"Bank moet pincode 1234 verbieden"
Banken zouden eenvoudig te raden pincodes als 1234 moeten verbieden, zo pleitten onderzoekers. Een team van onderzoekers besloot voor het eerst naar de veiligheid van gekozen pincodes te kijken. Ondanks dat viercijferige pincodes overal gebruikt worden, heeft er nooit een onderzoek plaatsgevonden naar de manier waarop consumenten ze kiezen. In totaal werden 1300 mensen over hun pincode geïnterviewd. Ongeveer een kwart gebruikt de pincode die ze van de bank kregen.
Een derde gebruikt een deel van een oud telefoonnummer, studenten ID of andere cijferreeks als pincode. Volgens de onderzoekers goed genoeg om het raden van de pincode moeilijker te maken. Een kleine 64% gebruikt een pseudowillekeurige pincode. Veel hoger dan wat de onderzoekers verwacht hadden. Vijf procent gebruikt een numeriek patroon, zoals 4545 en 9% gebruikt een patroon op het toetsenbord.
Een aanvaller die zes pogingen heeft, drie bij een geldautomaat en drie met een reader voor internetbankieren, heeft daardoor minder dan 2% kans om de pincode te raden.
Geboortedatum
Helaas bleek 23% van de gebruikers een datum als pincode te kiezen, waarbij een derde hun eigen geboortedatum gebruikt. En dat verandert de situatie, want 99% van de consumenten stelt dat hun geboortedatum zich ergens in hun portemonnee bevindt, waar ze ook hun pinpas hebben. Als een aanvaller de geboortedatum weet en goed raadt, heeft die 9% kans om het wachtwoord te raden.
Als banken de 100 meest voorkomende pincodes blokkeren, zoals 1234, daalt het percentage dat een aanvaller de pincode kan raden naar 0,2%. "Dit is behoorlijk en banken moeten het blacklisten dan ook toepassen als ze dat nog niet doen", stellen de onderzoekers. Zowel in de Verenigde Staten als Groot-Brittannië zijn er volgens de onderzoekers banken die 1234 als pincode toestaan.
Het blacklisten werkt echter niet zo goed als de geboortedatum bekend is. Dan heeft een aanvaller nog altijd een kans van 5%. Aangezien het onmogelijk is om alle potentiële data te blacklisten, concluderen de onderzoekers dat viercijferige pincodes niet sterk genoeg zijn om "opportunistisch raden" te voorkomen.
Elke aanname staat of valt met het gebruikte model. U gaat er nu van uit dat er uitputtend gezocht wordt.
Echter, als in de praktijk er een woordenboekzoekmethode wordt gebruikt gaat dat niet op. Sterker nog, als u dan een volledig willekeurige code heeft genomen, kan deze alsnog op 1234 of of geboortejaar uitkomen -- de kans is niet groot, maar toch, het kan. In dat geval zegt uw model "mijn pincode is veilig", maar is de dagelijkse waarheid anders.
Sterker nog, als u een bank was die pincodes voorschrijft -- klanten kiezen geen eigen code -- zou u dan voorstaand geval toestaan? U weet hoe de aanvallers (waarschijnlijk) zullen werken en dus dat dit (waarschijnlijk) een nadelig effect zal hebben.
Niet echt, aangezien bankpassen geblokkeerd worden na enkele foute pogingen. Waar het om gaat is hoeveel kans iemand heeft om binnen dat beperkte aantal pogingen de juiste code te vinden.
http://www.pin.nl/nl-NL/Consument/Pages/Veelgesteldevragen.aspx#vraag_9
http://www.abnamro.nl/nl/overabnamro/de_bank_anno_nu/pincodekiezen.html
Het zelf kiezen van de pincode van creditcards lijkt echter wél breed mogelijk:
https://www.icscards.nl/nlic/portal/ics/q-go?searchString=Hoe+kies+ik+mijn+eigen+pincode%3F&search-header=
Maar dan nog, wat een onzin. Wat maakt het uit of ik 1234 of 0000 als pincode heb? Zo lang niemand hem weet is hij net zo veilig als welke andere pincode dan ook. En een crimineel heeft 3 try's voordat de pas geblokkeerd wordt, dus wat is het risico?
