Beveiliging digitale betaalmiddelen

Henk007 schreef op woensdag 21 mei 2008 @ 15:29:
Zoals in bovenstaande replies al vermeld is, is het verhaaltje over omgekeerd intypen een hoax.
Technisch is het overigens sowieso onmogelijk voor de pinautomaat (of de server aan de back end kant) om te vertellen of een bepaalde pincode de achterstevoren versie is van de echte.
In dergelijke systemen wordt namelijk nooit de pincode zelf als plain text opgeslagen, maar slechts een hashcode van bijvoorbeeld { bankpasnummer+pincode} . Deze zijn voor pincode en achterstevorencode volledig verschillend.
edit: De software zou natuurlijk van de voorwaartse en achterwaartse variant beide een hash kunnen berekenen..nevermind.

Overigens is het concept 4-cijferige pincode vanuit cryptografisch oogpunt uiteraard een lachtertje. Bruteforcen van <10⁴ mogelijkheden is doet een moderne cpu in een handjevol klokcycli.

Ja, maar de kans dat je de pincode binnen de 3x hebt geraden blijft nog steeds bijzonder klein. Daarna is gewoon de pas (of rekening?) geblokkeerd, en kun je bruteforcen wat je wil, maar werken zal het niet doen.

Henk007 schreef op woensdag 21 mei 2008 @ 15:29:
Overigens is het concept 4-cijferige pincode vanuit cryptografisch oogpunt uiteraard een lachtertje. Bruteforcen van <10⁴ mogelijkheden is doet een moderne cpu in een handjevol klokcycli.

Dat is totaal niet relevant, want de code staat niet op de bankpas of op een andere locatie waar een potentiele kraker bij kan. Het enige wat er gebeurt is dat jij die code intypt, en de bankcomputer stuurt terug "matcht" of "matcht niet". Na 3 van dergelijke pogingen binnen korte tijd ben je de pas kwijt.

De kans om goed te gokken voordat je geen kansen meer krijgt, uitgaande van een werkelijk random 4-cijferige code, is dus (1/10000) + (1/9999) + (1/9998) oftewel 0,03%

Wilke schreef op woensdag 21 mei 2008 @ 15:44:
[...]


Dat is totaal niet relevant, want de code staat niet op de bankpas of op een andere locatie waar een potentiele kraker bij kan. Het enige wat er gebeurt is dat jij die code intypt, en de bankcomputer stuurt terug "matcht" of "matcht niet". Na 3 van dergelijke pogingen binnen korte tijd ben je de pas kwijt.

De kans om goed te gokken voordat je geen kansen meer krijgt, uitgaande van een werkelijk random 4-cijferige code, is dus (1/10000) + (1/9999) + (1/9998) oftewel 0,03%

Hoe werken die cardreaders dan? ik kan in elke willekeurige raboreader mijn pasje steken en als ik een foutieve pincode intoets zegt hij dat!

Wilke schreef op woensdag 21 mei 2008 @ 15:44:
[...]


Dat is totaal niet relevant, want de code staat niet op de bankpas of op een andere locatie waar een potentiele kraker bij kan. Het enige wat er gebeurt is dat jij die code intypt, en de bankcomputer stuurt terug "matcht" of "matcht niet". Na 3 van dergelijke pogingen binnen korte tijd ben je de pas kwijt.

De kans om goed te gokken voordat je geen kansen meer krijgt, uitgaande van een werkelijk random 4-cijferige code, is dus (1/10000) + (1/9999) + (1/9998) oftewel 0,03%

Op de bankpas staat de hash van je pincode. Een losse kaartlezer (bvb die van m'n homebanking) kan zelfs je kaart blokkeren.
Om maar direct discussie te voorkomen, plaatje dat ik voor een vorig topic gemaakt heb:



De logica voor de controle zit op de chip zelf voor zover ik weet. Als ze dus dat ding zouden proberen te brute-forcen kan het zichzelf zelfs blokkeren dacht ik. Dus mensen die denken "ik hang de chip rechtstreeks aan de pc", bad luck.

[ Voor 11% gewijzigd door DinX op 21-05-2008 15:54 ]

Sterker nog, batterij eruithalen en het is al klaar met het ding...

ViNyL schreef op woensdag 21 mei 2008 @ 15:55:
Sterker nog, batterij eruithalen en het is al klaar met het ding...

Zo'n kaartlezertje doet niks. Dat is niet meer dan een toetsenbord + schermpje. De programmacode staat op de chip zelf. Je kan normaal perfect bijvoorbeeld een lezertje van Dexia gebruiken met je Fortis kaart bijvoorbeeld. Die zijn voor de Belgische bedrijven al allemaal gemaakt door hetzelfde bedrijf als ik me niet vergis (Vasco).
De batterij uit zo'n lezertje halen is inderdaad ook het einde voor dat ding. De strings die het genereerd worden berekend met de combinatie van pincode (hash) en de tijd onder andere. Haal het batterijtje eruit en de klok is gereset.

