Графический ключ или пин-код, что лучше выбрать?

Содержание:

Верификация

Верификация представляет собой проверку соответствия ПИН-кода и номера карты. Это соответствие не является взаимно однозначным (достаточно вспомнить, что длина ПИН может быть 4 цифры, в то время как количество цифр в номере карты равно 16). Также одному номеру карты могут соответствовать различные значения ПИН-кода. Требование, предъявляемое к соответствию номера карты и ПИН-кода следующее: для произвольного номера карты множество значений ПИН-кода, соответствующего данной карте, должно быть таким, что вероятность угадать этот ПИН была невысокой. Существуют два распространённых метода генерации/верификации ПИН, в основе которых лежит использование алгоритмов IBM 3624 и VISA PIN Algorithms.

IBM 3624-offset

Алгоритм IBM 3624-Offset был создан для первого поколения ATM и таким образом получил широкое распространение.

Особенность метода в том, что даже выключенная ATM была способна произвести верификацию ПИН без необходимости в вычислительной технике и хранилище для управления базами данных записей пользователя. Вместо этого ПИН клиента может генерироваться из номера карты, зашифрованной секретным ключом.

Алгоритм: берётся номер карты (16 цифр) и шифруется с помощью DES. После шифрования все цифры, за исключением первых четырёх выбрасываются. Тем не менее они могут представлять собой значения ‘A’-‘F’, которые неприемлемы для стандартной раскладки ATM. К этим значениям применяется таблица децимилизации. Полученное значение принято называть PIN Natural.

Таблица децимилизации:

0123456789ABCDEF

0123456789012345

Для получения значения ПИН-кода цифры PIN Natural складываются по модулю 10 с соответствующими цифрами величины PIN Offset, которая является произвольной последовательностью 4 цифр. Значение PIN Offset может быть записано на магнитной полосе карты или храниться в базе данных эмитента.

Пример:

Номер карты 4556 2385 7753 2239

Номер карты после шифрования DES 3F7C 2201 00CA 8AB3

Согласно алгоритму оставляем первые четыре цифры 3F7C

Согласно таблице децимилизации получаем Natural PIN 3572

PIN Offset 4344

Итоговый ПИН 7816

Проверка ПИН-кода, введенного держателем карты, осуществляется по PIN Offset и номеру карты. Легко заметить, что значение ПИН полностью определяется номером карты и величиной PIN Offset. Вероятность угадать ПИН с первой попытки 0,0001.

VISA PVV Algorithms

Алгоритм VISA используется многими банковскими системами и применим не только к картам типа VISA.

Данный алгоритм генерирует значение PVV (PIN verification value) на основании TSP(transformed security parameter). PVV аналогично PIN Offset может храниться на магнитной полосе карты или в базе данных эмитента. Пользователь вводит ПИН-код, который шифруется ATM и с данными карты отправляется в процессинг где вычисляется PVV на основе введённого ПИН-кода и происходит сравнение его со значением на магнитной полосе.

Вычисление PVV выполняется по следующему алгоритму:

За основу идёт 64-битная строка TSP, которая представляет собой 16 шестнадцатеричных символов, в которую входят (слева направо):

PAN12 — 12 правых цифр за исключением крайней правой цифры, представляющей собой контрольное число.

Считывается PAN12 слева направо.

PVKI (PIN Verification Key Index) — цифра от 1 до 6 выбирается ключом шифрования

ПИН-код — 4 цифры

Пример:

PAN: 1234 5678 9012 3445
PVKI: 1
PIN: 9090
TSP: 5678901234419090

TSP шифруется алгоритмом 3Des (эффективная длина ключа 112 бит). После шифрования получаем строку длиной 64 бита, что равнозначно 16 шестнадцатеричных символов. Далее формируется PVV:

Шестнадцатеричная строка сканируется слева направо. Десятичные цифры выбираются и записываются в PVV до тех пор, пока не будут найдены 4 цифры.

Если после первого сканирования будут найдены менее четырёх цифр, то при повторном сканировании выбираться будут только шестнадцатеричные цифры, которые конвертируются в десятичные вычитанием 10.

