image

Geen voor de hand liggende pincode...

maandag 9 juli 2007, 15:25 door Redactie, 23 reacties

Banken worden steeds "proactiever" als het gaat om het beveiligen van hun klanten, omdat ze zich zo eenvoudig tegen fraude kunnen indekken. Naast het controleren van de beveiliging van PC's adviseert men klanten ook geen voor de hand liggende pincodes te nemen. Maar wat is voor de hand liggend, vraagt Leo Willems van TUNIX zich af. Hij stuurde ons het volgende scenario.

De banken geven geen regels en de invulling wordt aan de balie gedaan door medewerkers die geen kennis hebben van kansberekening. Dus zo kan dat gaan:

Baliemedewerker(m/v): Goedendag, wat kan ik voor u doen?

Klant: Hallo, ik wil graag mijn pincode veranderen, kan dat?

Baliemedewerker: Jazeker, u mag alleen geen voor de hand liggende codes gebruiken, dan kan een dief al te makkelijk uw pincode raden.

Klant: Ah, dus geen 1234 of zo?

Baliemedewerker: Inderdaad, maar de dieven zijn slim en daarom kijken we nog even verder want die rakkers weten vaak veel over uw privésituatie. Eens zien: uw postcode is 6644, dus de 6 en de 4 liggen al wel erg voor de hand, die schrappen we. Wat is uw geboortedatum ook weer?

Klant: 22 december 1966....

Baliemedewerker: Ah, zie alweer die zessen, goed dat we die geschrapt hebben. Maar de 2 komt ook te vaak voor, die doen we ook niet. En iedereen met een pincode is geboren in de vorige eeuw, dus u snapt dat 1 en 9 ook te veel voor de hand liggen. Wat is het kenteken van uw auto?

Klant: 55 DX 88, maar....

Baliemedewerker: Ziet u nu hoe makkelijk die pincode-dieven het hebben? Schrappen die hap. Ik zie nu dat uw mobiele nummer 0633773377 is, wat een mooi nummer! Maar de 3 en de 7 zijn toch iets te makkelijk. Weet u, dan is het verder niet moeilijk, uw nieuwe pin is 0000. Nog een prettige dag! Volgende klant?

Klant: Deuh?

Reacties (23)
09-07-2007, 15:48 door Stagiaire
Volgens mij is er een artikel van een jaar of 7 oud
geplaatst of dient dit ergens op te slaan....?

Kies geen voor de hand liggende pincode is al zo oud als de
pincode zelf, en toen kon je hem niet eens zelf kiezen :P
09-07-2007, 15:53 door Anoniem
Ok.

Pincodes dus niet met voordehand liggende getallen.
Maar wetende dat dieven deze richtlijn kennen is een code
met JUIST die getallen veiliger.
Maar...
Als dieven nou eenmaal weten dat wij weten dat zij de
richtlijnen kennen ....
(etc etc etc)
09-07-2007, 16:06 door Jachra
Ach, dat maakt toch allemaal niets uit. De pincode staat nu eenmaal op je
bankpas. Die lees je uit. Je herberekent de pincode. En vervolgens roof je
de egehele rekening leeg.

Nee, pincode is zo 1880.
09-07-2007, 16:10 door Eerde
Pin zou uitgebreid kunnen worden met bv twee letter, verder
is het niet zo van belang.
09-07-2007, 16:33 door Tha_Duck
Door Jachra
Ach, dat maakt toch allemaal niets uit. De pincode staat nu
eenmaal op je
bankpas. Die lees je uit. Je herberekent de pincode. En
vervolgens roof je
de egehele rekening leeg.

Nee, pincode is zo 1880.

Wat een dom geklets, je pincode staat absoluut niet op je
pas! Waarom denk je dat ze je pincode afkijken als ze je pas
kopieeren?
09-07-2007, 16:53 door Eerde
Nee, de pincode staat ook niet versleuteld op je pas, daar
is eoa vernuftig systeem voor, ben alleen even kwijt hoe ook
al weer...

Het kan niet door herberekenen.
09-07-2007, 17:16 door Anoniem
Volgens mij maakt het geen moer uit of je een makkelijke of
een moeilijke pincode neemt. Na 3 keer word het kaartje toch
ingeslikt. Als een pasjesdief gaat gokken dat hij in 3 keer
de goede pincode heeft, dan doet ie er verstandig aan om een
sollicitatiebrief naar de AH te sturen oid. Al weet ie mijn
geboortedatum, dan heeft nog vele opties: ddmm, yyyy, mmdd,
mmyy.....

