PIN (cod)

De la Wikipedia, enciclopedia liberă
Jump to navigation Jump to search

PIN, acronim al sintagmei engleze Personal Identification Number (în română Număr Personal de Identificare), este un cod numeric (un număr de lungime 4-12 cifre) cu caracter confidențial, introdus pentru accesarea unui sistem, serviciu, permisiuni, etc., de către un utilizator[1]. În 2006, James Goodfellow, inventatorul PIN-ului a primit un premiu OBE în Lista de Onoare a Zilei de naștere a Reginei.

Un număr personal de identificare este un secret împărțit între un utilizator și un sistem care poate fi utilizat să autentifice utilizatorul în sistem. În mod normal, utilizatorul este rugat să introducă o identificare neconfidențială și un PIN confidențial ca să poată accede la sistem. După ce recunoaște identitatea utilizatorului și citește PIN-ul introdus de acesta, sistemul caută într-o bază de date proprie, PIN-ul aparținând identității utilizatorului și îl compară cu PIN-ul introdus. Dacă acestea două se potrivesc, utilizatorul primește acces în sistem. Dacă cele două nu se potrivesc, atunci accesul este refuzat.

PIN-ul este de obicei un număr format din 4 cifre, între 0000-9999, rezultând astfel 10.000 de numere posibile, astfel că în încercarea de a afla acest număr, ar fi nevoie să se încerce de 9999 de ori pentru a afla PIN-ul corect. Marea majoritate a sistemelor de verificare a PIN-ului, prezintă și un contor de încercări integrat, multe acceptând doar trei incercari; la a treia introducere greșită a unui PIN, sistemul blochează contul și chiar reține media de acces, considerându-se încercare de fraudă. Astfel probabilitatea de ghicire a unui PIN este redusă; de asemenea, metodele de identificare, algoritmii de verificare și generare a PIN-urilor pe care băncile și bancomatele le foloseau în trecut au evoluat foarte mult, totul în vederea creșterii securității accesului la sistemele informatice.

PIN-ul este folosit adesea pentru bancomate, pentru obținerea accesului la un cont; de asemenea pentru realizarea de plăți (așa zisa plată cu cardul), se folosește accesul prin PIN. În ultimul timp, sistemul tradițional de semnare a „creditului” începe să fie înlocuit cu sistemul „Chip and PIN”, unde clientul este rugat să introducă PIN-ul, în loc să semneze. A devenit o prezență obișnuită utilizarea PIN-ului la utilizarea telefoanelor mobile (PIN telefon), sau accesarea rețelei de telefonie/date a unui operator (PIN cartelă).

Cartela SIM[modificare | modificare sursă]

Dacă codul PIN este introdus incorect de trei ori, cartela SIM este blocată până când este introdus corect Codul de deblocare personală (PUC), care oferă zece încercări de acces. Dacă PUC este introdus incorect, cartela SIM este blocată pe timp nelimitat.

Dacă stocați PIN Offset/PVV pe banda magnetică, nu veți putea schimba codul PIN în bancomat, deoarece schimbarea codului PIN va duce la o modificare în offsetul PIN/PVV. Când se stochează în baza de date modificarea codului PIN nu reprezintă o problemă, deoarece în acest caz valorile PIN Offset/PVV vor fi calculate pentru noul cod PIN și introduse în baza de date în locul valorilor anterioare.

Standardul ISO 9564[modificare | modificare sursă]

Standardul ISO 9564 este un standard internațional pentru UDI care definește prevederile de bază pentru utilizarea acestuia.

Principii cheie pentru utilizarea UDI:

  • Criptarea aceluiași PIN cu aceeași cheie, dar pentru alt utilizator nu ar trebui să se obțină același rezultat.
  • Securitatea criptării PIN trebuie să depindă de secretul cheii și nu de secretul algoritmului.
  • PIN-ul trebuie revocat dacă a fost compromis sau amenințat.
  • Codul PIN criptat stocat trebuie să fie protejat de posibila înlocuire.

De asemenea, standardul stabilește câteva caracteristici ale dispozitivului de introducere a codului PIN:

  • Pentru a introduce trebuie să conțină numere de la 0 la 9. De asemenea, ele pot fi afișate litere pentru comoditatea clientului.
  • PIN-ul nu ar trebui să fie afișat sau exprimat de aparat.
  • Securitatea fizică de la o posibilă reconfigurare a operațiunilor.
  • Securitatea de la o posibilă observație din lateral[2].

Siguranță[modificare | modificare sursă]

Pentru IBM 3624, fiecare număr de card corespunde unui singur cod PIN.

În algoritmul VISA PVV, codul PIN este o variabilă aleatorie și nu depinde de numărul cardului. Este ușor de calculat că dacă un PIN este selectat pentru fiecare număr de card conform unei legi echivalente, această valoare PVV corespunde cel puțin două valori PIN cu o probabilitate de 42%. În acest caz, numărul mediu de UDI care corespund unei valori PVV date este de 1,58. Adică, atunci când se utilizează VISA PVV, probabilitatea de a ghici un cod PIN este de 1,58 ori mai mare decât în cazul IBM 3624. Totuși, în sensul volumului necesar de enumerare a posibilelor coduri PIN, acesta rămâne același în ordine.

Conform cerințelor sistemelor internaționale de plată, valoarea codului PIN nu trebuie să fie stocată (nici măcar într-o formă protejată) fie în terminale de serviciu, fie pe gazda emitentului.

Există mai multe posibilități pentru emitent să restaureze un cod PIN în funcție de datele pe care le are.

În cazul stocării PIN Offset / PVV pe o bandă magnetică, este evident că codul PIN al emitentului nu poate fi restabilit. Prin urmare, se recomandă depozitarea pe o bandă magnetică și reduce posibilitatea compromiterii de către personalul băncii.

Atunci când PIN Offset / PVV este stocat în baza de date a băncii, atunci când se utilizează IBM 3624, emitentul calculează cu ușurință codul PIN al cardului. În cazul algoritmului VISA, emitentul poate ridica valoarea PIN a codului PIN, care este stocat în baza de date, căutând 10.000 de valori.

Vulnerabilități[modificare | modificare sursă]

Vezi și[modificare | modificare sursă]

Legături externe[modificare | modificare sursă]

Note[modificare | modificare sursă]