Пример:

Вывод 3DES: 0FAB9CDEFFE7DCBA

PVV: 0975 (0, 9, 7, F=5)

Различие данных алгоритмов заключается в том, что алгоритм IBM является алгоритмом как генерации, так и верификации ПИН-кода, в то время как алгоритм PVV определяет только верификацию.

Стандарт ISO 9564

Стандарт ISO 9564 является международным стандартом ПИН, который определяет основные положения его использования.

Основные принципы использования ПИН:

  • Шифрование того же ПИН тем же ключом, но для другого пользователя не должно давать такой же результат.
  • Безопасность шифрования ПИН должна зависеть от секретности ключа, а не секретности алгоритма.
  • ПИН должен быть аннулирован, если был скомпрометирован или находится под угрозой.
  • Хранящийся зашифрованный ПИН должен быть защищен от возможной подмены.

Также стандарт устанавливает некоторые особенности устройства для ввода ПИН:

  • Для ввода должны содержать цифры от 0 до 9. Также на них могут быть изображены буквы для удобства клиента.
  • ПИН не должен быть отображён на дисплее или озвучен аппаратом.
  • Физическая защищённость от возможной перенастройки операций.
  • Защищённость от возможного наблюдения со стороны.

Приложения для установки пароля

Чтобы задать пароль с помощью приложения, понадобится скачать его из Гугл Плей или другого магазина, а затем инсталлировать на устройство. Рассмотрим наиболее популярные утилиты.

AppLock

Установить пароль на приложение в Samsung A50 поможет AppLock, имеющее богатый функционал. Алгоритм работы:

  1. После первого запуска программа предложит сделать выбор тех утилит, которые нужно будет заблокировать для стороннего доступа. Достаточно будет задать хотя бы один выбор, остальные можно будет внести позже. При повторном запуске, утилита выдаст список рекомендованных программ, которые нужно заблочить.
  2. Задать пин-код или графический ключ. Ввести будет нужно дважды, чтобы программа запомнила данные.
  3. AppLock запросит разрешение на сбор информации об устройстве и возможностях его использования. После согласия, нужно будет подтвердить изменения.

Отметим, что можно установить секретный код сразу на все приложения, которые есть на устройстве. Для этого в верхней строке предусмотрен триггер. Список данных доступен в меню «Заблокировано».

CM Locker

Функционал ПО мало отличается от вышеописанного продукта. Имеет ряд особенностей: русский интерфейс, небольшой вес, возможность заблокировать экран, отправка фотографий на адрес электронной почты пользователя в том случае, если он забыл данные для разблокирования. Инструкция:

  • запустить CM Locker, активировать запрошенное дополнительное разрешение;
  • откроется главный экран с набором функций. Выбрать «Блокировка экрана»;
  • перейти в раздел «Задать пароль». Автоматически будет открыт перечень утилит, которые установлены на конкретном смартфоне или планшете. Нужно будет выбрать нужное или активировать триггер напротив всего перечня;
  • создать ключ или ввести код разблокировки.

Vault

Удобное бесплатное приложение, позволяющее поставить пароль на приложение в Самсунге. Алгоритм:

  • после первого запуска, пользователю необходимо дать разрешение на доступ Vault к данным. Здесь же нужно придумать и указать пароль, который даст возможность доступа к самому приложению. После его ввода, Vault предложит приобрести платную версию, имеющую расширенный функционал. Она перечислит все особенности, преимущества. Для качественной защиты будет достаточно бесплатного варианта;
  • на главном экране тапнуть по иконке «Блокировка»;

программа выведет перечень установленных утилит, которые стоят по умолчанию или скачаны самим владельцем. Вверху отдельно выводятся те продукты, для которых Vault рекомендует режим секретности. Для установки кода доступа установить галочки;

  • выбрать режим секретности: базовый или скрытый. При выборе скрытого режима, при попытке открытия программа будет инсценировать сбой. Чтобы получить возможность ввести пароль, нужно будет нажать и удерживать «ОК»;
  • задать секретный код на открывшейся клавиатуре;
  • дать Vault все разрешения для корректной работы.

