Numărul personal de identificare
Codul PIN unic asociat cu atributele respective ale unui card de credit, astfel încât PIN-ul poate fi interpretat ca semnătura titularului de card. Pentru a iniția o tranzacție, titularul de card care utilizează POS-terminal, introduceți cardul într-un slot special de cititor și tasteaza codul PIN, un terminal folosind o tastatură specială. Dacă introduceți codul PIN și contul înregistrat pe banda magnetică a acordului de card unul cu celălalt, atunci este inițiat tranzacția.
Protejați-vă personal numărul de identificare codul PIN pentru card bancar este esențială pentru securitatea întregului sistem de plăți. Carduri bancare pot fi pierdute, furate, falsificate. În astfel de cazuri, singura contraactiune împotriva accesului neautorizat rămâne un cod PIN valoare secretă. De aceea, forma deschisă a PIN-ul ar trebui să fie cunoscut numai proprietarului legitim al cardului. Acesta nu este niciodată stocate sau transmise în cadrul sistemelor de plăți electronice. Evident, PIN-ul trebuie să fie ținut secret pentru toate cardului.
PIN valori metoda de generare are un impact semnificativ asupra siguranței sistemului electronic de plăți. În general. numere de identificare personale pot fi formate orice deținătorii de card bancar sau. În special, clientul distinge două tipuri de PIN:
Codul PIN, atribuit la banca pe care l-a emis cardul;
PIN, ales de către titularul cardului ei înșiși.
În cazul în care codul PIN este atribuit de banca, banca folosește, de obicei, una dintre cele două opțiuni pentru procedurile de generare a codului PIN.
În prima opțiune este generat criptografic PIN de la numărul de cont al titularului cardului. Procesul de generare a codului PIN atribuit din numărul de cont prezentat în Fig. 11.3. De la început numărul de cont este căptușit cu zerouri sau alte constante de până la 16 cifre hexazecimale (8bayt). Următoarele 8 octeți sunt criptate folosind algoritmul DES cu o cheie secretă. Din acest ciphertext 8-byte furnizează alternativ blocuri de 4 biți, începând cu baitul cel mai puțin semnificativ. Dacă numărul format de către acești biți este mai mică de 10, cifra rezultată este inclusă în Pin, în caz contrar nu este utilizat. Astfel prelucrate de către toți cei 64 de biți (8 octeți). În cazul în care rezultatul prelucrării nu a putut fi obținută o dată numărul necesar de cifre zecimale, adresa neutilizate la blocurile de 4 biți, din care se scade 10.
Fig. 11.3. Conducerea PIN eliminarea din numărul contului clientului
Avantajul evident al acestei proceduri constă în faptul că PIN-ul nu trebuie să fie stocate în sistemul electronic de plăți. Dezavantajul acestei abordări este că, dacă este necesar, modificați selecția PIN necesar unui nou cont de client sau de o nouă cheie de criptare. Băncile preferă să aibă numărul de cont al clientului a rămas fix. Pe de altă parte, deoarece toate PIN-ul se calculează folosind aceeași cheie de criptare, o schimbare PIN, menținând în același timp conturile clienților implică în mod necesar o schimbare de numere de identificare personale.
În al doilea exemplu de realizare, banca alege un cod PIN valoare aleatoare, menținând valoarea PIN pictograma corespunzătoare. Banca Valorile PIN selectat transferă deținătorilor de carduri folosind canale securizate. Folosind codul PIN atribuit băncii, acesta este un inconvenient pentru client, chiar și cu o lungime mică a acestora. Acest PIN este dificil de a păstra în memorie, astfel încât titularul cardului poate înregistra oriunde. Principalul lucru nu este de a scrie codul PIN pe card în sine, sau un alt loc. În caz contrar, o sarcină atacator va fi mult ușurată.
Pentru o mai mare comoditate pentru clienți, utilizați valoarea PIN, ales de către client ei înșiși. Această metodă de determinare a valorii PIN permite clientului:
utilizați același cod PIN pentru scopuri multiple;
Codul PIN ca o serie de litere și numere.
Atunci când PIN-ul ales de client, acesta ar trebui să fie adus în atenția băncii. PIN-ul poate fi trimis la banca prin scrisoare recomandată sau trimise printr-un terminal securizat situat într-un birou bancar, care criptează imediat. În cazul în care banca are nevoie pentru a utiliza PIN-ul clientului selectat, procedați după cum urmează. Fiecare PIN cifră ales de client adăuga până modulo 10 (cu excepția transferurilor), cu cifra corespunzătoare a PIN-ul afișat de banca din contul clientului. Numărul zecimal rezultat este numit offset. Acest offset este stocat în card de client. Deoarece PIN-ul de ieșire este aleatoare, PIN-ul de client selectat nu poate fi determinat să-l detroneze.
Cerința principală a securității este faptul că PIN-ul ar trebui să fie stocate posesorul cardului și nu ar trebui să fie stocate sub nici o formă ușor de citit. Dar oamenii sunt imperfecte și adesea uitați codul PIN lor valori. Prin urmare, băncile trebuie să se pregătească în avans proceduri speciale pentru astfel de cazuri. Banca poate pune în aplicare una dintre următoarele abordări. Primul se bazează pe o valoare de client PIN uitat și trimițându-l înapoi la titularul cardului. A doua abordare generează pur și simplu un nou cod PIN de valoare.
Atunci când o valoare de identificare client PIN și prezentarea cardului sunt două modalități principale de testare: non-algoritmice și algoritmice.
Metoda nealgoritmice verificării codului PIN nu necesită utilizarea unor algoritmi speciali. PIN Verificarea este efectuată prin comparație directă PIN introdus de către client la valorile stocate în baza de date. De obicei, o bază de date cu valorile clienților PIN este criptat printr-o criptare transparentă pentru a contribui la îmbunătățirea securității fără a complica procesul de comparare.
Metoda de verificare a codului PIN algoritmică este faptul că clientul introdus codul PIN convertește un anumit algoritm folosind cheia secretă și, ulterior, în comparație cu valoarea PIN stocate într-o anumită formă pe o hartă. Avantajele acestei metode de testare:
nici o copie a PIN-ul pe computerul gazdă elimină divulgarea ei a personalului băncii;
PIN lipsa de comunicare între ATM sau POS-terminal și un computer gazdă al băncii exclude interceptarea acesteia de către un atacator sau impunerea rezultatelor de comparație;
simplificarea sistemului de dezvoltare de software, deoarece nu este nevoie de o acțiune în timp real.