Hoe checkt ABN e.dentifier je PIN? - Client software algemeen

zaterdag 19 januari 2002 02:14

Acties:

0 Henk 'm!

PanMan

Spun!

Topicstarter

Okee. Een vraagje van mij

Een normale pinpas checkt in een automaat z'n code aan de hand van een database, die een checksum met je code op je pas en de ingetoetste code vergelijkt. Deze database staat dus ergens centraal opgeslagen, en NIET op je pinpas. Nu mijn echte vraag: Bij de ABN kan je bankieren via internet. Hiervoor gebruik je een e.dentifier. En nu het vage: om die aan te zetten stop je je pas erin, waarna je je pin in toetst. En als je een verkeerde pin intoetst, heeft hij het door. Dit ding staat niet in verbinding met een centrale database oid. Is het dus toch mogelijk om het puur aan een pas te vragen of een pincode klopt? Want dan zou het (lijkt mij) vrij simpel zijn een pincode te brute-forcen.
Let wel, ik heb absoluut niet de intentie om pinpassen te gaan kraken, maar vind het wel interessant hoe ditsoort beveiligingen werken

.

Where a calculator on the ENIAC is equipped with 18,000 vacuum tubes and weighs 30 tons, computers in the future may have only 1,000 vacuum tubes and weigh only 1.5 tons.
– Popular Mechanics, March 1949

zaterdag 19 januari 2002 02:18

Acties:

0 Henk 'm!

-Stef-

Slainthe!

Klopt wat je zegt. Ik heb ook zo'n I-dentifier van de ABNAMRO. Makkelijke service hoor dat wel. Zowel betaal- als spaarrekening via internet maar hij leest dus wel degelijk je id van je pas. Ik zit er niet mee maar het staat dus wel op je pas en is niet centraal geregeld.

Yamaha - Chario - MJ Acoustics - Squeezebox - Trends Audio - Beresford

zaterdag 19 januari 2002 02:18

Acties:

0 Henk 'm!

Klippy

Still Game

Dat vroeg ik me net dus ook al af

Weet je zeker dat hij niet op je pas staat in die chip? Of iig een soort algoritme oid daarvoor?

Kan ook dat ze hem erin zetten en dat dat ding dus maar met 1 pas werkt. Ooit geprobeerd?

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

zaterdag 19 januari 2002 02:19

Acties:

0 Henk 'm!

Jorik

(02:19.28) <Jorik> gebruikt search es PanMan
(02:19.31) <Jorik> is al eens voorbij gekomen

zaterdag 19 januari 2002 02:20

Acties:

0 Henk 'm!

Klippy

Still Game

Op zaterdag 19 januari 2002 02:19 schreef Jorik het volgende:
(02:19.28) <Jorik> gebruikt search es PanMan
(02:19.31) <Jorik> is al eens voorbij gekomen

URL!

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

zaterdag 19 januari 2002 02:24

Acties:

0 Henk 'm!

-Stef-

Slainthe!

I.v.m. dat vermogen op mijn rekening wil ik dat ook wel weten.

Yamaha - Chario - MJ Acoustics - Squeezebox - Trends Audio - Beresford

zaterdag 19 januari 2002 02:25

Acties:

0 Henk 'm!

PanMan

Spun!

Topicstarter

Jorik: Ik heb niets kunnen vinden. Wel over hoe leuk en aardig dat internetbankieren is, maar niets over deze vraag.

Het zit zeker niet in je e.dentifier, die van m'n huisgenoot of die van m'n broer geven een error met een verkeerde pin (en mijn pas dus).

Where a calculator on the ENIAC is equipped with 18,000 vacuum tubes and weighs 30 tons, computers in the future may have only 1,000 vacuum tubes and weigh only 1.5 tons.
– Popular Mechanics, March 1949

zaterdag 19 januari 2002 13:20

Acties:

0 Henk 'm!

PanMan

Spun!

