19 октября, пятница 04:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

может ли PIN быть восстановлен

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • может ли PIN быть восстановлен

    Коллеги, просвятите, пожалуйста: можно ли клиенту восстановить забытый PIN вместо генерации нового? Исходя из моего прежнего полагала что он нигде не хранится и поэтому восстановлению не подлежит. На новом месте работы (пока карт у нас нет) судя по спецификациям такая возможность теоритически есть , но не понимаю как это возможно технически . Какой у вас опыт ? спасибо

  • #2
    Anka
    Зависит от технологий банка. Обычно - нет.
    Исключение, к примеру, СИТИ.
    Там активизируется карта по телефону и ПИН там назначает сам держатель через ситему аутентификации.
    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

    Комментарий


    • #3
      Сообщение от ValentineS Посмотреть сообщение
      Anka
      Зависит от технологий банка. Обычно - нет.
      Исключение, к примеру, СИТИ.
      Там активизируется карта по телефону и ПИН там назначает сам держатель через ситему аутентификации.
      а если все таки - может , то где он хранится?

      Комментарий


      • #4
        Anka
        а если все таки - может , то где он хранится?
        Вы не поняли. Там просто будет заведен новый. Как я понял - проблема в том, чтобы не перевыпускать карту и не впрягаться в новую ее доставку.
        Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

        Комментарий


        • #5
          Знаю банк,который хранит подобные данные...Но ИМХО такую вещь могут себе позволить только маленькие карманные банки.
          Вообще, как по мне, это необоснованный риск - лучше не хранить такие данные и просто перевыпускать карты.

          Комментарий


          • #6
            Знаю банк,который хранит подобные данные...Но ИМХО такую вещь могут себе позволить только маленькие карманные банки.
            Вообще, как по мне, это необоснованный риск - лучше не хранить такие данные и просто перевыпускать карты.

            Как можно хранить то, чего не существует?

            Комментарий


            • #7
              Как можно хранить то, чего не существует?

              Как можно производить и отдавать людям то чего не существует?

              Комментарий


              • #8
                ATM_Msk

                А разве нельзя хранить все те данные, на основе которых генерится ПИН, и если клиент пин-код потерял, то на основе этиъ сохраненных данныъ сгенирить новый (который будет такой же как и был)?
                По-моему можно...

                Комментарий


                • #9
                  Сообщение от Super_KostNk Посмотреть сообщение
                  ATM_Msk

                  А разве нельзя хранить все те данные, на основе которых генерится ПИН, и если клиент пин-код потерял, то на основе этиъ сохраненных данныъ сгенирить новый (который будет такой же как и был)?
                  По-моему можно...
                  Низя!

                  Комментарий


                  • #10
                    PeterSpb

                    Низя!

                    Если "низя!" по техническим причинам,то разрешите с Вами не согласиться, если же по причинам безопасности - 100% с Вами согласна

                    Комментарий


                    • #11
                      Как можно хранить то, чего не существует?

                      Как можно производить и отдавать людям то чего не существует?


                      ПИН код- это набор из нескольких цифр которые выдаются в конверте клиенту. Этот набор цифр больше нигде не существуют.

                      Комментарий


                      • #12
                        ПИН код- это набор из нескольких цифр которые выдаются в конверте клиенту. Этот набор цифр больше нигде не существуют.

                        Согласна, но ведь чтобы напечатать этот конверт необходимы данные...я так понимаю мы про них говорим,а не про базу, где напротив фамилии клиента стоит четырехзначное число Такого, конечно, не существует и тем более не хранится

                        Комментарий


                        • #13
                          Согласна, но ведь чтобы напечатать этот конверт необходимы данные...я так понимаю мы про них говорим
                          Даже если ввести в HSM абсолтно теже данные, на выходе будет другой ПИН.

                          Комментарий


                          • #14
                            Даже если ввести в HSM абсолтно теже данные, на выходе будет другой ПИН.

                            Хотите сказать, что ПИН генерится случайным образом?