@ TS is de vraag al beantwoord, dikke hoax. Zou wat zijn als je bijvoorbeel 7997 hebt als pincode ofzo.

[ Voor 16% gewijzigd door DinX op 21-05-2008 15:59 ]

Volgens mij heb ik lang geleden hier een artikel gelezen over een groep hackers die zo'n reader aangepast hadden om die beveiliging eraf te halen.

Slurpgeit schreef op woensdag 21 mei 2008 @ 15:59:
Volgens mij heb ik lang geleden hier een artikel gelezen over een groep hackers die zo'n reader aangepast hadden om die beveiliging eraf te halen.

Dat is even nuttig als je toetsenbord van je pc uit elkaar draaien om jewindows wachtwoord te kraken.

DinX schreef op woensdag 21 mei 2008 @ 15:53:
[...]


Op de bankpas staat de hash van je pincode. Een losse kaartlezer (bvb die van m'n homebanking) kan zelfs je kaart blokkeren.
Om maar direct discussie te voorkomen, plaatje dat ik voor een vorig topic gemaakt heb:

[afbeelding]

De logica voor de controle zit op de chip zelf voor zover ik weet. Als ze dus dat ding zouden proberen te brute-forcen kan het zichzelf zelfs blokkeren dacht ik. Dus mensen die denken "ik hang de chip rechtstreeks aan de pc", bad luck.

Het wordt wel errug off-topic, maar een bankpas is niets anders dan een stukje plastic met een magneetstripje. Dit is vrij makkelijk na te maken met .... een stukje plastic en een stukje videotape. In het verleden is al eens uit de doeken gedaan hoe je dit doet en is er zelfs een kopieerservice geweest. Het lijkt dus vrij makkelijk om een bankpas te kraken met behulp van een paar kopietjes en een kaartlezer... Of zit ik er naast?

Het is natuurlijk grote onzin. Ten eerste zou de kwestie van pincodes die op twee cijfers gespiegeld zijn daarbij een groot probleem vormen. Ten tweede is het gewoon niet nuttig om de politie te waarschuwen voor zulke kleine dingetjes (die gasten zitten écht niet te wachten op alarmmeldingen van alle pinautomaten in Amsterdam). Ten derde zouden banken daar nooit aanwillen, omdat banken eigenlijk standaard geen cent uitkeren aan mensen die het slachtoffer zijn geworden van pinpasfraude waarbij de dief de juiste pincode heeft gebruikt. Je wordt dan geacht je code te hebben prijsgegeven. Dat komt voor eigen risico en daardoor krijg je dan geen cent, ik heb dat al vaak genoeg meegemaakt.

Blijft natuurlijk staan dat je wel degelijk afmeld- of waarschuwingscodes hebt. Bij ons op kantoor heeft het alarm ook twee afmeldcodes voor als het alarm per ongeluk afgaat, één om de meldkamer te seinen dat het écht veilig is en ééntje om de meldkamer te seinen dat je daar staat met een gun op je hoofd gericht. Dan gaat het alarm ook wel uit maar staan ze binnen korte tijd wel met een invalsteam op de stoep.

DinX schreef op woensdag 21 mei 2008 @ 15:58:
[...]


Zo'n kaartlezertje doet niks. Dat is niet meer dan een toetsenbord + schermpje. De programmacode staat op de chip zelf. Je kan normaal perfect bijvoorbeeld een lezertje van Dexia gebruiken met je Fortis kaart bijvoorbeeld. Die zijn voor de Belgische bedrijven al allemaal gemaakt door hetzelfde bedrijf als ik me niet vergis (Vasco).
De batterij uit zo'n lezertje halen is inderdaad ook het einde voor dat ding. De strings die het genereerd worden berekend met de combinatie van pincode (hash) en de tijd onder andere. Haal het batterijtje eruit en de klok is gereset.

@ TS is de vraag al beantwoord, dikke hoax. Zou wat zijn als je bijvoorbeel 7997 hebt als pincode ofzo.

Ik heb het over die bankkaart lezers voor internet bankieren. Als je daar bij de Rabobank bv de batterij eruit haalt er terug stopt doet ie niets meer...

ViNyL schreef op woensdag 21 mei 2008 @ 16:28:
[...]


Ik heb het over die bankkaart lezers voor internet bankieren. Als je daar bij de Rabobank bv de batterij eruit haalt er terug stopt doet ie niets meer...

Knap!

Alleen de digipas kun je de batterij eruit halen, bij de random reader is dit niet mogelijk...tenzij we spreken over een RR voor slechtzienden, die heeft een aparte batterij.

Bij de digipassen krijg je dan idd foutmeldingen, omdat de interne klok (welke benodigd is voor de signeer/inlogcode te berekenen) van slag raakt....

Op verzoek heb ik bovenstaande reacties afgesplitst van Omgekeerd intypen van pincode bij gedwongen pinactie? om verder te kunnen discussieren over de beveiliging van digitale betaalmiddelen zoals pinpassen. Het is uitdrukkelijk niet de bedoeling om verder in te gaan op de hoax die reeds ten grave is gedragen.

bszz schreef op woensdag 21 mei 2008 @ 16:08:
[...]