Tasker

Это качественная утилита, хотя она не имеет бесплатного распространения. Tasker не только защищает данные, но проводит оптимизацию работы устройства.

Процесс создания защиты в Tasker:

установить приложение, пройти процесс регистрации в нем;

после создания личного профиля, перейти в меню и выбрать задачу. Будет предложен список установленного на смартфоне, необходимо выбрать те приложения, которые нужно защитить;

тапнув по нужной иконке, пользователь увидит окно, в котором понадобится активировать ползунок и задать команду «Блок» напротив названия;

перейти на главный экран, выбрать иконку «Экран», затем перейти «Блокировать». Здесь же задать секретный код доступа.

Защитить информацию на смартфоне Самсунг можно как с помощью встроенных интструментов, так и сторонних приложений. Они могут распространяться на возмездной и бесплатной основе. Для простой защиты будет достаточно базового функционала. Платные утилиты предлагают расширенные возможности. Например, оптимизация и улучшение работы устройства. Но они больше подойдут опытным пользователям.

1st 2 Digits of PINcode, Postal Circle :

  • 11 — Delhi
  • 12 — 13 Haryana
  • 14 — 16 Punjab
  • 17 — Himachal Pradesh
  • 18 — 19 Jammu & Kashmir
  • 20 — 28 Uttar Pradesh
  • 30 — 34 Rajasthan
  • 36 — 39 Gujarat
  • 0 — 44 Maharashtra
  • 45 — 48 Madhya Pradesh
  • 49 — Chhattisgarh
  • 50 — 53 Andhra Pradesh
  • 50 — 53 TELANGANA
  • 56 — 59 Karnataka
  • 60 — 64 Tamil Nadu
  • 67 — 69 Kerala
  • 682- Lakshadweep
  • 70 — 74 West Bengal
  • 744- Andaman & Nicobar
  • 75 — 77 Orissa
  • 78 — Assam
  • 79 — Arunachal Pradesh
  • 79 — Manipur
  • 79 — Meghalaya
  • 79 — Mizoram
  • 79 — Nagaland
  • 79 — Tripura
  • 80 — 85 Bihar
  • 80 — 83, 92 Jharkhand

What is Pin (Postal Index Number)

While sending a letter or a parcel via the Indian postal system or by courier, do you wonder if it will safely reach its destination? The chances of your letter reaching its intended recipient are increased every time you remember to include the PIN Code of the destination.

India is such a vast country with so many cities, towns and villages that finding the right place or person can be a real challenge for the Indian Postal Service (and for courier services). In order to make the process of delivering letters and parcels more efficient, the Indian Postal service introduced the 6 digit Postal Index Number (PIN) Code on 15 August 1972.

The Indian Postal Service has designated 9 specific PIN regions across the country, out of which 8 are geographical regions and the 9th is reserved for the Indian Army.

Structure of Pin Code (Postal Index Number)

Each digit in the 6-digit number has a specific meaning. The first digit designates which is the overall geographical region, and the first 2 digits designate the postal circle or sub-region. The third digit designates the sorting district. Thus, the first 3 digits collectively designate the postal district while the last 3 digits indicate the specific post office within the district.

Here’s an example of decoding your pin code. The pin code of Central Delhi is 110001.

  • The first digit indicates: northern region = 1

  • The first 2 digits indicate: postal circle Delhi = 11

  • The third digit indicates: sorting district = 0

  • The last 3 digits indicate: the specific post office (Connaught Place) = 001

  • Thus the 6-digit Pincode for Connaught Place in Central Delhi = 110001

Buy India Maps Online

India Railway Map
Rs.999.00

Indian Railway Zonal Map
Rs.999.00

Indian Railway Electrification Map
Rs.999.00

Uttar Pradesh Railway Map
Rs.1499.00

Графический ключ — хорошо, но не достаточно для безопасности

Графические ключи появились достаточно давно и зарекомендовали себя среди множества пользователей. Однако, более подробное исследование этого метода показало, что надежность способа можно сравнить с самыми очевидными паролями: «123456», «password», «qwerty» и т.д. То есть графический ключ не обладает достаточно хорошей степень защиты для Вашего мобильного устройства.