Als ze het echt goed willen doen, dan moeten ze de max van 4 cijfers eens loslaten. Ik wil wel een 5 of 6 cijferige pincode. Maakt het voor criminelen ook een stuk moeilijker aangezien ze dan niet van te voeren weten hoeveel cijfers de pincode heeft.
http://www.pcwebplus.nl/phpbb/viewtopic.php?p=11738#p11738
http://www.pcwebplus.nl/phpbb/viewtopic.php?p=11738#p11738
Ik verwacht niet dat er zoveel bankpassen zijn, zeker niet iedereen heeft twee rekeningen en kinderen zullen ook niet altijd een bankpas hebben. Daarnaast zijn er natuurlijk nog veel meer landen met viercijferige pincodes hebben, dus dan wordt het weer een stuk meer.
Desalniettemin, wat maakt het uit? Er zijn vast ook veel dezelfde wachtwoorden, maar je moet de link hebben tussen een bankpas en een pincode, niet tussen twee personen met dezelfde pincode. Afhankelijk van onderliggende systemen van de pininfrastructuur, die zeker veiliger zijn dan een viercijferige code, is het helemaal niet belangrijk. Uiteindelijk kan een pinpas gewoon met de chip goede crypto functionaliteit leveren, die wel veilig is. En dat is de crypto die vervolgens gebruikt wordt tussen terminal en bank.
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Gek he als het begint bij "0000" en eindigt bij "9999".
Die van iedereen staat er tussen, succes om hem te veranderen zodat hij niet in deze lijst staat.
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.
Consument: "Nou, ik weet het niet"
Onderzoeker: "Als u meedoet krijgt u een boekenbon van 20 euro, en u maakt kans op een reischeck twv 2000 euro!".
Consument: "In dat geval: 4308! Kom maar op met die reischeck!"
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.
Waarom reageer je waarom?
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.
Iets met trolololo ;-)
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.
Ja ik weet niet hoe het werkt, maar zelf ALLE pincodes van verschillende passen van mij staan er tussen. Mijn oude pincodes heb ik nog niet geprobeerd. Toch redelijk als je bedenkt hoeveel er van jou op internet staat.
Het moet niet gekker worden. Internet kent geen geheimen meer!
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.
Laat je toch niet opnaaien! Die Rookie houd je voor het lapje ;-))
Janus
Waarschijnlijk staat jouw pincode hier ook tussen.
http://www.positiveatheism.org/crt/pin.htm
Tja, die van mij staat er ook tussen. Dus ik wil hem gelijk veranderen, maar het is best nog wel moeilijk om een originele code te bedenken. ;-)
Bij Nederlandse banken is het zelf kiezen van de pinode van de betaalpas voor zover ik weet tot nu toe alleen mogelijk bij ABN AMRO.
Niet echt, aangezien bankpassen geblokkeerd worden na enkele foute pogingen. Waar het om gaat is hoeveel kans iemand heeft om binnen dat beperkte aantal pogingen de juiste code te vinden.
Dat is absoluut niet waar. Wat wel waar is: die gegevens zijn nooit gepubliceerd. Dat is heel wat anders.
Ik weet van tenminste 3 (Vroeger vier) Nederlandse grootbanken die dat onderzoek hebben gedaan. En het vroegere Interpay zelfs continue. We spreken hier vanaf eind jaren '80.
ABNAMRO heeft - bijvoorbeeld - besloten tot hun systeem vanwege onderzoek naar pingedrag.
Daaruit kwam naar voren dat men graag een "referentie punt" heeft (abstract). En dat onderzoek was best intensief en met een grote dataset. Andere banken hebben op goede gronden besloten het niet te doen. Het systeem van ABNAMRO is ook aangeboden als standaard (dat is wel ergens publieke info, denk ik)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
