23 октября, вторник 09:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сити банк и ПИН

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сити банк и ПИН

    Привет.
    Стал я тут держателем вышеуказанного банка и узнал, что ПИН код для КАРТЫ можно назначать самому держателю по телефону(!). Вопрос (особенно к процессингу Citi): в моем понимании Вы тогда PVV не меняете на полосе (если да, то как - например, я ведь могу и не ходить в Ваши банкоматы). Посему, делается вывод, что Вы просто PVV держите у себя в БД. Т.е. таким образом, Вы у СЕБЯ в банке держите ПИН клиента (!), ну, пусть хоть и зашифрованный. Но зная PVK (а Вы ведь карты персонализируете), то восстановить ПИН элементарно и при нахождениии в БД PVV риск ой-ей-ей... Да, и по правилам, Вы не должны хранить ПИН... А как тогда решается проблема стипа?
    P.S. Извините, если тема появлялась, но комментариев ситибанковцев не видел

  • #2
    Скорее всего используется один из методов проверки пина при помощи PIN Offset (например IBM Method). Смысл его в том, что некое значение offset (до 12 знаков) генерируется HSM-ом на основании PIN-а и затем хранится в базе. Алгоритм таков, что сгенерировать PIN, зная offset невозможно, однако невозможно также проверить PIN, не зная offset. Моё мнение - да, такой способ опасен тем, что имея доступ к HSM-модулю, сотрудник процессинга потратит от силы час на подбор PIN-а (перебор значений, зная offset), кстати PIN у них не 6-значный случаем? Однако такой способ имеет место быть, и он получил весьма широкое распространение на западе.

    Комментарий


    • #3
      someone20032003
      Бред говорите!
      PVV в любом случае у банка есть, и не особо секретен он. Без него PIN не проверишь.
      Есть F(PIN,...)=PVV, но нет F(PPV,...)=PIN.
      А по остальному читайте пост выше, хотя и странно это.
      Verba volant, scripta manent.

      Комментарий


      • #4
        Artem K не-а не в любом у нас нету, например - вторые треки не храним, требования РАМП блюдём Кстати говоря, PVV и offset по сути аналогичны, только PVV - это Visa Pin verification value, а у визы насколько я помню жёсткое требование - PVV хранить только на дороге, но не в базе (эт в случае проверки ПИНа using the VISA Method). Поправьте, ежели я не прав

        Комментарий


        • #5
          Artem K
          Извините, но это Вы бред говорите.
          В НОРМАЛЬНОЙ системе авторизации PVV при прохождении транзакции берется с трека, но дальше нигде не хранится! ЭТО ТРЕБОВАНИЕ системы безопасности. PVV в НОРМАЛЬНОМ банке НЕ хранится. ПОСТРОИВ все 10000 вариантов PVV для всех ПИН, Вы ЛЕГКО находите ПИН(ы) подходящие под этот PVV. Храня PVV в БД Вы СУЩЕСТВЕННО повышаете риск совершения мошенничества со стороны банковских служащих. Не разбираетесь досконально в технологии - не посьте (тем более в такой форме).
          Алексеич Согласен, разницы нет (см. выше)

          Комментарий


          • #6
            someone20032003
            В НОРМАЛЬНОЙ системе авторизации PVV при прохождении транзакции берется с трека, но дальше нигде не хранится!
            Насколько я знаю, как раз при смене ПИНа новый PVV хранится в Exception file, иначе старый PVV не будет соответсвовать новому ПИНу.

            Комментарий


            • #7
              someone20032003
              ПОСТРОИВ все 10000 вариантов PVV для всех ПИН, Вы ЛЕГКО находите ПИН(ы) подходящие под этот PVV.
              Ага, но только для одного PANa.

              Комментарий


              • #8
                2 Алексеич
                Моё мнение - да, такой способ опасен тем, что имея доступ к HSM-модулю, сотрудник процессинга потратит от силы час на подбор PIN-а
                Для этого существуют методы защиты оборудования и криптограмм. Какие - не скажу, т.к. социальная инженерия рулит.

                Комментарий


                • #9
                  someone20032003
                  Не разбираетесь досконально в технологии - не посьте
                  Недостаточно знать один вариант технологии.

                  // в качестве заметки на полях.

                  Комментарий


                  • #10
                    Недостаточно знать один вариант технологии.

                    Ну вообще-то смена ПИНа не такая уж редкая операция, очень многие банки предоставляют такую возможность и не думаю, что они что-то там нарушают.

