, тем самым давая похитителю карты предполагаемую вероятность 0,03% угадать правильный ПИН-код до того, как карта будет заблокирована. Это справедливо только в том случае, если все ПИН-коды одинаково вероятны и у злоумышленника нет доступной дополнительной информации, чего не было в случае с некоторыми из многих алгоритмов генерации и проверки ПИН-кодов, которые финансовые учреждения и производители банкоматов использовали в прошлом. [32]

Было проведено исследование часто используемых PIN-кодов. [33] В результате без предусмотрительности значительная часть пользователей может обнаружить, что их PIN-код уязвим. «Имея всего четыре возможности, хакеры могут взломать 20% всех ПИН-кодов. Разрешите им использовать не более пятнадцати номеров, и они смогут прослушивать счета более четверти держателей карт». [34]

Взламываемые ПИН-коды могут ухудшаться с увеличением длины, а именно:

Проблема с угадываемыми PIN-кодами неожиданно усугубляется, когда клиенты вынуждены использовать дополнительные цифры, увеличиваясь с вероятности примерно 25% для пятнадцати номеров до более чем 30% (не считая семизначных номеров для всех этих телефонных номеров). Фактически, около половины всех девятизначных PIN-кодов можно сократить до двух десятков вариантов, в основном потому, что более 35% всех людей используют слишком заманчивый номер 123456789. Что касается остальных 64%, есть большая вероятность, что они используют их номер социального страхования , что делает их уязвимыми. (Номера социального страхования содержат свои хорошо известные закономерности.) [34]

Недостатки реализации

[ редактировать ]

В 2002 году два аспиранта Кембриджского университета , Петр Зелински и Майк Бонд, обнаружили брешь в безопасности в системе генерации PIN-кода IBM 3624 , которая дублировалась в большинстве более поздних аппаратных средств. Эта уязвимость , известная как атака по таблице десятичных чисел , позволяет любому, кто имеет доступ к компьютерной системе банка, определить PIN-код для карты банкомата в среднем за 15 попыток. [35] [36]

Обратный PIN-код

[ редактировать ]
Основная статья: Программное обеспечение ATM SafetyPIN

По электронной почте и в Интернете ходили слухи, что в случае ввода ПИН-кода в банкомате задом наперед правоохранительные органы будут немедленно предупреждены, а деньги обычно выдаются так, как если бы ПИН-код был введен правильно. [37] Целью этой схемы будет защита жертв ограблений; однако, несмотря на то, что система предлагается для использования в некоторых штатах США, [38] [39] В настоящее время не существует банкоматов, использующих это программное обеспечение. [40]

Коды доступа к мобильному телефону

[ редактировать ]

Мобильный телефон может быть защищен PIN-кодом. Если этот параметр включен, PIN-код (также называемый паролем) для мобильных телефонов GSM может содержать от четырех до восьми цифр. [41] и записывается на SIM-карте . При неправильном трехкратном вводе такого PIN-кода SIM-карта блокируется до тех пор, пока не будет введен персональный код разблокировки (PUC или PUK), предоставленный оператором связи. [42] Если PUC введен неправильно десять раз, SIM-карта блокируется навсегда, и требуется новая SIM-карта у оператора мобильной связи.