Ik kan me niet voorstellen dat er ook maar 1 crimineel is
die zo te werk gaat. Gewoon het keypadje afschermen als je
je pincode intoetst, want het lijkt mij dat daardoor de
meeste pincodes worden afgekeken door de boefjes.
09-07-2007, 20:06 door wimbo
lol... mijn moeder heeft een bankpas met pincode 0000
Dat geloofde ze eerst niet en is langs de bank geweest om te
verifieren of dat wel kon kloppen. Vervolgens heeft ze een
nieuwe aangevraagt en toen kreeg ze 4567

Tsja....
09-07-2007, 21:32 door Tha_Duck
Door Eerde
Nee, de pincode staat ook niet versleuteld op je pas, daar
is eoa vernuftig systeem voor, ben alleen even kwijt hoe ook
al weer...

Het kan niet door herberekenen.

Het is heel simpel. Bij een betaalautomaat voer je je pas in
+ je pincode. Daar wordt een hash van berekend en die wordt
naar de bank verstuurd via een beveiligde verbinding
(vroeger directe lijn, tegenwoordig ook via inet volgens
mij) samen met het rekeningnummer. De bank maakt dezelfde
hash van rekeningnummer + de bij hen bekende pincode. Zijn
de hashes gelijk dan wordt de betaling geaccodeerd.

Eigenlijk heel simpel :)
09-07-2007, 22:26 door Anoniem
Een Random Reader voor internetbankieren kan ook zeggen of een
pincode juist is of niet, dus de pincode zal vast wel te brute forcen zijn lijkt
mij. Een Random Reader blokkeert alleen na 3 foutieve pogingen, maar
daar zal een techneut toch vast wel iets mee kunnen? :-)
10-07-2007, 07:56 door [Account Verwijderd]
[Verwijderd]
10-07-2007, 10:13 door Jachra
Door Tha_Duck
Door Jachra
Ach, dat maakt toch allemaal niets uit. De pincode staat nu
eenmaal op je
bankpas. Die lees je uit. Je herberekent de pincode. En
vervolgens roof je
de egehele rekening leeg.

Nee, pincode is zo 1880.

Wat een dom geklets, je pincode staat absoluut niet op je
pas! Waarom denk je dat ze je pincode afkijken als ze je pas
kopieeren?

Duh, die doen het dus echt fout. Geen technische kennis hoe het nou
eigenlijk werkt. En ja, je pin staat weldegelijk op je pas.

Voorbeeld:

Je doet online banking via Abn Amro. Je krijgt een mooi apparaatje die voor
jouw een code berekent. Niemand typt direct zijn pincode fout op dat ding.
Doet het maar eens. Je zal zien dat het apparaat meldt dat je in gegeven
pincode fout is. Hoe weet dat ding dat? Dat kan alleen als op de pinpas
een vermelding staat. Dat mag een soort van hash zijn. De encryptie is
echter niet lastig om te doorbreken.
10-07-2007, 10:20 door Jachra
Door Eerde
Nee, de pincode staat ook niet versleuteld op je pas, daar
is eoa vernuftig systeem voor, ben alleen even kwijt hoe ook
al weer...

Het kan niet door herberekenen.

Hmm, echt wel. Lees eens dit artikel uit 2003: http://www.theregister.co.uk/2003/02/21/how_to_get_an_atm/
10-07-2007, 11:24 door Jay-Jay
Door Iceyoung
Nou je neemt je geboorte jaar , vermenigvuldig dat met je huis nummer en
deel dat door je kenteken, tel er het aantal gezinsleden bij op, dan maal de
wortel uit je telefoonnummer gedeelt door tweede paasdag en afronden op
de eerste vier getallen. Nou dat ligt toch niet echt voor de hand dacht ik zo


Ah, daar dient dus dat telmachientje voor dat je bij je netbanking account
krijgt? :)
10-07-2007, 11:41 door Anoniem
Niemand typt direct zijn pincode fout op dat ding.
Doet het maar eens. Je zal zien dat het apparaat meldt dat je in gegeven
pincode fout is. Hoe weet dat ding dat? Dat kan alleen als op de pinpas
een vermelding staat.

Als je het rekeningnummer versleutelt met je pincode dan krijg je een
soort hash. De Random Reader c.q. e.dentifier vergelijken dus de
ingebakken hash en de berekende hash met elkaar. Om de pincode te
achterhalen zul je dus 10000 hashes moeten berekenen en kijken welke
overeenkomt met de ingebakken hash. Lijkt mij opzich allemaal wel
mogelijk als je een beetje technisch bent.
10-07-2007, 11:44 door wimbo
Door Jachra
Door Eerde
Nee, de pincode staat ook niet versleuteld op je pas, daar
is eoa vernuftig systeem voor, ben alleen even kwijt hoe ook
al weer...