С чем это связано? Здесь играет свою роль человеческое восприятие. Мозгу человека гораздо проще запомнить рисунок или движение руки, нежели набор цифр. Таким образом человеку, который случайно или специально увидит, как Вы проводите пальцем по экрану с расстояния всего в несколько метров, будет в разы легче его повторить, нежели подобрать пароль.

Более того, люди предсказуемы и у хакеров есть свои базы наиболее распространенных паролей и комбинаций блокировки экрана. Ко всему этому, не каждое устройство имеет олеофобное покрытие экрана (пленка, отталкивающая жиры от телефона), что позволяет любому посмотревшему на экран увидеть следы пальца, а впоследствии методом подбора подобрать подлинную комбинацию.

Графический ключ — это лучше, чем ничего, поэтому применяя его не забывайте, что:

  • Комбинация графического ключа должна содержать не только прямые линии, но так же иметь хотя бы одно, а лучше несколько пересечений, тем самым задача для злоумышленников будет в разы сложнее;
  • Используйте более длинную комбинацию, что также повысит уровень защищенности;
  • При возможности, отключите отображение линий при вводе графического ключа.

И если, возможно, Ваш графический ключ совпадает с одним из тех, что на фотографии ниже — стоит его изменить.

Что произойдет в случае кражи ноутбука или телефона?What if someone steals the laptop or phone?

Для нарушения безопасности учетных данных Windows Hello, которые защищает доверенный платформенный модуль, злоумышленник должен получить доступ к физическому устройству, а затем найти способ подмены учетной записи пользователя или ее PIN-кода, и все это должно быть выполнено до того, как защита устройства будет заблокирована с помощью защиты от обобщения .To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before protection locks the device.
Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.You can provide additional protection for laptops that don’t have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Настройка BitLocker без TPMConfigure BitLocker without TPM

  1. С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запускеComputer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

  2. В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

  3. Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect.
    Установка порога блокировки учетной записиSet account lockout threshold

  4. С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записиComputer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

  5. Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК».Set the number of invalid logon attempts to allow, and then click OK.

История происхождения ПИН-кода

PIN-код возник с введением банкомата. В Лондоне, в одном из отделений банка Barclays, 27 июня 1967 года, был установлен первый банкомат создателем которого являлся шотландец Джон Эдриан Шепард-Баррон.

Для того чтобы получить денежные средства в банкомате, требовалось заранее приобрести чек и вложить его в специально-предусмотренный слот машины. Каждый чек содержал на себе слаборадиоактивные метки выполненные с помощью изотопа С14, что считалось безопасным для клиентов.

У каждого обладателя такого чека был четырехзначный код (аналог современного ПИН-кода), который необходимо было вводить на устройстве и тем самым он служил для подтверждения личности человека.

Стоит отметить, что первоночально, изобретатель, собиралсся использовать шестизначный PIN-код, но его супруга не поддержала эту идею (она утверждала, что четыре цифры — это максимум, что способен запомнить человек). Джон прислушивался к мнению супруги, поэтому согласился.

Таким образом, созданный шотландским изобретателем аппарат распознавал метку на чеке, фиксировал персональный идентификационный номер (ПИН) вводимый человеком и сопоставлял информацию. В случае совпадения банкомат выдавал наличные денежные средства — максимум 10 фунтов стерлингов. К сожалению, нигде не отмечается, как реагировало устройство, если информация не совпадала (т.е. если бы метка и ПИН отличались).

Несмотря на то что Джон Эдриан Шепард–Баррон создал первое в мире устройство способное выдавать деньги в автоматическом режиме, он ничего не заработал на своем революционном открытиию Его изобретение не было запантентованым, т.к. он считал, что это откроет публике (среди которой присутствуют и злоумышленники) банковские секреты.