Обратите внимание, что их не следует путать с программными кодами доступа, которые часто используются на смартфонах с экранами блокировки : они не связаны с сотовой SIM-картой, PIN-кодом и PUC устройства.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Хиггс, Эдвард (1998). История и электронные артефакты . Издательство Оксфордского университета. ISBN  0198236336 .
  2. ^ Мартин, Кейт (2012). Повседневная криптография: фундаментальные принципы и приложения . Издательство Оксфордского университета. ISBN  9780199695591 .
  3. ^ Кейл, Стефан (2013). Безопасность мобильного доступа: за пределами BYOD . Издательство Уайли. ISBN  978-1-84821-435-4 .
  4. ^ «Электронная коммерция: запутанная сеть дебетования по PIN-коду» . Цифровые транзакции . 1 февраля 2013 г. – через Associated Press.
  5. ^ Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе с банковскими картами (2005), стр. 1-3.
  6. ^ Перейти обратно: а б «Человек, который изобрел банкомат» . Би-би-си. 25 июня 2007 г. Проверено 15 июня 2014 г.
  7. ^ «Изобретатель банкоматов Джон Шепард-Бэррон умер в возрасте 84 лет» . Лос-Анджелес Таймс . 19 мая 2010 г. – через Associated Press.
  8. ^ Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе с банковскими картами (2005), стр. 5.
  9. ^ «Королевская честь изобретателю булавки» . Би-би-си. 16 июня 2006 г. Проверено 5 ноября 2007 г.
  10. ^ GB 1197183   «Усовершенствования в системах выдачи, управляемых клиентом, или связанные с ними» - Иван Оливейра, Энтони Дэвис, Джеймс Гудфеллоу.
  11. ^ Перейти обратно: а б Стиеннон, Ричард (17 июня 2014 г.). «Управление ключами в быстрорастущем пространстве» . SecurityCurrent . IT-Урожай . Проверено 21 августа 2019 г.
  12. ^ Перейти обратно: а б Батис-Ласо, Бернардо (2018). Наличные и Dash: как банкоматы и компьютеры изменили банковское дело . Издательство Оксфордского университета . стр. 284 и 311. ISBN.  9780191085574 .
  13. ^ «Экономические последствия программы стандарта шифрования данных (DES) NIST» (PDF) . Национальный институт стандартов и технологий . Министерство торговли США . Октябрь 2001 г. Архивировано из оригинала (PDF) 30 августа 2017 г. . Проверено 21 августа 2019 г.
  14. ^ Перейти обратно: а б Лэнгфорд, Сьюзен (2013). «Атаки по выводу наличных в банкоматах» (PDF) . Хьюлетт Паккард Энтерпрайз . Хьюлетт-Паккард . Проверено 21 августа 2019 г.
  15. ^ Перейти обратно: а б «Система идентификации, разработанная как модернизация NCR 270» . Компьютерный мир . 12 (7). IDG Enterprise: 49. 13 февраля 1978 г.
  16. ^ «Представлены четыре продукта для онлайн-транзакций» . Компьютерный мир . 10 (4). IDG Enterprise: 3. 26 января 1976 г.
  17. ^ Перейти обратно: а б «Мартин М. (Джон) Аталла» . Университет Пердью . 2003 . Проверено 2 октября 2013 г.
  18. ^ «Гуру безопасности берется за Net: отец PIN-кода уходит в отставку, чтобы запустить TriStrata» . Деловые журналы . Американские городские деловые журналы . 2 мая 1999 года . Проверено 23 июля 2019 г.
  19. ^ «Инженерные школы Пердью удостоили чести 10 выдающихся выпускников» . Журнал и курьер . 5 мая 2002 г. с. 33.
  20. ^ Батис-Ласо, Бернардо (2018). Наличные и Dash: как банкоматы и компьютеры изменили банковское дело . Издательство Оксфордского университета . п. 311. ИСБН  9780191085574 .
  21. ^ Конхейм, Алан Г. (1 апреля 2016 г.). «Банкоматы: их история и протоколы аутентификации» . Журнал криптографической инженерии . 6 (1): 1–29. дои : 10.1007/s13389-015-0104-3 . ISSN   2190-8516 . S2CID   1706990 . Архивировано из оригинала 22 июля 2019 года . Проверено 22 июля 2019 г.