Het kan niet door herberekenen.
Hmm, echt wel. Lees eens dit artikel uit 2003: http://www.theregister.co.uk/2003/02/21/how_to_get_an_atm/
In het artikel en de PDF waarin het onderzoek staat gaat men
uit van een fraudeur aan de binnenkant van de bank.
Er wordt niets gezegd (voor zover ik heb kunnen achterhalen)
dat men de PIN van de pas weet te halen.
De ingevoerde PIN (bij de automaat) wordt vergeleken met een
hash (die gekoppeld is aan het bankrekeningnummer) in de
database.
In het geval van een random reader (Rabobank) wordt het
nummer dat gegenereerd wordt ook vergeleken. In dat geval
wordt de responds code bekeken of het gegenereerd is met een
geldige PIN code (vergelijk dit maar met de SecurID tokens
(met PIN pad) van RSA).

Er geldt nog steeds een maximum van 3 pogingen. De random
reader zal niet locken, maar het backend zal de toegang tot
de rekening via telebankieren afsluiten (en waarschijnlijk
ook de toegang via een PIN automaat).

Ik heb geen behoefte om dit zelf even te testen, maar ik hou
je niet tegen.
10-07-2007, 13:55 door Jachra
Door wimbo
Door Jachra
Door Eerde
Nee, de pincode staat ook niet versleuteld op je pas, daar
is eoa vernuftig systeem voor, ben alleen even kwijt hoe ook
al weer...

Het kan niet door herberekenen.
Hmm, echt wel. Lees eens dit artikel uit 2003: http://www.theregister.co.uk/2003/02/21/how_to_get_an_atm/
In het artikel en de PDF waarin het onderzoek staat gaat men
uit van een fraudeur aan de binnenkant van de bank.
Er wordt niets gezegd (voor zover ik heb kunnen achterhalen)
dat men de PIN van de pas weet te halen.
De ingevoerde PIN (bij de automaat) wordt vergeleken met een
hash (die gekoppeld is aan het bankrekeningnummer) in de
database.
In het geval van een random reader (Rabobank) wordt het
nummer dat gegenereerd wordt ook vergeleken. In dat geval
wordt de responds code bekeken of het gegenereerd is met een
geldige PIN code (vergelijk dit maar met de SecurID tokens
(met PIN pad) van RSA).

Er geldt nog steeds een maximum van 3 pogingen. De random
reader zal niet locken, maar het backend zal de toegang tot
de rekening via telebankieren afsluiten (en waarschijnlijk
ook de toegang via een PIN automaat).

Ik heb geen behoefte om dit zelf even te testen, maar ik hou
je niet tegen.

Nee, men gaat juist niet uit van medewerker aan de binnenkant. Men is
gaan kijken hoe het nou eigenlijk werkt met een ATM en een pinpas. Men
vroeg zich af of men uberhaupt de pincode konden terugberekenen.

Later is Online Banking geintroduceerd. Doordat men dezelfde pincode
voor Online Banking gebruiken, is dat een achilleshiel geworden voor de
ATM.
10-07-2007, 14:54 door Tha_Duck
Door Jachra
Door Tha_Duck
Door Jachra
Ach, dat maakt toch allemaal niets uit. De pincode staat nu
eenmaal op je
bankpas. Die lees je uit. Je herberekent de pincode. En
vervolgens roof je
de egehele rekening leeg.

Nee, pincode is zo 1880.

Wat een dom geklets, je pincode staat absoluut niet op je
pas! Waarom denk je dat ze je pincode afkijken als ze je pas
kopieeren?

Duh, die doen het dus echt fout. Geen technische kennis hoe
het nou
eigenlijk werkt. En ja, je pin staat weldegelijk op je pas.

Voorbeeld:

Je doet online banking via Abn Amro. Je krijgt een mooi
apparaatje die voor
jouw een code berekent. Niemand typt direct zijn pincode
fout op dat ding.
Doet het maar eens. Je zal zien dat het apparaat meldt dat
je in gegeven
pincode fout is. Hoe weet dat ding dat? Dat kan alleen als
op de pinpas
een vermelding staat. Dat mag een soort van hash zijn. De
encryptie is
echter niet lastig om te doorbreken.

Ik weet niet wat voor flut banken dat zijn. Bij de Rabo
Random Reader krijg je altijd een code terug, met goede of
foute pincode. Echter de code die eruit komt werkt dan dus
of wel of niet.

