Fuerza bruta sin conexión del PIN de una tarjeta bancaria

8

Puede que esté descuidando un hecho crucial aquí, pero al juntar lo siguiente, creo que es muy fácil determinar el PIN de una tarjeta bancaria utilizando el hardware más básico disponible para todos (hablo por mi país en lo que sigue) :

  • Cada banco tiene una aplicación de banca por Internet que usa un "digipass" para verificar al usuario. Todos estos están hechos en China y solo hay algunos modelos en uso. No importa qué logotipo o número de serie esté en el dispositivo, todos funcionan de la misma manera.
  • El digipass solicita su PIN y sabe si está correcto o no (bastante rápido).
  • Un PIN normal es de 4 dígitos, lo que da como resultado 10000 códigos posibles. La fuerza bruta es fácil.

Pon todo junto, y obtendrás esto:

  1. Roba una tarjeta bancaria,
  2. modifique un digipass para permitir una rápida sucesión de pruebas de número de PIN, y detecte si cree que el PIN que ingresó es correcto (esto es simple? realmente, electrónica)
  3. Obtenga el PIN de una tarjeta, por ejemplo, 5 segundos por intento, aproximadamente 14 horas.

Realmente debo estar perdiendo algo, ¿o es la seguridad de la tarjeta bancaria tan ridícula?

    
pregunta rubenvb 20.11.2012 - 11:58
fuente

4 respuestas

13

El chip incorporado en la tarjeta inteligente se bloquea después de un número definido de entradas de PIN incorrectas, generalmente entre 3 y 10 intentos.

    
respondido por el Graham Hill 20.11.2012 - 12:21
fuente
7

Dudo que en realidad necesites iterar a través de las 10,000 combinaciones tampoco. Hay un análisis muy bueno aquí sobre la frecuencia de diferentes pares de números:

enlace

Básicamente, comenzando con 19XX y avanzando a pie tiene una tasa de éxito mucho mayor que si los números PIN se generaran de forma aleatoria.

    
respondido por el niallhaslam 20.11.2012 - 14:28
fuente
5

El paso 1 es fácil, el paso 2 es difícil. Los chips están diseñados para evitar ese tipo de manipulación, los grupos de investigación han estado trabajando durante años en formas de hacer lo que está proponiendo sin ataques exitosos todavía.

    
respondido por el GdD 20.11.2012 - 12:30
fuente
2

Nunca he oído hablar de este digipass. No uso uno cuando hago banca en línea, así que no creo que el ataque se aplique en los EE. UU.

En los Estados Unidos, tenemos una tarjeta de cajero automático (una tarjeta de banda magnética con algunos datos en ella), y si roba la tarjeta de cajero automático de alguien, puede probar varios PIN. Sin embargo, la verificación de un PIn implica una comunicación con el mainframe del banco, y si ingresa el PIN incorrectamente 3 o más veces, el banco se traga su tarjeta de cajero automático (y presumiblemente bloquea la cuenta). Por lo tanto, la adivinación exhaustiva del número de PIN no funcionará, porque solo obtienes algunos intentos.

Espero que los bancos de EE. UU. apliquen la misma defensa en contra de adivinar las contraseñas bancarias en línea. Y sea lo que sea su país, espero que los bancos hayan aplicado una defensa similar contra la adivinación exhaustiva de su PIN, ya sea implementado en el digipass o como alternativa en los sistemas de back-end del banco (este último solo es posible si la autenticación requiere alguna interacción entre el Digipass y el servidor del banco, pero esa es una manera razonable de diseñar un protocolo de autenticación).

    
respondido por el D.W. 20.11.2012 - 22:07
fuente

Lea otras preguntas en las etiquetas