Как узнать пин-код от сим-карты

Узнать пин-код можно несколькими способами, и, как правило, они не отличаются в зависимости от того, услугами какого оператора вы пользуетесь. Все они пытаются предложить пользователям максимально удобные, но безопасные способы восстановления ПИН кода.

Найти упаковку от симки

Самый простой и универсальный способ узнать ПИН код – сохранить пластиковую карту, которую вам выдают при покупке сим карты. На ней указываются все данные о карте – номер, PIN и PUK коды.

Поэтому не спешите избавиться от упаковки, и сохраните ее. Или же еще вариант – переписать данные в другое место и спрятать в надежном месте.

Позвонить в службу поддержки

Многие операторы предлагают пользователям обратиться в службу поддержки, в которой менеджер поможет восстановить утерянные данные пинкода.

Для этого нужно обратиться по номеру телефона, в зависимости от того, каким оператором вы пользуетесь.

Оператор Номер службы поддержки
МТС 8 800 250 0890
Билайн 8 800 700 0611
Теле 2 8 495 97 97 611
Мегафон 8 800 333 05 00

Учтите, что оператор будет уточнять ваши данные, а именно: номер телефона, для которого требуется восстановление кода, фамилию, имя и отчество владельца номера телефона, или кодовое слово (если таковое имеется). Если номер оформлен на юридическое лицо и принадлежит компании, то потребуется номер ИНН.

Если нет возможности позвонить, можно обратиться к менеджеру через личный кабинет. Там пользователям доступны онлайн-чаты тех поддержки. Попасть туда можно через официальные сайты провайдеров или мобильные приложения.

Обратиться в офис провайдера

Помощь в восстановлении кода могут оказать в ближайшем салоне связи. Менеджер попросит вас документ, который поможет идентифицировать вашу личность, и лучше, если это будет паспорт.

Стоит учесть, что если вы не являетесь владельцем договора, т.е. номер оформлен не на вас, то восстановить код каким-либо образом не получится.

Перевыпустить сим-карту

Если же вы превысили лимит попыток ввода пароля, то в этом случае остается только перевыпустить сим-карту. К сожалению, заблокированную симку уже не разблокировать, а вот получить новую – вполне реально.

Для этого нужно просто посетить ближайший салон оператора. Попросите восстановить номер, и предъявите свои данные продавцу. В течение 10 минут ваша карта будет готова. В этот раз сохраните PIN и PUK коды, чтобы в следующий раз не возникло проблем.

Где и для чего используется ПИН?

Существует много способов реализации пин кода, но наиболее распространенным является их привязка к конкретному физическому ресурсу, например, к компьютеру, банковской карте, телефону или аккаунту. В современном мире PIN применяется:

При использовании банковских карт (кредитных или дебетовых), что позволяет:

  • снимать денежные средств в банкомате (в гривнах, рублях, долларах, евро и любой другой валюте);
  • размещать деньги на счет и погашать задолженность;
  • переводить средств на другие карты, других банков;
  • просматривать баланс по карте;
  • изменять ПИН;
  • подключать и восстанавливать доступ в интернет-банк;
  • оплачивать услуги оператора сотовой связи;
  • оплачивать коммунальные услугу;
  • совершать покупки в магазинах имеющих терминал;
  • совершать другие операции.

В мобильных телефонах и приложениях, что дает возможность:

  • получать доступ к телефону (смартфону, планшету);
  • просматривать информацию внутри мобильного устройства (фотографии, контакты, заметки, программы);
  • копировать, добавлять, изменять, удалять информацию, и данные;
  • совершать звонки и отправлять текстовые сообщения;
  • совершать действия внутри приложений;
  • и многое другое.

В SIM-картах, на которые возлагаются функции:

  • совершать телефонные звонки;
  • отправлять SMS и MMS уведомления;
  • иметь доступ к записной книжке (т.е. к списку контактов);
  • копировать, модифицировать, записывать и уничтожать информацию.

При использовании двухфакторной аутентификации:

  • для управления конфиденциальностью информации;
  • предотвращения несанкционированного доступа;
  • оповещения о тех или иных действиях (регистрации на каком-либо ресурсе или программе, изменение данных, подтверждения транзакции, заказа или какой-либо другой операции и т.д.).