  22. ^ Грант, Гейл Л. (1998). Понимание цифровых подписей: установление доверия через Интернет и другие сети . МакГроу-Хилл . п. 163. ИСБН  9780070125544 . Фактически, около 70 процентов всех банковских транзакций через банкоматы в США проходят через специализированные аппаратные модули безопасности Atalla.
  23. ^ «Обзор портфеля для HSM платежей и GP» (PDF) . Утимако . Архивировано из оригинала (PDF) 21 июля 2021 года . Проверено 22 июля 2019 г.
  24. ^ Ваш идентификационный номер не является паролем , Webb-site.com, 8 ноября 2010 г.
  25. ^ ISO 9564-1: 2011 Финансовые услуги. Управление и безопасность персонального идентификационного номера (ПИН). Часть 1. Основные принципы и требования к ПИН-кодам в карточных системах , пункт 8.1 Длина ПИН-кода.
  26. ^ «Алгоритм генерации PIN-кода 3624» . ИБМ.
  27. ^ «Алгоритм генерации смещения PIN-кода» . ИБМ.
  28. ^ «Формат отслеживания карт с магнитной полосой» . Gae.ucm.es. Архивировано из оригинала 28 сентября 2014 г. Проверено 25 апреля 2010 г.
  29. ^ «Руководство пользователя платы Sun Crypto Accelerator 6000 для версии 1.0» . docs.oracle.com . Проверено 22 июня 2021 г.
  30. ^ «Алгоритм генерации PVV» . ИБМ.
  31. ^ Ван, Дин; Гу, Цяньчэнь; Хуан, Синьи; Ван, Пин (02 апреля 2017 г.). «Понимание ПИН-кодов, выбранных человеком» . Материалы Азиатской конференции ACM по компьютерной и коммуникационной безопасности 2017 года . Азия CCS '17. Абу-Даби, Объединенные Арабские Эмираты: ACM. стр. 372–385. дои : 10.1145/3052973.3053031 . ISBN  978-1-4503-4944-4 . S2CID   14259782 .
  32. ^ Кун, Маркус (июль 1997 г.). «Теория вероятностей для карманников — угадывание ПИН-кода» (PDF) . Проверено 24 ноября 2006 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  33. ^ Ник Берри (28 сентября 2012 г.). «Самые распространенные PIN-коды: уязвим ли ваш банковский счет?» . Сайт газеты «Гардиан» . Проверено 25 февраля 2013 г.
  34. ^ Перейти обратно: а б Лундин, Ли (4 августа 2013 г.). «ПИН-коды и пароли, часть 1» . Пароли . Орландо : SleuthSayers. Имея всего четыре возможности, хакеры могут взломать 20% всех ПИН-кодов.
  35. ^ Зелински, П. и Бонд, М. (февраль 2003 г.). «Атаки по таблице десятичных чисел для взлома PIN-кода» (PDF) . 02453. Компьютерная лаборатория Кембриджского университета . Проверено 24 ноября 2006 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  36. ^ «Освещение в СМИ» . Компьютерная лаборатория Кембриджского университета. Архивировано из оригинала 20 октября 2018 г. Проверено 24 ноября 2006 г.
  37. ^ «Обратный PIN-код паники» . 7 октября 2006 г. Проверено 2 марта 2007 г.
  38. ^ Полный текст Генеральной ассамблеи SB0562 Иллинойса, по состоянию на 20 июля 2011 г.
  39. ^ sb379_SB_379_PF_2.html Законопроект Сената 379. Архивировано 23 марта 2012 г. на Генеральной ассамблее Wayback Machine Georgia, опубликовано в 2006 г., по состоянию на 20 июля 2011 г.
  40. ^ «Вызовет ли полицию ввод PIN-кода банкомата задом наперед?» . Редкий . 15 декабря 2020 г. Проверено 27 февраля 2021 г.
  41. ^ 082251615790 Модули идентификации абонента GSM 02.17, Функциональные характеристики, версия 3.2.0, февраль 1992 г. , п. 3.1.3
  42. ^ «Что такое PUK-код?» . support.bell.ca . Проверено 15 июля 2024 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Personal_identification_number&oldid=1234699817"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 10dce910b7a86a4e801a530eae798441__1721056080
URL1:https://arc.ask3.ru/arc/aa/10/41/10dce910b7a86a4e801a530eae798441.html
Заголовок, (Title) документа по адресу, URL1:
Personal identification number - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)