Прикинь, крутой такой, пин у тебя 112211, приходишь к банкомату, пытаешься снять деньги - и тут - опана! полицаи приезжают, вяжут тебя, двое суток валяешься в обезьяннике с пьяными бомжами
Да меня ниже все стали уверять, что бывают симметричные 4-знаковые пины) так что первое предложение просто пояснение, второе - я знаю, что бывают зеркальные пины) Не смущайся, котик :* Иди ко мне, сегодня день любви...мррр
Здравствуйте, это служба безопасности банка. С вашей картой возникли проблемы, представьте, пожалуйста номер вашей карты, ваши ФИО и дату окончания действия карты :)
*всё это гон, как минимум по тому что есть зеркальные пин коды Банкомат же проверяет не просто правильность пин-кода вообще, а соответствие его карте, находящейся внутри. То есть, теоретически, возможность распознать, что это пин от этой карты, но введеный наоборот есть, а вот воплощено ли это практически хз, конечно.
Пин-код нигде не хранится, хранится хэш пин-кода, поэтому по введенному коду можно понять правильный он или нет, а вот если ввести пин наоборот ничего не будет, потому что ни банк, ни банкомат не знают, какой пин.
И минутка криптоаналитики на пикабу: от пинкода не хранят хэш, так как он состоит из 4 цифр а это в зависимости от кодировки не более 16 бит информации, плюс пинкод не избыточен, что на 16 битах даст небольшую но ощутимую вероятность коллизий 2го рода даже при сжатии до 12 бит(а хэш именно сжимающее отображение), т.е грубо говоря из10000 возможных паролей проверку по хэшу пройдёт несколько паролей, что неприемлимо. Возможно там используется вариация асимметричного шифрования, скорее даже конструкция подобная ЭЦП, где пинкод это секретный ключ. В таком случае открытый ключ есть у банка (тот может спокойно храниться на карте не боясь быть считанным), и он, например, может проверить корректность подписи секретным ключем. Да и использовать хэш для того чтобы сэкономить несколько битов не логично, не говоря уж о том что если хэш хранится на карте (а как иначе по простому взаимодействовать с левыми банкоматами) ещё и небезопасно, тк можно по нескольким сотням карт взломать алгоритм хеширования и впоследствии тупо определять пины для любой карты.
Сомневаюсь, что он хранится на карте: взаимодействие с чужими банками происходит через интернет, так что на карте хранить смысла нет. Насчёт коллизий, мне кажется, вы тоже ошибаетесь. Для 10000 возможных паролей вероятность коллизии равна 0%. Для доказательства достаточно рассмотреть вариант, где хеш числа - само число.
Да, чтобы избежать коллизий можно отказаться от сжимающего свойства хэша, можно даже усложнять протоколы взаимодействия, но все равно нельзя использовать детерминированную и одинаковую функцию (а у хэша нет переменных) для всех карт, тк будут минусы: - одинаковое проверочное сообщение, т.е возможна атака повтором (это для платежных терминалов в магазине). - низкая криптостойкость хэша для 16 бит входных данных. например стандартом в интернете для развлекательных и соц. сетей является длина пароля в 8 символов, что не менее 64 бит (для UTF-8), а банки значительно больше внимания уделяют безопасности. При этом у пароля в интернете не детерминирована длина, а значит ломать хэш от него будет сложнее, чем для банковского, где заранее известно что это 4 или 6 цифр, в зависимости от банка и типа карты. Вообще принцип по которым строят защищенные системы, это максимизация криптостойкости деленнной на стоимость, плюсом хэширования является скорее низкая стоимость использования, поэтому его и используют там где криптостойкость не имеет ключевого значения, например на сайтах, для банковских платежных систем все же важнее криптостойкость, а стоимость они могут позволить и высокую.
Можно поменять! Сейчас у почти у всех банков есть, но только через банкомат. Т.е. при условии что ты знаешь свой старый пин, если ты потерял, то тогда только перевыпускать карту! Т.е. это аналогично смене пароля в твоем аккаунте, только без функции восстановления пароля, если ты его забыл - никто тебе не поможет!
сохранность карты и пинкода- обязанность самого владельца карты.. банки не занимаются выездами на ограбления а полиция не занимается охраной банкоматов. Единственная тревожка, какая есть у банкоматов это "открытие сейфа под принуждением" то есть когда инкасс атора принуждают открыть сейф то он вводит код открытия но последняя цифра вводится увеличенной на 10 ( вместо 70 вводят 80) Сейф откроется но будет подан сигнал тревоги
извиняюсь что под топ комментом, но при трех кратном вводе неправильного пина карту банкомат не забирает, блокируются операции с вводом пина (снятие нала, покупки) все остальные операции(к примеру в интернете) по прежнему доступны. грю как работник банка
Можно подумать, если не написать эти неправильные пин-коды, злоумышленник наберет правильный пин-код))
DELETED
У меня так одно время было. Вычитаю из "пинкода" памятное число и получаю правильный пинкод, на случай если бухой и забыл его )) Потом стерлось, да и пинкод запомним хорошо...
после второго неправильного пина, злоумышленник не будет рисковать блокировкой карты, проще будет пойти в салон-магазин, где при оплате картой, ввода пинкода на терминале не требуется, и накупить товаров, которые потом сбыть подешевле, главное не превысить лимитна карте. И кстати, после трех неверных вводов пин-кода карта не сжирается банкоматом.. она просто блокируется, но даже в этом случае, при невозможности снять с карты наличные, многие карты позволяют расплачиваться такими, за товары и услуги.
