¿Por qué el cambio del PIN no afecta los datos grabados en la tarjeta magnética?

En el pasado, es posible que hayan codificado el PIN en la tarjeta, aunque espero que (como indica su prueba) se hayan detenido. Parece que el artículo que usted cita es de 2009, que está bastante desactualizado.

En cuanto a por qué no deben codificar el PIN en la tarjeta, eche un vistazo a la Publicación Especial 800-63-2 del NIST, la Pauta de autenticación electrónica. En el caso de la autenticación multifactor, debe consistir en una combinación de "Algo que sabes, algo que tienes y algo que eres". Para una tarjeta y un sistema de PIN, usted tiene algo (la tarjeta) y sabe algo (el PIN). Si codificas el PIN en la tarjeta, solo tienes algo, que es la autenticación de un solo factor y no es tan seguro.

Si está interesado en la seguridad de los PIN en las tarjetas de crédito, puede consultar: enlace . Estos son los requisitos de PCI para proteger PINS.

En cuanto a las diferencias en los Datos Discrecionales, estos pueden provenir de varias fuentes. Según ISO / IEC 7813, la longitud máxima de registro de las pistas 1 y 2 es diferente. El DD se utiliza para rellenar el saldo de caracteres.

Para los datos discrecionales, la implementación se deja a la empresa emisora. En cuanto a lo que podría contener, puede descubrirlo consultando la documentación de la compañía emisora (dudo que encuentre algo que haya ocurrido con cosas extrañas). Puede que solo sea un relleno aleatorio para alcanzar la longitud adecuada o puede contener datos adicionales. Consulte enlace .

El punto principal del pin es que no está en la tarjeta, sino en las computadoras del banco, de modo que el acceso físico a la tarjeta no pueda proporcionarle esa información. Si estuviera en la tarjeta, solo sería un número de cuenta más largo.

No hay PIN almacenado en la banda magnética. Básicamente, existen 2 tipos de estrategias de PIN utilizadas comúnmente en los pagos con tarjeta: Offline y Online PIN.

El PIN sin conexión requiere que el valor del PIN se almacene de manera segura dentro del chip en un módulo a prueba de manipulaciones. Durante la verificación, el valor de PIN introducido por el titular de la tarjeta se envía al módulo para su verificación.

Los escenarios de PIN en línea envían el PIN en la solicitud de autorización al host de la institución financiera para su verificación contra el valor del PIN asegurado en su base de datos.

Si puede lograr cambiar un PIN en una tarjeta con chip, utilizando scripts, es probable que esté cambiando el PIN sin conexión en el chip. No hay visibilidad de los PIN en la banda magnética.

Para agregar a las otras dos respuestas, los datos de la banda magnética se almacenan mediante la codificación IEC_7813 . Según Wikipedia los datos discrecionales pueden incluir el PIN. Normalmente no lo hace.

Mi recuerdo de la forma en que usó para trabajar fue aproximadamente como sigue, que tiene un grado de seguridad y permite cambios de PIN fuera de línea.

• El banco almacena para cada tarjeta el 'PIN del banco', que es el PIN inicial de la tarjeta que se envió al usuario.
• El PIN en la banda magnética se establece en 0000 (o un número aleatorio conocido)
• Cuando se ingresa un PIN en un cajero automático, el PIN ingresado y el PIN en la banda magnética se suman, y la respuesta se toma en módulo 10,000, y el resultado se transmite al banco, y se compara con el 'PIN del Banco'
• Cuando cambia el PIN en la tarjeta, todo lo que sucede se almacena en desplazamiento cambios.

Creo que el código en la banda magnética puede llamarse PVV (o 'PIN offset'). Ver por ejemplo aquí y here para una referencia más antigua, a partir de la segunda (al final de la sección 3.1):

  

Finalmente, para permitir que los titulares de tarjetas cambien sus PIN, se agrega un desplazamiento que se almacena en la base de datos de mainframe junto con el número de cuenta. Cuando un cajero automático verifica un PIN introducido, simplemente resta el desplazamiento de la tarjeta antes de comparar el valor con el resultado decimal del cifrado.

Consulte aquí (vea la nota a continuación) para obtener una referencia moderna:

  

PINCP: Parámetros de control de PIN (PINPARM). 6 dígitos:

     

Si FC = 01, los dos primeros dígitos representan el algoritmo utilizado para calcular el PIN, donde 00-09 significa algoritmo privado, 10-19 significa DEA y los valores de 20 a 99 están reservados para uso futuro por parte de ISO / TC 68. Siguiente 4 los dígitos son la compensación de PIN, un valor complementario de PIN para que los clientes puedan cambiar su PIN o PVV.

     

Si FC = 02, el primer dígito representa el algoritmo utilizado para calcular el PIN, donde 0 significa algoritmo privado, 1 significa DEA y los valores 2 a 9 están reservados para uso futuro por ISO / TC 68. El segundo dígito representa una clave para el algoritmo Los siguientes 4 dígitos son la compensación de PIN, un valor complementario de PIN para que los clientes puedan cambiar su PIN o PVV.

     

Si este campo no se utiliza, habrá un FS en su lugar.

(lo anterior se hizo de memoria, luego se buscó en Google, y solo entonces me di cuenta de que el artículo parece ser el mismo al que usted hizo referencia).

El PIN se almacena solo en el chip (probablemente en forma de hash), no en la banda magnética. Magstripe solo contiene la información en relieve visible, por lo que los lectores de banda magnética son equivalentes a los lectores de impresión, no a los lectores de chip y PIN.

Tenga en cuenta que el documento citado fue escrito en 2002; es posible que los estándares más antiguos fueran diferentes.

Puede cambiar su código de servicio en la banda magnética posible, por lo que podría convertir un uso electrónico prepago solo en efectivo en el cajero automático.