В системе контроля и управления доступом (СКУД), что осуществляет:

  • разграничения доступа на охраняемой территории;
  • идентификацию людей;
  • учет рабочего времени;
  • введение базы персонала и т.д.

  • получать различного рода привилегии (VIP-статус, дополнительный опыт, уникальные возможности и т.д.);
  • иметь более мощное оружие, уникальные предметы и внутреннюю валюту в играх;
  • экономить денежные средства;
  • ощущать свою значимость и превосходство перед рядовыми пользователями.

У некоторых из нас первая встреча с PIN произошла, когда мы впервые использовали банковскую карту. У других — это было, когда купили первый телефон, с возможностью блокировки экрана через. Или, когда купили первую SIM-карту. PIN обеспечивает дополнительный уровень проверки того, что владелец является законным и у него есть полное право использовать тот или иной ресурс.

У некоторых людей возникают вопрос, что делать если забыт ПИН код карты, как восставовить PIN при утере или при блокировке SIM-карты, как разблокировать телефон если персональный идентификационный код не удается вспомнить и, как его снять? А некоторых просто интересуют ПИН-коды варфейс. Давайте рассмотрим некоторые из этих вопросов подробнее.

• Как добавить пин-код к товару:

Перейдите на страницу «Управление пин-кодами к товару», нажав на кнопку «Пин-коды к товару», расположенную справа в верхней части страницы редактирования информации по интересующему Вас товару или услуге.

В поле «Добавление пин-кодов» введите пин-коды, размещая каждый пин-код на новой строке и нажмите кнопку «Добавить»

Важно! Система поддерживает массовое добавление пин-кодов в систему, т.е. Вы можете загрузить сразу несколько пин-кодов, размещая каждый из них на новой строке поля «Добавление пин-кодов»

После того, как все необходимые серийные номера, коды активации, pin-коды, ключи доступа и т.д. добавлены, нажмите на кнопку «Назад», для добавления регулярного выражения отвечающего за подстановку ключа в письмо отправляемое вашим клиентам после оплаты.

На странице изменения информации по товару, в поле «Дополнительные материалы, отправляемые после оплаты товара или услуги» добавьте регулярное выражение {goods_pin_code} отвечающее за подстановку добавленных вами серийных номеров, кодов активации, пин-кодов, ключей доступа. Важно! Регулярное выражение {goods_pin_code} будет обрабатываться только в том случае, если в поле «Письмо отправляемое после оплаты товара или услуги» используется регулярное выражение {table_goods}.

После того как все необходимые изменения сделаны, нажмите кнопку «Сохранить». Теперь все клиенты, которые закажут и оплатят данный товар, будут получать в письме после оплаты оплаченное ими количество уникальных серийных номеров, кодов активации, pin-кодов, ключей доступа. Сервис АвтоВебОфис будет сам отслеживать, какой серийный номер уже был продан, а какой еще свободен (не использован) и доступен к продаже.

Вы можете просматривать данные по активным и уже проданным пин-кодам и удалять лишние пин-коды в поле «Список кодов», если со страницы редактирования товара вернетесь на страницу «Управление пин-кодами к товару», нажав на кнопку «Пин-коды» . Если пин-код уже продан, то Вы можете перейти на страницу просмотра информации по оплаченному заказу, к которому был привязан данный пин-код.

Ниже находятся фильтры для удобства поиска информации. В поле «Статус» из выпадающего списка Вы можете выбрать «Активен» или «Продан» и нажать кнопку «Поиск» и система выдаст в поле «Список кодов» только пин-коды с выбранным статусом. Также можно произвести поиск по номеру пин-кода, номеру счета и/или E-mail клиента.

ПИН-код — то, что следует выбрать

Пин-код существует уже крайне длительный период времени. Он был актуальны еще в период кнопочных телефонов, он остается актуальным и в нынешнее время сенсорных устройств. PIN-код обладает более надежным уровнем защиты по сравнению с графическим ключом. Для случайного наблюдателя или потенциального злоумышленника его сложнее запомнить, опять-таки, вследствие восприятия человека.