Topicstarter

Naja, vanacht in 10 min 6 reply's en sindsdien geen meer?

Where a calculator on the ENIAC is equipped with 18,000 vacuum tubes and weighs 30 tons, computers in the future may have only 1,000 vacuum tubes and weigh only 1.5 tons.
– Popular Mechanics, March 1949

zaterdag 19 januari 2002 16:45

Acties:

0 Henk 'm!

Chemist

Bij mijn weten werkt het (simpel gezegd) zo:

Er is een algemeen bekend heel lang getal
Er zij 2 niet algemeen bekende getallen:
1 getal heeft de bank, 1 getal heb je zelf
de getallen vermenigvuldigd met elkaar geven het grote getal

echter in jouw pinpas ontbreken 4 getallen op willekeurige positie: je PIN code.

In je e.dentifier zit dus gewoon het getal van de bank; op je pas staat jouw getal en je moet zelf de ontbrekende cijfers invullen.

Just because I'm paranoid, doesn't mean they're not watching me

maandag 21 januari 2002 16:07

Acties:

0 Henk 'm!

Dijkhuis

Op zaterdag 19 januari 2002 16:45 schreef Chemist het volgende:
Bij mijn weten werkt het (simpel gezegd) zo:

Ik geloof het toch niet helemaal, want stop je pas maar eens in een e-dentifier van een ander: dan weet de e-dentifier ook je goede pincode. oftewel,

Een e-dentifier kan van elke (ABN?)-pas de pincode checken!
Het lijkt er dus op, dat je pincode op je pinpas is opgeslagen! En de edentifier doet voor hoe je hem erafleest... dit opent mogelijkheden voor criminelen...

Nu zit er op een e-dentifier nog een check, waardoor je maar drie keer een foute pincode in kan voeren (Heb nooit gecheckt of dan de pinpas of de e-dentifier geblokkeerd wordt).

Even voor de niet-ABN-Amro-internetbankierders: de e-dentifier is een apparaatje, waar je je pinpas in schuift, en vervolgens je pincode moet intoetsen. De e-dentifier zegt vervolgens of je pincode wel juist was (zo niet, 'pin error'). daarna moet je nog een code van internet intikken, en krijg je er een terug, maar dat is minder interessant.

maandag 21 januari 2002 16:28

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

Op maandag 21 januari 2002 16:07 schreef Dijkhuis het volgende:

[..]

Ik geloof het toch niet helemaal, want stop je pas maar eens in een e-dentifier van een ander: dan weet de e-dentifier ook je goede pincode. oftewel,

Een e-dentifier kan van elke (ABN?)-pas de pincode checken!
Het lijkt er dus op, dat je pincode op je pinpas is opgeslagen! En de edentifier doet voor hoe je hem erafleest... dit opent mogelijkheden voor criminelen...

Nu zit er op een e-dentifier nog een check, waardoor je maar drie keer een foute pincode in kan voeren (Heb nooit gecheckt of dan de pinpas of de e-dentifier geblokkeerd wordt).

Even voor de niet-ABN-Amro-internetbankierders: de e-dentifier is een apparaatje, waar je je pinpas in schuift, en vervolgens je pincode moet intoetsen. De e-dentifier zegt vervolgens of je pincode wel juist was ('pin error'). daarna moet je nog een code van internet intikken, en krijg je er een terug, maar dat is minder interessant.

Misschien denk ik vreemd maar misschien controleert hij alleen een checksum die op de kaart staat? Of zo iets in die richting?

Programmer - an organism that turns coffee into software.

maandag 21 januari 2002 16:32

Acties:

0 Henk 'm!

stfn345

Hmmm.. als er een eeprom in dat ding zit kan je dan niet de software aanpassen zodat je unlimited tries heb? (of eventueel een bruteforcer erin bakken?)