                    Комментарий


                    • #11
                      MaxUA
                      Перебор всех PVV для одной карты занимает 2 минуты.
                      Andy_I Я говорю про ПАН моей личной карты, на остальные мне наплевать. А про скорость воровства - 1 карта (с треком и ПИНом) за 2 минуты (спокойно у себя дома, а не в банке). Доступ к HSM надо иметь ровно на 30 сек., ровно столько, сколько занимает времени, чтобы импортировать PVK во внешний мир
                      MaxUA Вопрос в этом не стоит. Вопрос в том, почему меня, как КЛИЕНТА не уведомляют, что мой ПИН хранится в банке (наоборот пишут, что он известен только мне - скажу, как эксперт - ВРАНЬЕ!). Мне глубоко наплевать, как у них построена ВНУТРИ банка система разделения доступа, не в этом вопрос.
                      Ema К сожалению технология определяется МПС (как и ее варианты), а более того, Citi ее нарушает. Точка.
                      2All:
                      В НОРМАЛЬНЫХ банках, смена ПИНа ПО МАГНИТУ без прихода в офис и сдачи карты на переперсонализацию НЕВОЗМОЖНА. Читайте документацию.

                      Комментарий


                      • #12
                        someone20032003
                        РVV открыто и доступно гуляет, не имеет занчения откуда взят он. Их одной таблицы или из другой. Хранить его статически или нет, это не так и принципиально. Соглашусь, только что хранить его практически безсмысленно. Да это может быть опасно из за возможности массового утекания базы на сторону. А вот для нелояльного сотрудника отсутствие такого хранилища не проблема. Он и так при авторизации прибежит. Но при этом нужен доступ к HSM.
                        А вот теперь скажите мне, как (даже знаяя PVV) банк сменит PIN не поменяв PVV на кате? Если разговор идет об алгоритме PVV-PIN-PVK. Откуда такое сообщение Посему, делается вывод, что Вы просто PVV держите у себя в БД Чем бы это помогло Ситибанку?
                        Verba volant, scripta manent.

                        Комментарий


                        • #13
                          Artem K
                          Зная поле БД с PVV недобросовестный сотрудник банка (или еще кто - кто знает, может возможно получить доступ к ящику и извне?-мне это не известно) может ПРОСТО получить ВСЕ ПИН коды для своих держателей. Отсутствие такого хранилища ЗНАЧИТЕЛЬНО уменьшит риск совершения мошенничества (ему просто необходимо будет их собирать). Это раз. И два - а как у них организована авторизация на стипе - они что это поле (с pvv) туда отдают? Но, видимо, не отдают, поэтому процессинг часть в дауне, особенно по утрам и вечерам
                          Вопрос2: при авторизации PVV с карты просто НЕ используется.
                          Присутствие бомбы (даже за 10 замками) увеличивает риск. Это мое мнение риск аналитика.
                          Причем использование такого "удобства" (смена ПИНа по телефону) совсем не оправданное-еще, кстати, надо посмотреть, как у них этот гейт сделан (доступ к БД через телефон)...
                          Воомщем, мое мнение (пусть хоть и личное) - это, господа, совсем не рулез.

                          "А вот теперь скажите мне, как (даже знаяя PVV) банк сменит PIN не поменяв PVV на кате?"
                          Скажу: НИКАК. И не нужно. Не надо быть жадным, а то можно попасть

                          Комментарий


                          • #14
                            Нет принимая в условие что Сити использует PVV все это звучит очень странно. А если юзают PIN Offset то чтож такого, его пока никто не отменял. Хоть это и вчерашний день.
                            Verba volant, scripta manent.

                            Комментарий


                            • #15
                              someone20032003
                              И два - а как у них организована авторизация на стипе - они что это поле (с pvv) туда отдают?
                              Я же написал выше, конечно передают в exeption file, иначе вы деньги ни в одном банкомате не снимете.

                              Причем использование такого "удобства" (смена ПИНа по телефону) совсем не оправданное-еще, кстати, надо посмотреть, как у них этот гейт сделан (доступ к БД через телефон)...
                              Согласен, что телефон менее секьюрно чем банкомат, зато гораздо удобнее, можно ПИН менять после каждого снятия наличных, помогает если ваш ПИН подглядели (через камеру ли, через плечо ли)...
                              Тоже самое касается процессинга - меняйте ПИН через каждый час. Пока народ сделает копию, пока добежит до банкомата, а тут, упс-с, ПИН-то уже другой.

                              И что Вы так ополчились на эту услугу? По-моему рулез...

                              Комментарий


                              • #16
                                2 someone20032003
                                Т.е. таким образом, Вы у СЕБЯ в банке держите ПИН клиента (!), ну, пусть хоть и зашифрованный.
                                Тут понятие философское. Если не будет существовать в банке информация про ПИН (как Вы пишите ну, пусть хоть и зашифрованный), то и проверить его будет нельзя.

