¿Cómo puede saber mi lector de tarjeta de débito bancario que mi PIN es válido?

La tarjeta lo sabe, el lector no. Cuando coloca un pin en el lector, habla con el microcontrolador de la tarjeta para verificar, lo que también registra los intentos incorrectos. ¡Así que los lectores múltiples no ayudarán a tratar de adivinar el pin de alguien! Eso es más o menos el alcance de mi conocimiento, pero una visión general de cómo funciona. Los protocolos subyacentes no tengo conocimiento de desafortunadamente. Pero los mejores investigadores de chips y pin públicos que he visto hasta la fecha son los chicos de Cambridge ( enlace ) a pesar de Las amenazas legales contra ellos. ¡Una respuesta mejor llegará muy pronto!

Si su tarjeta de débito tiene un chip EMV (casi todos los chips se basan en EMV en la actualidad), es muy probable que conozca su PIN (o al menos cómo verificar un PIN introducido).

El hecho de que esa capacidad se use realmente depende del tipo de transacción y del terminal; Si el terminal tiene capacidad en línea, también puede verificar el PIN directamente con los servidores de su banco, que también conocen su PIN (o algún valor de verificación derivado). Esto explica el comportamiento en la pregunta referenciada sobre cajeros automáticos; simplemente eligen ignorar las capacidades de verificación de PIN incorporadas en la tarjeta.

Como su lector obviamente no está conectado a nada que no sea su tarjeta, el PIN que ingresa es verificado por el software que se ejecuta en su tarjeta y no por el lector.

El lector suministra la tarjeta con su PIN ingresado. Si coinciden, la transacción puede proceder; si no coinciden, un contador interno en la tarjeta se decrementa y puedes intentarlo de nuevo (pero solo un par de veces más).

Es probable que el código de 8 dígitos esté matemáticamente relacionado con su pin (es decir, la suma de un determinado hash de ambos llegue a un valor estático predefinido) de modo que el código de 8 dígitos pueda servir como un desafío y una forma de validar su PIN. Una forma posible de obtener más información acerca de la secuencia de Digipass es intentar ingresar códigos de 8 dígitos aleatorios (presumiblemente incorrectos): ¿el código se rechaza inmediatamente o la máquina rechaza su PIN? Para obtener más información sobre sistemas como este, consulte: enlace

¿Realmente significa "PIN OK"? ¿En el sentido de que ingresaste el PIN correcto? Mi banco usa un sistema similar. Pongo la tarjeta en el lector, ingrese mi PIN. El banco da un código de 8 dígitos que entro en el lector. El lector devuelve un código de 8 dígitos. No es necesario saber si el PIN introducido es correcto para generar este código. Si introduzco el PIN incorrecto, simplemente devolverá otro código, que no será aceptado por el sitio web.

Card-id + PIN + request code => validation code

Cuando cualquiera de las dos está mal, se generará un código incorrecto. Su tarjeta no necesita saber el PIN para que esto funcione. Sin embargo, podría ser diferente.