Персональный идентификационный номер

ПИН-код

Персональный идентификационный номер ( ПИН-код ; иногда сокращенно ПИН -код или ПИН-номер ) — это числовой (иногда буквенно-цифровой) код доступа , используемый в процессе аутентификации пользователя, получающего доступ к системе.

ПИН-код стал ключом к упрощению обмена конфиденциальными данными между различными центрами обработки данных в компьютерных сетях для финансовых учреждений, правительств и предприятий. ^[1] ПИН-коды могут использоваться для аутентификации банковских систем с держателями карт, правительств с гражданами, предприятий с сотрудниками и компьютеров с пользователями, а также для других целей.

В общем случае ПИН-коды используются при транзакциях в банкоматах или POS-терминалах, ^[2] для безопасного контроля доступа (например, доступ к компьютеру, доступ к двери, доступ к автомобилю), ^{[3] для} интернет-транзакций ^[4] или для входа на ограниченный веб-сайт.

История

PIN-код появился с появлением банкомата ( ATM) в 1967 году как эффективный способ для банков выдавать наличные своим клиентам. Первой системой банкоматов был Barclays в Лондоне в 1967 году; он принимал чеки с машиночитаемым кодом, а не карты, и сопоставлял PIN-код с чеком. ^{[5] [6] [7]} 1972 год, Lloyds Bank выпустил первую банковскую карту с кодирующей информацию магнитной полосой, используя PIN-код для безопасности. ^[8] Джеймс Гудфеллоу , изобретатель, который запатентовал первый персональный идентификационный номер, был награжден орденом Британской империи в 2006 году в честь Дня рождения королевы . ^{[9] [10]}

Мохамед М. Аталла изобрел первый аппаратный модуль безопасности на основе PIN-кода (HSM), ^[11] получивший название «Atalla Box», — систему безопасности, которая шифровала PIN-коды и сообщения ATM и защищала автономные устройства с помощью неугадываемого ключа генерации PIN-кода. ^[12] В 1972 году Аталла подал заявку на патент США 3 938 091 на свою систему проверки PIN-кода, которая включала закодированный считыватель карт и описывала систему, которая использовала методы шифрования для обеспечения безопасности телефонной связи при вводе личной идентификационной информации, которая передавалась в удаленное место для проверки. ^[13]

Он основал Atalla Corporation (теперь Utimaco Atalla ) в 1972 году ^[14] и коммерчески запустил «Atalla Box» в 1973 году. ^[12] Продукт был выпущен как Identikey. Это был считыватель карт и система идентификации клиентов , предоставляющая терминалу возможности пластиковых карт и PIN-кода. Система была разработана, чтобы позволить банкам и сберегательным учреждениям перейти на среду пластиковых карт с программы сберегательной книжки . Система Identikey состояла из консоли считывателя карт, двух клиентских PIN-клавиатур , интеллектуального контроллера и встроенного пакета электронного интерфейса. ^[15] Устройство состояло из двух клавиатур , одной для клиента и одной для кассира. Оно позволяло клиенту вводить секретный код, который преобразуется устройством с помощью микропроцессора в другой код для кассира. ^[16] Во время транзакции номер счета клиента считывался считывателем карт . Этот процесс заменил ручной ввод и позволил избежать возможных ошибок при нажатии клавиш. Это позволило пользователям заменить традиционные методы проверки клиентов, такие как проверка подписи и тестовые вопросы, на безопасную систему PIN-кода. ^[15] В знак признания его работы над системой PIN-кода для управления информационной безопасностью , Аталла был назван «отцом PIN-кода». ^{[17] [18] [19]}

Успех «Atalla Box» привёл к широкому внедрению аппаратных модулей безопасности на основе PIN-кода. ^[20] Его процесс проверки PIN-кода был похож на более поздний IBM 3624. [ ^21] К 1998 году примерно 70% всех транзакций банкоматов в США были направлены через специализированные аппаратные модули Atalla, ^[22] а к 2003 году Atalla Box защитил 80% всех банкоматов в мире, ^[17] увеличившись до 85% по состоянию на 2006 год. ^[23] Продукты HSM Atalla защищают 250  миллионов транзакций по картам каждый день по состоянию на 2013 год, ^[14] и по-прежнему защищают большинство транзакций банкоматов в мире по состоянию на 2014 год. ^[11]