Op zich moet hier iets mee te doen zijn door echte hardware / chipread/write freaks..

interesting..

maandag 21 januari 2002 17:07

Acties:

0 Henk 'm!

Anoniem: 42060

Ze hebben het al eens getest/ cq proberen te kijken hoe goed de beveiliging is hiervan.

Hier de link (met plaatjes en uitleg :-) )

http://www.klaphek.nl/nr7/homenet3.html

maandag 21 januari 2002 17:08

Acties:

0 Henk 'm!

Anoniem: 42756

hmm zou niet goed zijn voor ABN als hier ook al mee gefraudeert kan worden; was al eerder een bug in de software

maandag 21 januari 2002 17:41

Acties:

0 Henk 'm!

Dijkhuis

Op maandag 21 januari 2002 17:07 schreef Zeemo het volgende:
Ze hebben het al eens getest/ cq proberen te kijken hoe goed de beveiliging is hiervan.

Hier de link (met plaatjes en uitleg :-) )

http://www.klaphek.nl/nr7/homenet3.html

Dat gaat over die oude numculator, dit is een ander apparaat waar je ook je pinpas in moet stoppen

maandag 21 januari 2002 18:51

Acties:

0 Henk 'm!

Chemist

Op maandag 21 januari 2002 16:07 schreef Dijkhuis het volgende:

[..]
Ik geloof het toch niet helemaal, want stop je pas maar eens in een e-dentifier van een ander: dan weet de e-dentifier ook je goede pincode. oftewel,een e-dentifier kan van elke (ABN?)-pas de pincode checken!

Klopt: die toets jij namelijk in. Op je pas staat de rest van het getal en in iedere e.dentifier staan de getallen van de bank (die ook voor iedere pas hetzelfde zijn).

Het lijkt er dus op, dat je pincode op je pinpas is opgeslagen! En de edentifier doet voor hoe je hem erafleest... dit opent mogelijkheden voor criminelen...

Nee hoor: JIJ toetst die pincode in en de e.dentifier gaat er mee rekenen. Het hele idee van asymetrische versleuteling (wat toegepast wordt bij PIN codes) is dat het rekenen de ene kant op heel snel kan, terwijl de andere kant op ongelooflijk veel tijd kost. Het is theoretisch dan ook mogelijk om aan de hand van je pas en de getallen in de e.dentifier je PIN code te achterhalen , alleen in de praktijk zal dat langer duren dan dat je pas geldig is.

Nu zit er op een e-dentifier nog een check, waardoor je maar drie keer een foute pincode in kan voeren (Heb nooit gecheckt of dan de pinpas of de e-dentifier geblokkeerd wordt).

Waarschijnlijk de e.dentifier, want bij mijn weten zit er alleen maar een 'leesoog' in.

Just because I'm paranoid, doesn't mean they're not watching me

maandag 21 januari 2002 19:03

Acties:

0 Henk 'm!

BrammeS

Dit is inderdaad best wel intresant. * BrammeS heeft een keer een kijkje mogen nemen aan de binnenkant van een pin ding bij een bezinepomp.

En tegelijkertijd een uitleg gekregen over de werking hiervan. Helaas heb ik niet erg goed opgelet.

Advanced sheep-counting strategies

maandag 21 januari 2002 19:07

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Ligt het nou aan mij of moet een e.dentifyer eenvoudig om te bouwen zijn naar een pincode-kraak apparaat?

Als het mogelijk is om de 3x block op te heffen, kun je het apparaat aan een computer of microcontroller hangen en die gewoon alle 10.000 mogelijke codes laten genereren. Wanneer de e.dentifyer "GOED" teruggeeft, heb je de goede pincode gevonden.

Hiervoor hoeft de code dus NIET op de pas te staan, of waar dan ook, maar het staat of valt met de mogelijkheid het apparaat te reverse-engineeren en de 3x fout-block eruit te slopen.