При всем этом, при выборе PIN-кода также не следует расслабляться и отдавать предпочтение дате Вашего рождения. Пароль должен быть уникальным и никак не связанный с памятными для Вас датами, числами, цифрами. И следует учитывать, что здесь также, как и в предыдущем случае, актуальна проблема для экранов без специального покрытия. Поэтому, и в первом, и во втором случае протереть экран после ввода пароля будет не лишним.

Structure of Pin Code (Postal Index Number)

Each digit in the 6-digit number has a specific meaning. The first digit designates which is the overall geographical region, and the first 2 digits designate the postal circle or sub-region. The third digit designates the sorting district. Thus, the first 3 digits collectively designate the postal district while the last 3 digits indicate the specific post office within the district.

Here’s an example of decoding your pin code. The pin code of Central Delhi is 110001.

  • The first digit indicates: northern region = 1

  • The first 2 digits indicate: postal circle Delhi = 11

  • The third digit indicates: sorting district = 0

  • The last 3 digits indicate: the specific post office (Connaught Place) = 001

  • Thus the 6-digit Pincode for Connaught Place in Central Delhi = 110001

Безопасность

При IBM 3624 каждому номеру карты соответствует единственное значение ПИН.

При алгоритме VISA PVV PIN является случайной величиной и от номера карты не зависит. Нетрудно вычислить, что в случае выбора ПИН для каждого номера карты по равновероятному закону, данному значению PVV соответствует не менее двух значений ПИН с вероятносью 42 %. При этом среднее количество ПИН, соответствующих данному значению PVV, равно 1,58. То есть при использовании VISA PVV вероятность угадать ПИН-код в 1,58 раза выше, чем в случае IBM 3624. Однако в смысле необходимого объёма перебора возможных ПИН по порядку остаётся тем же. 

Согласно требованиям международных платёжных систем, значение ПИН-кода не должно храниться (даже в защищённом виде) ни в терминалах обслуживания, ни на хостинге эмитента.

Существует несколько возможностей восстановления ПИН-кода эмитентом по имеющимся у него данным.

В случае хранения PIN Offset/PVV на магнитной полосе, очевидно, восстановить ПИН-код у эмитента не получится. Поэтому хранение на магнитной полосе является рекомендуемым и уменьшает возможность компрометации со стороны персонала банка.

При хранении PIN Offset/PVV в базе данных банка при использовании IBM 3624 эмитент без труда вычисляет ПИН-код карты. В случае алгоритма VISA эмитент может подобрать соответствующее хранящемуся в базе данных значению PVV значение ПИН-кода перебором 10 000 значений.

Уязвимости

В 2002 году студенты Кембриджского университета открыли decimalization table attack.

ПИН-код для банковских карт генерируется путём шифрования номера карты. Зашифрованный номер представляет шестнадцатеричное значение и берутся первые четыре цифры. Таблица децимилизации используется для конвертации этого значения в десятичный вид путём перевода A в 0, B в 1 и т. д. Эти таблицы не считаются конфиденциальными аппаратными модулями и могут быть предоставлены вместе с номером карты. Манипулируя содержимым таблицы, становится возможным узнать больше о значении ПИН-кода, чем исключением отдельных комбинаций. Например, если используется таблица

0123456789ABCDEF

0000000100000000,

соответствие с ПИН-кодом 0000 подтвердит, что ПИН не содержит цифру 7, что исключает более 10 % от всех возможных комбинаций. Среднее значение попыток, необходимых для угадывания ПИН-кода, — 15.

Как поступить, если вы забыли ПИН-код

Если ПИН-код совершенно вылетел у вас из головы – главное не паниковать. Банкомат предоставит вам всего три попытки для его ввода. После их использования банкомат заблокирует карту и не вернет ее вам назад.

Если после двух попыток вы не вспомнили ПИН-код, лучше сразу вернуть карту. Затем найдите дома конверт с кодом, полученный в банке. Если утерян и конверт, или же вы сами поменяли код, но не можете его вспомнить – восстановить ПИН не получится. Нужно будет заказывать в банке замену карты.