                                Комментарий


                                • #17
                                  MaxUA
                                  Информация про ПИН должна быть в банке, очевидно, чтобы можно было проверить ПИН. Только туда приходить, а не храниться. Разницу чувствуете? Я ополчился не на услугу (с точки зрения удобств - это здорово), но в суде, как эксперт, я буду вынужден стоять на стороне кардера, т.к. банк обманывает клиента, говоря ему, что только он ХРАНИТ свой ПИН (и отвечает за его конфеденциальность). Вопрос составления договора на обслуживание.
                                  Понятие "exeption file" - это вообще не здорово, когда вся технология построена на "exeption"
                                  Andy_I Зачем менять ПИН если его подглядели? (а полосу откуда они возмут?)

                                  Комментарий


                                  • #18
                                    someone20032003
                                    (а полосу откуда они возмут?)
                                    "Они" многое умеют...

                                    А ПИН в открытую нигде не хранится - только в ПИН-конверте и все.

                                    Комментарий


                                    • #19
                                      someone20032003
                                      Зачем менять ПИН если его подглядели? (а полосу откуда они возмут?)
                                      Так вот если есть подозрения что тебя скиманули тут и поможет смена ПИН. Чтобы себя любиого не осталять без услуги, до банка то могут быть тысячи километров. А как только до банка доберешься, то и все по людски можно сделать, без эксепшн файла.
                                      Verba volant, scripta manent.

                                      Комментарий


                                      • #20
                                        someone20032003
                                        Доступ к HSM надо иметь ровно на 30 сек., ровно столько, сколько занимает времени, чтобы импортировать PVK во внешний мир

                                        Весело. Ага.
                                        Сами пробовали по процедуре?
                                        Или на глазок так.

                                        Комментарий


                                        • #21
                                          Ema
                                          Не только пробывал, а софтину к ниму писал Особенно, если уже в кармане есть приготовленный ZMK Говорю, как эсперт (без глазков) - 30 сек. (если и с генерацией ZMK, то 1 мин.). Чего время то тянуть ?

                                          Комментарий


                                          • #22
                                            someone20032003
                                            А у вас HSM в сортире чтоли стоит?
                                            Под видеонаблюдением уборщицы.
                                            И карточки все в ящике стола.
                                            И в режиме нужном.

                                            Комментарий


                                            • #23
                                              Artem K
                                              Против скиминга есть служба алерта и мониторинга. Бороться против сего явления не задача КЛИЕНТА, а СБ банка. Не надо меня нагружать, как клиента, задачками. Если меня скиманули, то я это замечу по системе мониторинга опреций и сразу заблокирую карту (позвонив в службу алерта), а не буду ПИН менять и думать, "а сделают еще покупку в ПОСе по моей карте или нет...". Я - КЛИЕНТ, а не СБ. Функция реагирования (менять ПИН, блокировать, перевыпускать, ловить и т.п.)-это СБ банка!

                                              Комментарий


                                              • #24
                                                Ema
                                                У меня все в шоколаде, но почему я должен быть уверен про Ваши предложения в отношении к Citi? Извините, я к ним в сортир не заглядывал Здесь стоит вопрос ответственности за возможное мошенничество (и со стороны Citi, возможное из-за особенностей РЕАЛИЗАЦИИ технологии). Вопросы разграничения доступа - я уже писал, см. выше. Вы отвлекаетесь от темы.

                                                Комментарий


                                                • #25
                                                  someone20032003
                                                  Я никаких предположений не высказывал.
                                                  Шоколадность Сити Вам неизвестна, и это не повод ставить под сомнение надежность и безопасность его технологии, тем более в обвинительном тоне.

                                                  И конце концов разговор то больше не о Сити, а именно о технологии.

                                                  Комментарий


                                                  • #26
                                                    Ema
                                                    [QUOTE]И конце концов разговор то больше не о Сити, а именно о технологии.
                                                    Во-во, наконец-то Вы задали верное направление. Я ПИНы клиентов у себя не храню, в отличии от некоторых. И поэтому смело пишу об этом в договоре, опять таки, в отличии от некоторых, а не обманываю клиентов
                                                    Не хочу ставить под сомнение надежность технологии. Просто если повышают риск, меня, как КЛИЕНТА, не извещают - это не здорово. Вот если бы сказали:
                                                    "Уважаемый клиент, мы храним Ваш ПИН код не в сортире, наблюдает за ним уборщица с 2 высш. образованиями 10 камерами, поэтому у нас все в шоколаде" - и я бы подписал такой клиентский договор - это было бы здорово! А фраза, что только мне известен ПИН код, мне лично не нравится, т.к. не соответствует истине. Вот в чем и претензия. (технология обслуживает бизнес, а не наоборот

                                                    Комментарий


                                                    • #27
                                                      someone20032003
                                                      в отличии от некоторых

                                                      Замысел без умысла суть вымысел. (с)

                                                      Комментарий

                                                      Пользователи, просматривающие эту тему

                                                      Свернуть

                                                      Присутствует 1. Участников: 0, гостей: 1.

                                                      Обработка...
                                                      X