Puur omdat er zo weinig pincodes zijn is het erg eenvoudig te brute-forcen als je een manier hebt om je antwoorden te controleren.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

maandag 21 januari 2002 19:09

Acties:

0 Henk 'm!

Dijkhuis

Op maandag 21 januari 2002 18:51 schreef Chemist het volgende:
[..]

Nee hoor: JIJ toetst die pincode in en de e.dentifier gaat er mee rekenen. Het hele idee van asymetrische versleuteling (wat toegepast wordt bij PIN codes) is dat het rekenen de ene kant op heel snel kan, terwijl de andere kant op ongelooflijk veel tijd kost.

ok, maar als je dat blokkeren na 3 fouten eruitkrijgt, kun je gewoon alle 10.000 combinaties uitproberen...

maandag 21 januari 2002 19:17

Acties:

0 Henk 'm!

Kjev

Op maandag 21 januari 2002 16:07 schreef Dijkhuis het volgende:
Nu zit er op een e-dentifier nog een check, waardoor je maar drie keer een foute pincode in kan voeren (Heb nooit gecheckt of dan de pinpas of de e-dentifier geblokkeerd wordt).

Ik dacht dat ik ooit eens in de handleiding las dat als je drie keer de foute pincode intoetst, dat je dan niet alleen niet meer kunt internetbankieren, maar dat dan ook je chipknip niet meer werkt.

Misschien wordt er dus iets met de chip gedaan (sowieso niet met de magneetstrip, want die zit er niet eens helemaal in

).

maandag 21 januari 2002 19:19

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Op maandag 21 januari 2002 18:51 schreef Chemist het volgende:
Nee hoor: JIJ toetst die pincode in en de e.dentifier gaat er mee rekenen. Het hele idee van asymetrische versleuteling (wat toegepast wordt bij PIN codes) is dat het rekenen de ene kant op heel snel kan, terwijl de andere kant op ongelooflijk veel tijd kost. Het is theoretisch dan ook mogelijk om aan de hand van je pas en de getallen in de e.dentifier je PIN code te achterhalen , alleen in de praktijk zal dat langer duren dan dat je pas geldig is.

klok + klepel?

Het algoritme waar jij het over hebt maakt gebruik van het feit dat er 1 nummer bij de bank is waar je normaal niet bij kunt. Echter, zoals het er nu naar uit ziet is dat nummer gewoon bekend bij dat kastje, nix bank.. En zeg nou zelf... 10.000 mogelijkheden proberen heb je echt geen lange tijd voor nodig hoor.. Het reverse engineren van het kastje is mischien wel lastig.....

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 21 januari 2002 21:45

Acties:

0 Henk 'm!

Zoefff

❤ 

Mocht iemand et voor elkaar krijgen, ben ik zeer geinteresseerd

edit:

hier stond onzin....

Fotoblog • Werkaandemuur.nl • Moestuincursus.nl • Twitter

maandag 21 januari 2002 22:33

Acties:

0 Henk 'm!

Gerco

Professional Newbie

Op maandag 21 januari 2002 21:45 schreef Zoefff het volgende:
Mocht iemand et voor elkaar krijgen, ben ik zeer geinteresseerd

Hoezo? Ben je je pincode kwijt? Je wilde het toch zeker niet op iemand anders' pasje proberen he?

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

dinsdag 22 januari 2002 09:09

Acties:

0 Henk 'm!

bolke

Klikt nu met een 50D.

Op maandag 21 januari 2002 19:09 schreef Dijkhuis het volgende:

[..]

ok, maar als je dat blokkeren na 3 fouten eruitkrijgt, kun je gewoon alle 10.000 combinaties uitproberen...

Als je goed zoekt vind je voor dit "Probleem" de oplossing op internet.