Финансовые услуги

Использование ПИН-кода

В контексте финансовой транзакции обычно требуются как частный «ПИН-код», так и публичный идентификатор пользователя для аутентификации пользователя в системе. В этих ситуациях обычно пользователю требуется предоставить неконфиденциальный идентификатор пользователя или токен (идентификатор пользователя ) и конфиденциальный ПИН-код для получения доступа к системе. Получив идентификатор пользователя и ПИН-код, система ищет ПИН-код на основе идентификатора пользователя и сравнивает найденный ПИН-код с полученным ПИН-кодом. Пользователю предоставляется доступ только в том случае, если введенный номер совпадает с номером, хранящимся в системе. Следовательно, несмотря на название, ПИН-код не идентифицирует пользователя лично . ^[24] ПИН-код не печатается и не встраивается в карту, а вручную вводится держателем карты во время транзакций через банкомат (ATM) и точку продажи (POS) (например, тех, которые соответствуют EMV ), а также при транзакциях без предъявления карты , например, через Интернет или для телефонного банкинга.

Длина ПИН-кода

Международный стандарт управления PIN-кодами финансовых услуг ISO 9564-1 допускает использование PIN-кодов длиной от четырех до двенадцати цифр, но рекомендует эмитенту карты из соображений удобства использования не назначать PIN-коды длиннее шести цифр. ^[25] Изобретатель банкомата Джон Шеперд-Баррон сначала задумал шестизначный числовой код, но его жена могла запомнить только четыре цифры, и эта длина стала наиболее часто используемой во многих местах, ^[6] хотя банки в Швейцарии и многих других странах требуют шестизначный PIN-код.

Проверка PIN-кода

Существует несколько основных методов проверки PIN-кодов. Операции, обсуждаемые ниже, обычно выполняются в аппаратном модуле безопасности (HSM).

Метод IBM 3624

Одной из самых ранних моделей банкоматов была IBM 3624 , которая использовала метод IBM для генерации того, что называется естественным PIN-кодом . Естественный PIN-код генерируется путем шифрования основного номера счета (PAN) с использованием ключа шифрования, созданного специально для этой цели. ^[26] Этот ключ иногда называют ключом генерации PIN-кода (PGK). Этот PIN-код напрямую связан с основным номером счета. Для проверки PIN-кода банк-эмитент повторно генерирует PIN-код, используя указанный выше метод, и сравнивает его с введенным PIN-кодом.

Естественные PIN-коды не могут быть выбраны пользователем, поскольку они выводятся из PAN. Если карта перевыпускается с новым PAN, необходимо сгенерировать новый PIN-код.

Естественные ПИН-коды позволяют банкам высылать письма с напоминанием ПИН-кода, поскольку ПИН-код можно сгенерировать.

IBM 3624 + метод смещения

Чтобы разрешить выбор пользователем PIN-кодов, можно сохранить значение смещения PIN-кода. Смещение находится путем вычитания естественного PIN-кода из выбранного клиентом PIN-кода с использованием модуля 10. ^[27] Например, если естественный PIN-код — 1234, а пользователь хочет иметь PIN-код 2345, смещение будет 1111.

Смещение может храниться либо в данных трека карты ^[28] , либо в базе данных эмитента карты.

Для проверки ПИН-кода банк-эмитент вычисляет естественный ПИН-код, как описано выше, затем добавляет смещение и сравнивает это значение с введенным ПИН-кодом.

Метод ВИЗЫ

При использовании этого терминала для кредитных карт держатель карты VISA проводит или вставляет свою кредитную карту и вводит свой PIN-код на клавиатуре.

Метод VISA используется многими карточными схемами и не является специфичным для VISA. Метод VISA генерирует значение проверки PIN-кода (PVV). Подобно значению смещения, оно может храниться в данных трека карты или в базе данных у эмитента карты. Это называется справочным PVV.

