¿Cómo puede saber mi lector de tarjeta de débito bancario que mi PIN es válido?

7

¿Por qué los cajeros automáticos aceptan algún PIN? indica que el cajero automático no conoce mi pin y el pin tampoco está en la tarjeta.

Mi banco tiene este sistema:

Funcionaen5etapas:

  1. Ingresoelnúmerodemitarjetadedébitoenelsitioweb;
  2. Elsitiowebmedauncódigode8dígitosparaingresarenlamáquina;
  3. Insertémitarjetaenlamáquina,presionéelbotónM1eingreséelcódigode8dígitos;
  4. Despuésdeingresarelcódigo,lamáquinamepidemipinde4dígitosydeinmediatodicesiescorrecto(alindicar"PIN OK");
  5. La máquina luego me da un código de 7 dígitos para ingresar en el sitio web, que me autentica.

¿Cómo puede esta máquina saber que mi código es válido si el código no está en mi tarjeta? Tenga en cuenta que los botones M1 y M2 no son botones de memoria, sino botones que inician un determinado flujo de trabajo: M1 es para la autenticación con el sistema y M2 para firmar digitalmente mis transacciones.

    
pregunta Nzall 01.07.2014 - 15:47
fuente

4 respuestas

8

La tarjeta lo sabe, el lector no. Cuando coloca un pin en el lector, habla con el microcontrolador de la tarjeta para verificar, lo que también registra los intentos incorrectos. ¡Así que los lectores múltiples no ayudarán a tratar de adivinar el pin de alguien! Eso es más o menos el alcance de mi conocimiento, pero una visión general de cómo funciona. Los protocolos subyacentes no tengo conocimiento de desafortunadamente. Pero los mejores investigadores de chips y pin públicos que he visto hasta la fecha son los chicos de Cambridge ( enlace ) a pesar de Las amenazas legales contra ellos. ¡Una respuesta mejor llegará muy pronto!

    
respondido por el user2867314 01.07.2014 - 16:11
fuente
3

Si su tarjeta de débito tiene un chip EMV (casi todos los chips se basan en EMV en la actualidad), es muy probable que conozca su PIN (o al menos cómo verificar un PIN introducido).

El hecho de que esa capacidad se use realmente depende del tipo de transacción y del terminal; Si el terminal tiene capacidad en línea, también puede verificar el PIN directamente con los servidores de su banco, que también conocen su PIN (o algún valor de verificación derivado). Esto explica el comportamiento en la pregunta referenciada sobre cajeros automáticos; simplemente eligen ignorar las capacidades de verificación de PIN incorporadas en la tarjeta.

Como su lector obviamente no está conectado a nada que no sea su tarjeta, el PIN que ingresa es verificado por el software que se ejecuta en su tarjeta y no por el lector.

El lector suministra la tarjeta con su PIN ingresado. Si coinciden, la transacción puede proceder; si no coinciden, un contador interno en la tarjeta se decrementa y puedes intentarlo de nuevo (pero solo un par de veces más).

    
respondido por el lxgr 02.07.2014 - 13:31
fuente
0

Es probable que el código de 8 dígitos esté matemáticamente relacionado con su pin (es decir, la suma de un determinado hash de ambos llegue a un valor estático predefinido) de modo que el código de 8 dígitos pueda servir como un desafío y una forma de validar su PIN. Una forma posible de obtener más información acerca de la secuencia de Digipass es intentar ingresar códigos de 8 dígitos aleatorios (presumiblemente incorrectos): ¿el código se rechaza inmediatamente o la máquina rechaza su PIN? Para obtener más información sobre sistemas como este, consulte: enlace

    
respondido por el Jeff Meden 01.07.2014 - 16:17
fuente
0

¿Realmente significa "PIN OK"? ¿En el sentido de que ingresaste el PIN correcto? Mi banco usa un sistema similar. Pongo la tarjeta en el lector, ingrese mi PIN. El banco da un código de 8 dígitos que entro en el lector. El lector devuelve un código de 8 dígitos. No es necesario saber si el PIN introducido es correcto para generar este código. Si introduzco el PIN incorrecto, simplemente devolverá otro código, que no será aceptado por el sitio web.

Card-id + PIN + request code => validation code

Cuando cualquiera de las dos está mal, se generará un código incorrecto. Su tarjeta no necesita saber el PIN para que esto funcione. Sin embargo, podría ser diferente.

    
respondido por el SPRBRN 02.07.2014 - 15:26
fuente

Lea otras preguntas en las etiquetas