Hace poco solicité una segunda tarjeta de crédito para que mi pareja la usara en mi cuenta y me sorprendí cuando su número de PIN preestablecido resultó ser el mismo que el mío.
Partiendo de un fondo de desarrollo, asumí que los PINS estaban hasheados de alguna manera.
Parece muy improbable que esto sea una coincidencia, ¿por qué los PIN de las tarjetas de crédito no se almacenan con hash en lugar de (con suerte) cifrados y por qué no generan uno nuevo para la segunda tarjeta?
¿Para qué sirve el hashing de un PIN de 4 dígitos? Solo necesitas 10.000 rondas para recuperar el PIN, incluso si cada PIN tiene su propia sal. Probablemente se almacenan encriptados, para empleados locales, etc., pero para un ingeniero que trabaje allí, no será un gran problema sacar el PIN de la base de datos.
He visto que esto le sucedió a un antiguo colega: se quejó de que cuando le pidió a su banco una nueva tarjeta, obtuvo una con el mismo número de PIN.
Posibles explicaciones:
Al decir "claro", quiero decir que está almacenado de manera que sea legible por una máquina; podría ser una base de datos cifrada con la clave almacenada en un lugar seguro. No significa necesariamente que esté en texto simple en un post-it.
Mi mejor suposición es que, en realidad, tuviste la suerte de obtener el mismo PIN. Al final, solo hay 4 dígitos y 1/10000 de probabilidad de obtener el mismo. Los milagros suceden todos los días.
Para probar esto, podría abrir otra cuenta bancaria y hacer lo mismo. La probabilidad de que esto ocurra dos veces será bastante menor. :-)
Todos los tipos de PIN, ya sean TPINS (utilizados para transacciones basadas en telefonía móvil / telecomunicaciones) o FPIN (generalmente utilizados en banca electrónica) son generados por los HSM.
HSMs genera un PIN mediante la aplicación de operaciones criptográficas (los detalles de esto dependen del fabricante y el tipo de HSM) sobre el información provista a ellos, como PAN, números de cuenta, etc. En resumen, un PIN es un formato comprimido de toda la información anterior incluida en 4 dígitos.
Para tener unique PINs es necesario tener al menos una entidad única en el conjunto de información proporcionada a HSM para este propósito, por ejemplo. como número de identificación nacional de los clientes.
Pero si el PIN se repite, significa que sus bancos no tienen una entidad única en el conjunto que utilizan información como PAN, números de cuenta, etc. que son iguales para ambos en este caso, por lo tanto, el mismo PIN.
Sin embargo, esto podría llamarse un error de configuración, pero nuevamente no puede ser una falla de seguridad, porque siempre tiene que cambiar su PIN inicial antes de poder comenzar a usar esa tarjeta de todos modos.
Lea otras preguntas en las etiquetas atm