En het blokeren van je pas gebeurt op de pas zelf en niet op de e.dentefier. Het heet niet voor niets SmartCard.

http://www.hroling.nl

dinsdag 22 januari 2002 10:17

Acties:

0 Henk 'm!

Anoniem: 34354

Ik snap niet dat er maar 10.000 mogelijkheden zijn...ja ik heb wel berekent en je komt op 10.000 mogelijkheden uit maar er in dit land toch echt wel meer dan 10.000 mensen die een PIN pas hebben dus ik vind het een beetje vaag

dinsdag 22 januari 2002 10:22

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

In dit Draadje wordt uitgelgde hoe dat ding werkt ga zelf maar zoeken is wat lang

dinsdag 22 januari 2002 14:50

Acties:

0 Henk 'm!

Dijkhuis

Ok, hier staat het antwoord (in de hierboven genoemde thread) Alleen het stukje 'Mocht je 3x fout een PIN (hash) aanbieden dan blaast de chip zichzelf op en kan je terug naar de bank.' klinkt een beetje ongeloofwaardig (kan dat echt?)... Maar dat is wel absoluut noodzakelijk, want anders kun je alle 10.000 codes proberen.

2. Chip
Hiermee kan eventueel off-line je PIN worden geverifieerd. Er staat inderdaad een hash achtige code in (met weet ik hoeveel bits) zodat deze code niet te kraken is. Tevens is de code niet uitleesbaar (chip geeft error) totdat de juiste hash wordt aangeboden. Deze chip is ook niet alleen een memory chip, maar er zit ook een processor gedeelte in. De chip heeft dus intelligentie.
Mocht je 3x fout een PIN (hash) aanbieden dan blaast de chip zichzelf op en kan je terug naar de bank.
Hoe kan je deze PIN dan wel kraken, hij staat toch op de kaart ? Nou, je sloopt die chip open en legt hem onder de microscoop. Je kan dan de encryptie keys van deze pas lezen en zo de hash decoderen, helaas zal de pas daarna niet meer werken. Deze enkele maanden durende operatie geeft de bezitter van de kaart de mogelijkheid hem te laten blokkeren.

staat ook nog een stukje over hoe je dan je pincode veranderd:

Most banks let you change your PIN number. They do this by adding an offset to the original PIN, which marks the difference between old and new. These offsets are not securely stored, as without the root PIN, they are useless.

dinsdag 22 januari 2002 15:45

Acties:

0 Henk 'm!

BrammeS

Op dinsdag 22 januari 2002 14:50 schreef Dijkhuis het volgende:
Ok, hier staat het antwoord (in de hierboven genoemde thread) Alleen het stukje 'Mocht je 3x fout een PIN (hash) aanbieden dan blaast de chip zichzelf op en kan je terug naar de bank.' klinkt een beetje ongeloofwaardig (kan dat echt?)... Maar dat is wel absoluut noodzakelijk, want anders kun je alle 10.000 codes proberen.
[..]

staat ook nog een stukje over hoe je dan je pincode veranderd:
[..]

Hmmm, Het lijkt me dat dit best wel te kraken is. Er moet toch een manier zijn om deze eruit te halen.

Advanced sheep-counting strategies

dinsdag 22 januari 2002 16:33

Acties:

0 Henk 'm!

Kjev

Op maandag 21 januari 2002 22:33 schreef Gerco het volgende:

Hoezo? Ben je je pincode kwijt? Je wilde het toch zeker niet op iemand anders' pasje proberen he?

Anders mag het hier niet, dus hij zal het vast wel voor zichzelf bedoelen.

Op dinsdag 22 januari 2002 10:17 schreef TheRock het volgende:
Ik snap niet dat er maar 10.000 mogelijkheden zijn...ja ik heb wel berekent en je komt op 10.000 mogelijkheden uit maar er in dit land toch echt wel meer dan 10.000 mensen die een PIN pas hebben dus ik vind het een beetje vaag

Niet iedereen hoeft verplicht een andere pincode te hebben hoor

. De kans is 1 op 5000 dat je buurman dezelfde pincode heeft als jij (even ervan uitgaande dat je twee buurmannen hebt

).