Услуга перевыпуска карты – платная, стоит обычно 300–600 руб. Процесс может занять от недели и больше. После получения новой карты вам автоматически будет доступен весь остаток средств со старой.

Откуда берут стандартный PIN

Когда мы покупаем роутер, в нем уже содержится полученный специальным алгоритмом WPS PIN для первичного подключения к маршрутизатору через WPS. WPS PIN состоит из восьми цифр. Как производители его получают? Очевидно, что необходимо нечто уникальное для идентификации и генерации различных значений. Правильно — это MAC устройства, который мы можем получить из широковещательного BSSID.

INFO

BSSID (Basic Service Set Identifier) — уникальный идентификатор беспроводной сети. Зачастую BSSID совпадает с адресом устройства Ethernet MAC.

Генерация WPS PIN на примере

Как ты уже понял, все начинается с BSSID. Подключаем к сети нашу сексуальную точку доступа.

Наш роутер с элементами легкой эротики

Анализируем любым удобным способом (например, Dumpper).

Dumpper внятным языком рассказывает нам о близлежащих беспроводных сетях

BSSID получен: .

Настало время приключений: открываем браузер и начинаем бороздить различные (в том числе зарубежные) сайты и форумы, чтобы узнать, как работают алгоритмы генерации ПИН-кодов у конкретного производителя сетевого оборудования. Если же лень сильнее интереса, то всегда можно «выдернуть» эти функции из сторонних программных продуктов с открытым исходным кодом.

Предположим, мы нашли, что большинство стареньких роутеров этого вендора используют алгоритм генерации ПИН-кода из последних трех октетов MAC-адреса устройства: .

Вот реализация этого алгоритма на Python.

Результатом работы скрипта будет ПИН-код . Проверим его достоверность.

Полученный WPS PIN идентичен стандартному (заводскому) 

Подготовка и требования

Приступим. При разработке собственной утилиты для тестирования беспроводных точек доступа нам потребуется:

  • Windows 7 и выше;
  • Python 3 и выше;
  • удобная IDE;
  • любимый браузер;
  • личный маршрутизатор Wi-Fi с технологией WPS «для пыток»;
  • WpsWin (входит в состав того самого Dumpper);
  • IDA и Hex-Rays Tool.

Сразу, забегая вперед, скажу, что запускать готовый скрипт нужно будет с правами администратора. Можно с этим либо согласиться и перейти непосредственно к разработке, либо читать дальше.

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Где взять банковский ПИН?

Раньше система была устроена таким образом, что при выпуске банковской карты человеку предоставляли конверт, где был напечатан случайно сгенерированный персональный идентификационный номер, который давал возможность пользоваться картой и совершать необходимые операции.

Сейчас не имеет значения в каком банке Вы обслуживаетесь: ВТБ24, Сбербанк, ПриватБанк, Альфа-банк, Тинькофф, ЮниКредит и т.д. С развитием мобильных технологий предыдущая процедура получения ПИН-кода «канула в Лету» (не у всех, но в большинстве случае). Теперь при оформлении новой банковской карты дебетовой или кредитной, Platinum, Gold или самой обыкновенной для выплат, четырехзначный идентификационный номер (PIN), который также генерируется случайным образом, присылается на мобильный номер клиента, в виде SMS-сообщения или Push-уведомления в интернет-банке.

Наличие PIN дает Вам возможность управлять собственным банковским счет через банковскую карту, которая по своей сути является ключем доступа. Стоит отметить, что ПИН — это конфиденциальная информация и сообщать его никому нельзя: сотрудникам банка, друзьям, родственникам, случайным людям — никто не должен его знать, кроме Вас.

В будущем, вероятнее всего, идентификационный код уйдет в небытие, т.к. сейчас весьма актуальным и перспективным направлением является бесконтактная оплата, где уже не требуется постоянно вводить ПИН отпадает — достаточно лишь поднести устройство или карту к терминалу.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector