image

"Bank moet pincode 1234 verbieden"

dinsdag 21 februari 2012, 11:40 door Redactie, 27 reacties

Banken zouden eenvoudig te raden pincodes als 1234 moeten verbieden, zo pleitten onderzoekers. Een team van onderzoekers besloot voor het eerst naar de veiligheid van gekozen pincodes te kijken. Ondanks dat viercijferige pincodes overal gebruikt worden, heeft er nooit een onderzoek plaatsgevonden naar de manier waarop consumenten ze kiezen. In totaal werden 1300 mensen over hun pincode geïnterviewd. Ongeveer een kwart gebruikt de pincode die ze van de bank kregen.

Een derde gebruikt een deel van een oud telefoonnummer, studenten ID of andere cijferreeks als pincode. Volgens de onderzoekers goed genoeg om het raden van de pincode moeilijker te maken. Een kleine 64% gebruikt een pseudowillekeurige pincode. Veel hoger dan wat de onderzoekers verwacht hadden. Vijf procent gebruikt een numeriek patroon, zoals 4545 en 9% gebruikt een patroon op het toetsenbord.

Een aanvaller die zes pogingen heeft, drie bij een geldautomaat en drie met een reader voor internetbankieren, heeft daardoor minder dan 2% kans om de pincode te raden.

Geboortedatum
Helaas bleek 23% van de gebruikers een datum als pincode te kiezen, waarbij een derde hun eigen geboortedatum gebruikt. En dat verandert de situatie, want 99% van de consumenten stelt dat hun geboortedatum zich ergens in hun portemonnee bevindt, waar ze ook hun pinpas hebben. Als een aanvaller de geboortedatum weet en goed raadt, heeft die 9% kans om het wachtwoord te raden.

Als banken de 100 meest voorkomende pincodes blokkeren, zoals 1234, daalt het percentage dat een aanvaller de pincode kan raden naar 0,2%. "Dit is behoorlijk en banken moeten het blacklisten dan ook toepassen als ze dat nog niet doen", stellen de onderzoekers. Zowel in de Verenigde Staten als Groot-Brittannië zijn er volgens de onderzoekers banken die 1234 als pincode toestaan.

Het blacklisten werkt echter niet zo goed als de geboortedatum bekend is. Dan heeft een aanvaller nog altijd een kans van 5%. Aangezien het onmogelijk is om alle potentiële data te blacklisten, concluderen de onderzoekers dat viercijferige pincodes niet sterk genoeg zijn om "opportunistisch raden" te voorkomen.

Reacties (27)
21-02-2012, 12:07 door Ed Dekker
De volgende zijn 2345, 3456, 4567 enz. en ook 4321, 5432 enz
Als banken de 100 meest voorkomende pincodes blokkeren, zoals 1234, daalt het percentage dat een aanvaller de pincode kan raden naar 0,2%.
Wanneer al deze codes verboden worden, is de rest weer wat makkelijker te raden. In plaats van 6 uit 10.000, moet je dan 6 uit 9.900 te lijf. Scheelt toch weer een procent.
21-02-2012, 12:20 door Anoniem
Door Ed Dekker: De volgende zijn 2345, 3456, 4567 enz. en ook 4321, 5432 enz
Als banken de 100 meest voorkomende pincodes blokkeren, zoals 1234, daalt het percentage dat een aanvaller de pincode kan raden naar 0,2%.
Wanneer al deze codes verboden worden, is de rest weer wat makkelijker te raden. In plaats van 6 uit 10.000, moet je dan 6 uit 9.900 te lijf. Scheelt toch weer een procent.

Elke aanname staat of valt met het gebruikte model. U gaat er nu van uit dat er uitputtend gezocht wordt.

Echter, als in de praktijk er een woordenboekzoekmethode wordt gebruikt gaat dat niet op. Sterker nog, als u dan een volledig willekeurige code heeft genomen, kan deze alsnog op 1234 of of geboortejaar uitkomen -- de kans is niet groot, maar toch, het kan. In dat geval zegt uw model "mijn pincode is veilig", maar is de dagelijkse waarheid anders.

Sterker nog, als u een bank was die pincodes voorschrijft -- klanten kiezen geen eigen code -- zou u dan voorstaand geval toestaan? U weet hoe de aanvallers (waarschijnlijk) zullen werken en dus dat dit (waarschijnlijk) een nadelig effect zal hebben.
21-02-2012, 12:21 door Anoniem
Door Ed Dekker: Wanneer al deze codes verboden worden, is de rest weer wat makkelijker te raden. In plaats van 6 uit 10.000, moet je dan 6 uit 9.900 te lijf. Scheelt toch weer een procent.

Niet echt, aangezien bankpassen geblokkeerd worden na enkele foute pogingen. Waar het om gaat is hoeveel kans iemand heeft om binnen dat beperkte aantal pogingen de juiste code te vinden.
21-02-2012, 12:23 door Spiff has left the building
Bij Nederlandse banken is het zelf kiezen van de pinode van de betaalpas voor zover ik weet tot nu toe alleen mogelijk bij ABN AMRO.
http://www.pin.nl/nl-NL/Consument/Pages/Veelgesteldevragen.aspx#vraag_9
http://www.abnamro.nl/nl/overabnamro/de_bank_anno_nu/pincodekiezen.html

Het zelf kiezen van de pincode van creditcards lijkt echter wél breed mogelijk:
https://www.icscards.nl/nlic/portal/ics/q-go?searchString=Hoe+kies+ik+mijn+eigen+pincode%3F&search-header=
21-02-2012, 12:31 door Anoniem
Ook bij creditcards van ICS kun je zelf de pincode kiezen.

Maar dan nog, wat een onzin. Wat maakt het uit of ik 1234 of 0000 als pincode heb? Zo lang niemand hem weet is hij net zo veilig als welke andere pincode dan ook. En een crimineel heeft 3 try's voordat de pas geblokkeerd wordt, dus wat is het risico?

Als ze het echt goed willen doen, dan moeten ze de max van 4 cijfers eens loslaten. Ik wil wel een 5 of 6 cijferige pincode. Maakt het voor criminelen ook een stuk moeilijker aangezien ze dan niet van te voeren weten hoeveel cijfers de pincode heeft.
21-02-2012, 12:36 door [Account Verwijderd]
[Verwijderd]
21-02-2012, 12:50 door X-max
Er daar komt nog eens bij dat een hoop mensen dezelfde PIN-code hebben, dit rekensommetje is vorig jaar nog gemaakt.
http://www.pcwebplus.nl/phpbb/viewtopic.php?p=11738#p11738
21-02-2012, 12:57 door Anoniem
Door X-max: Er daar komt nog eens bij dat een hoop mensen dezelfde PIN-code hebben, dit rekensommetje is vorig jaar nog gemaakt.
http://www.pcwebplus.nl/phpbb/viewtopic.php?p=11738#p11738

Ik verwacht niet dat er zoveel bankpassen zijn, zeker niet iedereen heeft twee rekeningen en kinderen zullen ook niet altijd een bankpas hebben. Daarnaast zijn er natuurlijk nog veel meer landen met viercijferige pincodes hebben, dus dan wordt het weer een stuk meer.

Desalniettemin, wat maakt het uit? Er zijn vast ook veel dezelfde wachtwoorden, maar je moet de link hebben tussen een bankpas en een pincode, niet tussen twee personen met dezelfde pincode. Afhankelijk van onderliggende systemen van de pininfrastructuur, die zeker veiliger zijn dan een viercijferige code, is het helemaal niet belangrijk. Uiteindelijk kan een pinpas gewoon met de chip goede crypto functionaliteit leveren, die wel veilig is. En dat is de crypto die vervolgens gebruikt wordt tussen terminal en bank.
21-02-2012, 13:11 door Anoniem
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm

Gek he als het begint bij "0000" en eindigt bij "9999".

Die van iedereen staat er tussen, succes om hem te veranderen zodat hij niet in deze lijst staat.
21-02-2012, 13:16 door waarom_
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm

Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.
21-02-2012, 13:48 door Anoniem
Onderzoeker: "Mogen we uw pincode weten, het is voor een wetenschappelijk onderzoek"
Consument: "Nou, ik weet het niet"
Onderzoeker: "Als u meedoet krijgt u een boekenbon van 20 euro, en u maakt kans op een reischeck twv 2000 euro!".
Consument: "In dat geval: 4308! Kom maar op met die reischeck!"
21-02-2012, 14:25 door Anoniem
Door waarom?:
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm

Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.

Waarom reageer je waarom?
21-02-2012, 15:36 door Mysterio
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm
Haha! Held!
21-02-2012, 16:05 door Anoniem
Door waarom?:
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm

Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.

Iets met trolololo ;-)
21-02-2012, 18:39 door Anoniem
Door waarom?:
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm

Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.

Ja ik weet niet hoe het werkt, maar zelf ALLE pincodes van verschillende passen van mij staan er tussen. Mijn oude pincodes heb ik nog niet geprobeerd. Toch redelijk als je bedenkt hoeveel er van jou op internet staat.
21-02-2012, 20:22 door Anoniem
Kan het niet gewoon 4 keer verkeerde code, blokkade of x uur/min geen poging meer.
21-02-2012, 20:22 door Anoniem
Kan het niet gewoon 4 keer verkeerde code, blokkade of x uur/min geen poging meer.
21-02-2012, 20:35 door Anoniem
Guess what, mijn geboortedatum staat er ook tussen.
Het moet niet gekker worden. Internet kent geen geheimen meer!
21-02-2012, 21:23 door Anoniem
Door waarom?:
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm

Weet niet of je serieus bent, maar op die site staan gewoon alle mogelijke 4 cijferige codes, dus ja, je pin staat er tussen en als je hem veranderd in een andere 4 cijferige pin, staat die er weer tussen.

Laat je toch niet opnaaien! Die Rookie houd je voor het lapje ;-))

Janus
21-02-2012, 22:22 door Anoniem
Door rookie: Ik zit net even te googlelen op mijn eigen pincode, maar die blijkt gewoon op een site te staan, vanmiddag maar even mijn pincode wijzigen.
Waarschijnlijk staat jouw pincode hier ook tussen.

http://www.positiveatheism.org/crt/pin.htm


Tja, die van mij staat er ook tussen. Dus ik wil hem gelijk veranderen, maar het is best nog wel moeilijk om een originele code te bedenken. ;-)
22-02-2012, 07:57 door WhizzMan
Als je ijs boven de 0 graden Celsius verhit, smelt het.
22-02-2012, 08:41 door Anoniem
Trouwens grappig dat mensen hun pincode of de manier hoe ze hier aan komen aan een willekeurige vreemde vertellen .....
22-02-2012, 13:19 door Anoniem
Door Spiff:
Bij Nederlandse banken is het zelf kiezen van de pinode van de betaalpas voor zover ik weet tot nu toe alleen mogelijk bij ABN AMRO.
Dat klopt slechts gedeeltelijk: het systeem werkt met een dictionary die gekozen pin koppelt aan de pin die de bank uitgaf. That's all. Het voegt voor de consument iets toe maar heeft vanwege de extra stap geen schoonheidsprijs vanuit de techniek gezien.
22-02-2012, 14:51 door Ed Dekker
Door Anoniem:
Door Ed Dekker: Wanneer al deze codes verboden worden, is de rest weer wat makkelijker te raden. In plaats van 6 uit 10.000, moet je dan 6 uit 9.900 te lijf. Scheelt toch weer een procent.

Niet echt, aangezien bankpassen geblokkeerd worden na enkele foute pogingen. Waar het om gaat is hoeveel kans iemand heeft om binnen dat beperkte aantal pogingen de juiste code te vinden.
Dat bedoel ik dus: de kans op een toevalstreffer neemt toe wanneer het aantal mogelijkheden afneemt.
22-02-2012, 19:37 door Anoniem
Wat hebben we hier weer lekker niet opgelet tijdens onze lessen statistiek.
22-02-2012, 19:42 door Anoniem
"Ondanks dat viercijferige pincodes overal gebruikt worden, heeft er nooit een onderzoek plaatsgevonden naar de manier waarop consumenten ze kiezen."

Dat is absoluut niet waar. Wat wel waar is: die gegevens zijn nooit gepubliceerd. Dat is heel wat anders.
Ik weet van tenminste 3 (Vroeger vier) Nederlandse grootbanken die dat onderzoek hebben gedaan. En het vroegere Interpay zelfs continue. We spreken hier vanaf eind jaren '80.
22-02-2012, 19:52 door Anoniem
Over die onwaarheid in het artikel:
ABNAMRO heeft - bijvoorbeeld - besloten tot hun systeem vanwege onderzoek naar pingedrag.
Daaruit kwam naar voren dat men graag een "referentie punt" heeft (abstract). En dat onderzoek was best intensief en met een grote dataset. Andere banken hebben op goede gronden besloten het niet te doen. Het systeem van ABNAMRO is ook aangeboden als standaard (dat is wel ergens publieke info, denk ik)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.