Maar als de pincode op de pas staat, waarom moeten die
gasten die passen kopieeren dan je pincode afkijken? Het
zijn maar 4 cijfers, dus brute force binnen een paar minuten
te kraken als je de pas eenmaal hebt.
10-07-2007, 17:24 door Jachra
@Tha_Duck

Vandaar mijn eerdere opmerking. De skimmers werken uit gemakzucht en
mogelijke technische onkunde.
10-07-2007, 17:31 door Anoniem
@jachra: dat weet ik wel zeker... Een hacker wil een technologische
oplossing, een oost-europeesche mafioso heeft geen zin om dat soort
technische kennis te gebruiken (als dat al technisch mogelijk is om dat in
zo'n brein te frotten). de enige technische kennis die dat soort mensen
gebruiken is hoe de beveiligingspal op de 9mm werkt.
11-07-2007, 14:17 door Tha_Duck
Zij mafioso hoeven toch ook geen technische kennis te
hebben? Die kunnen ze toch gewoon kopen op de markt? Ik heb
ze echter nog nooit op de markt gezien..

Maar goed, blijft een feit dat je moet blijven nadenken hoe
je je pas + code gebruikt..
11-07-2007, 18:31 door Anoniem
Bij de reader van ABN-Amro geeft hij gelijk ongeldige
pincode wanneer je dat doet. Kan wel zijn dat het backend
alles dubbel controleert maar die readers moeten ook iets te
vergelijken hebben.
Verder gaat het idee dat de reader de eerste ingetypte
pincode onthoudt ook niet op aangezien we hier in huis met
meerdere mensen van dezelfde readers gebruik maken.
Abn-Amro claimt dat er niets op de magneetstrip staat, maar
ze zeggen niets over de chipknip? Verder meen ik te
herinneren dat de kaart wordt geblokkeerd in de reader. Maar
ik weet niet of hij daarmee ook ongeschikt wordt voor de ATM
of pinautomaat.
19-07-2007, 11:10 door Anoniem
Ik heb bij een bedrijf gewerkt die pinautomaten serviced en ik kan met
zekerheid zeggen dat de pincode NIET op het pasje staat. Er vinden een
hele reeks berekeningen plaats met allerhande nummers en codes. Het
resultaat gaat via een telefoon lijn (NIET via het internet) naar de
bankcomputer. Daar wordt gekeken of het ontvangen resultaat juist is en
dan pas worden de opdrachten geaccepteerd.
Dat het "rekenmachientje" direct een foute pincode herkent komt door de
uiterst slimme en geheime berekening die er in plaats vindt. Voor die
berekening heeft het een code nodig die op het pasje staat (LET OP dit is
absoluut NIET de pincode) jouw pincode en een code die in het apparaatje
zit. Dat alles samen wordt door de processor berekend en vergelijken met
een antwoord dat in het rekenmachientje zit. Die berekening is erg
complex en uitgebreidt maar door de enorme snelheid van de moderne
processoren merk je dat niet of nauwelijks. Hij lijkt direct te reageren.
Mocht je plannen hebben om achter de geheime rekenmethode en de
overige codes zien te komen dan moet ik je teleurstellen. Wanneer je iets
met het rekenmachientje doet wat niet "normaal" is zal het zijn interne
geheugen wissen en ben je alles kwijt! Het rekenmachientje is dan direct
en definitief onbruikbaar.
Het goed geheim houden van je pincode en opletten waar en wanneer je
je pas gebruikt zijn de meest effectieve methodes om diefstal te
voorkomen. In zo ongeveer 100% van de diefstal gevallen hebben de
dieven of eerst de pincode "afgekeken" of ze vonden een papiertje in de
portomonnee of zo met daarop de pincode. De meest "geniepige"
methode van afkijken is dat ze zelf een "pinapparaatje" neerzetten dat als
twee druppels water op een echte lijkt. Alleen zit er een computertje in dat
de gegevens van de pas opslaat en als jij de pincode intypt hebben ze
direct je pincode. De ellende is dat jij dat pas in de gaten hebt als er grote
bedragen van je rekening zijn afgeschreven.
Wanneer ik het een enkele keer niet vertouw type ik opzettelijk een foute
pincode in. Als het apparaat echt is en goed werkt zal het die code niet
accepteren. Zo'n nep ding slikt hem wel en net doen alsof je betaald hebt.
Gelukkig is het mij nog nooit overkomen dat ik een vals pincode apparaat
tegen kwam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.