Het wordt wel errug off-topic, maar een bankpas is niets anders dan een stukje plastic met een magneetstripje. Dit is vrij makkelijk na te maken met .... een stukje plastic en een stukje videotape. In het verleden is al eens uit de doeken gedaan hoe je dit doet en is er zelfs een kopieerservice geweest. Het lijkt dus vrij makkelijk om een bankpas te kraken met behulp van een paar kopietjes en een kaartlezer... Of zit ik er naast?

ja, want een bankpas heeft een chip. En die chip wordt uiteraard gebruikt voor de reader. Niet de magneetstrip. En als je het hele artikel gelezen had..."De pincode staat NIET op de magneetstrip".

_{en later heb je je eigen ISP}

[ Voor 8% gewijzigd door Mistraller op 22-05-2008 23:57 ]

Mistraller schreef op donderdag 22 mei 2008 @ 23:52:
[...]

ja, want een bankpas heeft een chip. En die chip wordt uiteraard gebruikt voor de reader. Niet de magneetstrip. En als je het hele artikel gelezen had..."De pincode staat NIET op de magneetstrip".

_{en later heb je je eigen ISP}

Ten eerste: -Ik heb een bankpas zónder chip. Als ik mijn pas door een kaartlezer haal leest die kaartlezer gewoon het magneetstripje, ik voer mijn pincode in en heb betaald. Voor een geldautomaat geldt hetzelfde. Die leest ook de magneetstrip. Ik heb het dus over een kaartlezer en niet persé zo'n abn dingetje.

Ten tweede: -Het hele topic heb ik tot mij genomen, inclusief de posts van het topic waar dit vanaf gesplitst is en ik snap werkelijk niet waarom je denkt dat ik denk dat de pincode op de magneetstrip staat. De magneetstrip en een lezer zijn echter wel voldoende om een pincode te "testen".

[ Voor 3% gewijzigd door bszz op 23-05-2008 09:30 ]

bszz schreef op vrijdag 23 mei 2008 @ 09:28:
[...]


Ten eerste: -Ik heb een bankpas zónder chip. Als ik mijn pas door een kaartlezer haal leest die kaartlezer gewoon het magneetstripje, ik voer mijn pincode in en heb betaald. Voor een geldautomaat geldt hetzelfde. Die leest ook de magneetstrip. Ik heb het dus over een kaartlezer en niet persé zo'n abn dingetje.

Ten tweede: -Het hele topic heb ik tot mij genomen, inclusief de posts van het topic waar dit vanaf gesplitst is en ik snap werkelijk niet waarom je denkt dat ik denk dat de pincode op de magneetstrip staat. De magneetstrip en een lezer zijn echter wel voldoende om een pincode te "testen".

Ik bedoelde dus het artikel waarnaar je linkte. In dat artikel van de hack-tic wordt al aangegeven dat de pincode NIET op de strip aanwezig is.
Op de magneetstrip is alleen je rekeningnummer aanwezig. Als je je pincode intikt, dan wordt de hash naar de bank gestuurd, en die stuurt een bericht terug of het goed of fout is. Dat doet ook een betaalautomaat. Daarom duurt het bij pinnen ook even voor je pincode geautenticeerd is.
Maw, een magneetstrip en een standalone lezer kunnen helemaal niets zeggen over de pincode, ook niet of ie goed of fout is. Voor zover ik in elk geval altijd begrepen heb, is er bv ook geen hash van je pin op de strip.

Worden er in Nederland dan nog bankkaarten zonder chip gebruikt ?
Hier in België zijn ze al allemaal over op chipkaarten (op visa na) en daar staat de hash wel degelijk op de chip.

[ Voor 47% gewijzigd door DinX op 23-05-2008 23:58 ]

DinX schreef op vrijdag 23 mei 2008 @ 23:57:
Worden er in Nederland dan nog bankkaarten zonder chip gebruikt ?
Hier in België zijn ze al allemaal over op chipkaarten (op visa na) en daar staat de hash wel degelijk op de chip.

In alle kaarten zit een chip, maar niet alle kaarten bevatten het goudkleurige vlakje met de aansluitingen die we kennen uit de GSM SIM kaarten. Die kan worden gebruikt voor het ChipKnip gebruik, maar ook om verbinding te maken met de chip die in de kaart zit.

De nieuwere Credit Cards krijgen ook deze aansluitingen omdat het minder fraude gevoelig is dan de magneetstrippen. (Zie het kopieren van deze strips)

De rabobank random reader (een product van vasco inderdaad) gebruikt de goudkleurige vlakjes, maar andere readers kunnen gebruik maken van de magneetstrip. Je leest dan waarschijnlijk de hash van de PIN I.c.m. het rekeningnummer in de reader waarna de reader een controle kan doen om te zien of jij het juiste PIN nummer invoert.

[ Voor 8% gewijzigd door Equator op 25-05-2008 13:20 ]