Метод VISA берет самые правые одиннадцать цифр PAN, исключая значение контрольной суммы, индекс ключа проверки PIN-кода (PVKI, выбирается от одного до шести, PVKI, равный 0, указывает, что PIN-код не может быть проверен через PVS ^[29] ) и требуемое значение PIN-кода для создания 64-битного числа, PVKI выбирает ключ проверки (PVK, из 128 бит) для шифрования этого числа. Из этого зашифрованного значения находится PVV. ^[30]

Для проверки PIN-кода банк-эмитент вычисляет значение PVV из введенного PIN-кода и PAN и сравнивает это значение с контрольным PVV. Если контрольный PVV и рассчитанный PVV совпадают, то был введен правильный PIN-код.

В отличие от метода IBM, метод VISA не выводит PIN-код. Значение PVV используется для подтверждения PIN-кода, введенного на терминале, а также использовалось для генерации справочного PVV. PIN-код, используемый для генерации PVV, может быть сгенерирован случайным образом, выбран пользователем или даже выведен с использованием метода IBM.

Безопасность PIN-кода

Финансовые PIN-коды часто представляют собой четырехзначные числа в диапазоне 0000–9999, что дает 10 000 возможных комбинаций. Швейцария по умолчанию выдает шестизначные PIN-коды. ^[31]

Некоторые системы устанавливают PIN-коды по умолчанию, и большинство из них позволяют клиенту устанавливать PIN-код или изменять PIN-код по умолчанию, а в некоторых случаях смена PIN-кода при первом доступе является обязательной. Клиентам обычно рекомендуется не устанавливать PIN-код на основе своего дня рождения или дня рождения супруга, номера водительского удостоверения, последовательных или повторяющихся цифр или некоторых других схем. Некоторые финансовые учреждения не выдают и не разрешают PIN-коды, в которых все цифры идентичны (например, 1111, 2222, ...), последовательны (1234, 2345, ...), цифры, начинающиеся с одного или нескольких нулей, или последние четыре цифры номера социального страхования или даты рождения держателя карты. ^{[ необходима цитата ]}

Многие системы проверки PIN-кода допускают три попытки, тем самым давая вору карты предполагаемую вероятность угадать правильный PIN-код в 0,03%, прежде чем карта будет заблокирована. Это справедливо только в том случае, если все PIN-коды одинаково вероятны, и у злоумышленника нет дополнительной информации, что не было в случае с некоторыми из многочисленных алгоритмов генерации и проверки PIN-кода, которые финансовые учреждения и производители банкоматов использовали в прошлом. ^[32]

Было проведено исследование часто используемых PIN-кодов. ^[33] Результатом стало то, что без предусмотрительности значительная часть пользователей может обнаружить свой PIN-код уязвимым. «Вооружившись всего четырьмя возможностями, хакеры могут взломать 20% всех PIN-кодов. Дайте им не более пятнадцати цифр, и они смогут взломать счета более четверти держателей карт». ^[34]

Хрупкие штифты могут ухудшаться с увеличением длины, а именно:

Проблема с угадываемыми PIN-кодами неожиданно ухудшается, когда клиенты вынуждены использовать дополнительные цифры, переходя от 25% вероятности с пятнадцатью цифрами к более чем 30% (не считая 7-значных со всеми этими телефонными номерами). Фактически, около половины всех 9-значных PIN-кодов можно сократить до двух десятков возможностей, в основном потому, что более 35% всех людей используют слишком заманчивые 123456789. Что касается оставшихся 64%, есть большая вероятность, что они используют свой номер социального страхования , что делает их уязвимыми. (Номера социального страхования содержат свои собственные хорошо известные шаблоны.) ^[34]

Недостатки реализации

В 2002 году два аспиранта Кембриджского университета , Петр Зелински и Майк Бонд, обнаружили уязвимость безопасности в системе генерации PIN-кода IBM 3624 , которая была продублирована в большинстве более поздних аппаратных средств. Известная как атака таблицы децимализации, уязвимость позволяла тому, кто имеет доступ к компьютерной системе банка, определить PIN-код для карты банкомата в среднем за 15 попыток. ^{[35] [36]}

Обратный PIN-код мистификация

В электронной почте и Интернете циркулируют слухи о том, что в случае ввода PIN-кода в банкомат наоборот правоохранительные органы будут немедленно оповещены, а деньги будут выданы, как если бы PIN-код был введен правильно. ^[37] Целью этой схемы является защита жертв ограблений; однако, несмотря на то, что система предлагается для использования в некоторых штатах США, ^{[38] [39]} в настоящее время не существует банкоматов, использующих это программное обеспечение. ^[40]

Пароли мобильных телефонов

Мобильный телефон может быть защищен PIN-кодом. Если включено, PIN-код (также называемый паролем) для мобильных телефонов GSM может содержать от четырех до восьми цифр ^[41] и записывается на SIM-карту . Если такой PIN-код введен неправильно три раза, SIM-карта блокируется до тех пор, пока не будет введен персональный код разблокировки (PUC или PUK), предоставленный оператором связи. ^[42] Если PUC введен неправильно десять раз, SIM-карта блокируется навсегда, и требуется новая SIM-карта от оператора мобильной связи.

Обратите внимание, что это не следует путать с программными кодами доступа, которые часто используются на смартфонах с экранами блокировки : они не связаны с SIM-картой сотовой связи, PIN-кодом и PUC-кодом устройства.

Смотрите также

• Программное обеспечение SafetyPIN для банкоматов
• Карточка кампуса
• Номер аутентификации транзакции

Ссылки

1. Хиггс, Эдвард (1998). История и электронные артефакты . Oxford University Press. ISBN 0198236336.
2. Мартин, Кит (2012). Повседневная криптография: основные принципы и приложения . Oxford University Press. ISBN 9780199695591.
3. Кейл, Стефан (2013). Безопасность мобильного доступа: за пределами BYOD . Wiley Publishing. ISBN 978-1-84821-435-4.
4. "Электронная коммерция: запутанная сеть для дебетования с помощью PIN-кода". Цифровые транзакции . 1 февраля 2013 г. – через Associated Press.
5. Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе банковских карт (2005), стр. 1-3.
6. "Человек, который изобрел банкомат". BBC. 2007-06-25 . Получено 2014-06-15 .
7. "Изобретатель банкомата Джон Шепард-Баррон умер в возрасте 84 лет". Los Angeles Times . 19 мая 2010 г. – через Associated Press.
8. Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе банковских карт (2005), стр. 5.
9. "Королевская честь изобретателю булавки". BBC. 2006-06-16 . Получено 2007-11-05 .
10. GB 1197183  «Усовершенствования в системах выдачи, управляемых клиентами, или связанные с ними» – Иван Оливейра, Энтони Дэвис, Джеймс Гудфеллоу
11. Stiennon, Richard (17 июня 2014 г.). «Управление ключами — быстрорастущая сфера». SecurityCurrent . IT-Harvest . Получено 21 августа 2019 г. .
12. Bátiz-Lazo, Bernardo (2018). Наличные и Dash: Как банкоматы и компьютеры изменили банковское дело. Oxford University Press . С. 284 и 311. ISBN 9780191085574.
13. "Экономические последствия программы NIST's Data Encryption Standard (DES)" (PDF) . Национальный институт стандартов и технологий . Министерство торговли США . Октябрь 2001 г. Архивировано из оригинала (PDF) 30 августа 2017 г. . Получено 21 августа 2019 г. .
14. Langford, Susan (2013). "ATM Cash-out Attacks" (PDF) . Hewlett Packard Enterprise . Hewlett-Packard . Получено 21 августа 2019 г. .
15. "Система ID, разработанная как обновление NCR 270". Computerworld . 12 (7). IDG Enterprise: 49. 13 февраля 1978 г.
16. «Представлены четыре продукта для онлайн-транзакций». Computerworld . 10 (4). IDG Enterprise: 3. 26 января 1976 г.
17. "Martin M. (John) Atalla". Purdue University . 2003. Получено 2 октября 2013 .
18. "Гуру безопасности разбирается с сетью: отец PIN-кода "уходит на пенсию", чтобы запустить TriStrata". The Business Journals . American City Business Journals . 2 мая 1999 г. Получено 23 июля 2019 г.
19. "Purdue Schools of Engineering чествуют 10 выдающихся выпускников". Journal & Courier . 5 мая 2002 г. стр. 33.
20. Батис-Лазо, Бернардо (2018). Наличные и Dash: Как банкоматы и компьютеры изменили банковское дело. Oxford University Press . стр. 311. ISBN 9780191085574.
21. Konheim, Alan G. (1 апреля 2016 г.). «Автономные кассовые аппараты: их история и протоколы аутентификации». Journal of Cryptographic Engineering . 6 (1): 1–29. doi :10.1007/s13389-015-0104-3. ISSN  2190-8516. S2CID  1706990. Архивировано из оригинала 22 июля 2019 г. . Получено 22 июля 2019 г. .
22. Грант, Гейл Л. (1998). Понимание цифровых подписей: установление доверия через Интернет и другие сети. McGraw-Hill . стр. 163. ISBN 9780070125544Фактически , около 70 процентов всех банковских транзакций через банкоматы в США проходят через специализированные аппаратные модули безопасности Atalla.
23. "Обзор портфеля для оплаты и GP HSMs" (PDF) . Utimaco . Архивировано из оригинала (PDF) 21 июля 2021 г. . Получено 22 июля 2019 г. .
24. Ваш идентификационный номер не является паролем, Webb-site.com, 8 ноября 2010 г.
25. ISO 9564-1:2011 Финансовые услуги. Управление персональным идентификационным номером (ПИН-кодом) и его безопасность. Часть 1. Основные принципы и требования к ПИН-кодам в системах на основе карт, пункт 8.1 Длина ПИН-кода
26. "3624 Алгоритм генерации PIN-кода". IBM.
27. «Алгоритм генерации смещения PIN-кода». IBM.
28. "Формат дорожки магнитной полосы карт". Gae.ucm.es. Архивировано из оригинала 2014-09-28 . Получено 2010-04-25 .
29. "Руководство пользователя платы Sun Crypto Accelerator 6000 для версии 1.0". docs.oracle.com . Получено 22.06.2021 .
30. «Алгоритм генерации PVV». IBM.
31. Ван, Дин; Гу, Цяньчэнь; Хуан, Синьи; Ван, Пин (2017-04-02). «Понимание выбранных человеком PIN-кодов». Труды конференции ACM on Asia 2017 по компьютерной и коммуникационной безопасности . Asia CCS '17. Абу-Даби, Объединенные Арабские Эмираты: ACM. стр. 372–385. doi :10.1145/3052973.3053031. ISBN 978-1-4503-4944-4. S2CID  14259782.
32. Кун, Маркус (июль 1997 г.). "Теория вероятностей для карманников — угадывание ec-PIN" (PDF) . Получено 24.11.2006 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
33. Ник Берри (28 сентября 2012 г.). «Самые распространённые ПИН-коды: уязвим ли ваш банковский счёт?». Веб-сайт газеты Guardian . Получено 25.02.2013 .
34. Lundin, Leigh (2013-08-04). "PIN-коды и пароли, часть 1". Пароли . Орландо : SleuthSayers. Вооружившись всего четырьмя вариантами, хакеры могут взломать 20% всех PIN-кодов.
35. Зелински, П. и Бонд, М. (февраль 2003 г.). «Атаки с использованием таблиц децимализации для взлома ПИН-кода» (PDF) . 02453. Компьютерная лаборатория Кембриджского университета . Получено 24.11.2006 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
36. "Освещение в СМИ". Компьютерная лаборатория Кембриджского университета. Архивировано из оригинала 20-10-2018 . Получено 24-11-2006 .
37. "Reverse PIN Panic Code". 7 октября 2006 г. Получено 2007-03-02 .
38. Полный текст SB0562 Генеральной Ассамблеи Иллинойса, доступ 20 июля 2011 г.
39. sb379_SB_379_PF_2.html Законопроект Сената 379 Архивировано 23.03.2012 в Wayback Machine Georgia General Assembly, опубликовано в 2006 г., получено 20.07.2011 г.
40. «Вызовет ли вызов полиция ввод PIN-кода банкомата наоборот?». Редкий . 2020-12-15 . Получено 2021-02-27 .
41. 082251615790 Модули идентификации абонента GSM 02.17, функциональные характеристики, версия 3.2.0, февраль 1992 г., пункт 3.1.3
42. "Что такое PUK-код?". support.bell.ca . Получено 2024-07-15 .