                            Комментарий


                            • #15
                              учим мат.часть.
                              не пудрим друг-другу мозг, если не знаем, и лень поискать тут же.
                              http://dom.bankir.ru/showthread.php?...38#post1695438

                              Комментарий


                              • #16
                                Soaron
                                Практически Да.
                                Настоящий трагизм жизни заключается в том, что старыми становятся
                                слишком рано, а мудрыми - слишком поздно.
                                Бенджамин Франклин

                                Комментарий


                                • #17
                                  В принципе, PIN можно банально перебрать. Естественно, при условии, что 3 неудачных проверки при таком переборе не будут вызывать блокировку карты =) Т.е., как я понимаю, сам процессинг при желании может это сделать: 10000 раз сказать HSMу Encrypted_PIN_Verify, но при этом не считать обломы.

                                  Комментарий


                                  • #18
                                    В некоторых ПЦ есть возможность, как бы обнулить, скинуть само значения пина. То есть клиент на банкомате сможет получить доступ по любым 4 набраным цифрам, и сразу же сменить ПИН. Если данная услуга,смена ПИН кода, предоставлена.

                                    Комментарий


                                    • #19
                                      GluckMaker
                                      сам процессинг при желании
                                      Смотря, что считать процессингом, если и всех безопасников
                                      Вопрос в том как получить эти 10000 зашифрованных ПИН-блоков -
                                      ключи шифрования в открытом виде неизвестны ни одному лицу - их
                                      "знает" только EPP банкомата или pinpad POS'а... А вводятся
                                      они туда покомпонентно... Сгенерировать ключи можно только в
                                      специальном режиме HSM - опять нужно несколько безопасников...

                                      Так что процессинг в общем случае тоже ничего перебрать не сможет...
                                      Nick_st

                                      Комментарий


                                      • #20
                                        Так всё зависет от ПЦ какая схема применяется. Есть и такая, что можно получить повторно ПИН. Раньше при зарплатных проектах такое бывало, что при перевыпеске карты оставался старый ПИН. Сей час практически такого нет.

                                        Комментарий


                                        • #21
                                          AlexGB
                                          Для этого надо хранить зашифрованный ПИНблок - да такое раньше
                                          было, но PCI DSS это явно запрещает...
                                          Nick_st

                                          Комментарий


                                          • #22
                                            Сообщение от nick_st Посмотреть сообщение
                                            Смотря, что считать процессингом, если и всех безопасников
                                            Вопрос в том как получить эти 10000 зашифрованных ПИН-блоков -
                                            ключи шифрования в открытом виде неизвестны ни одному лицу - их
                                            "знает" только EPP банкомата или pinpad POS'а...
                                            Так речь то, насколько я понял, шла не о том, сможет ли это сделать хацкер Вася, а о том, можно ли (с технической точки зрения) восстановить PIN легально? Процессингом я считал процессинг как организацию. Т.е. и ключи нужные завести можно, и устройство соорудить, которое будет иметь известный HSMу ключ и генерировать 10к PIN-блоков, и блокировку карты по превыению количества неудачных проверок отключить. С технической точки зрения проблем нет. Другой вопрос - непонятно, зачем? Проще уж (и гораздо секьюрнее) новый PIN выпустить.

                                            Комментарий


                                            • #23
                                              GluckMaker
                                              Совсем в абстрактном (т.е. если не считать это инсайдерской атакой) конечно можно...
                                              Nick_st

                                              Комментарий


                                              • #24
                                                Сообщение от nick_st Посмотреть сообщение
                                                GluckMaker
                                                Совсем в абстрактном (т.е. если не считать это инсайдерской атакой) конечно можно...
                                                Технически можно сделать всё. Если есть ко всему доступ, а реально соглашусь, что проще перевыпустить.

                                                Комментарий


                                                • #25
                                                  PeterSpb Разумеется можно. Например по алгоритму IBM, который раньше использовал Мастер.
                                                  <%(

                                                  Комментарий


                                                  • #26
                                                    Зависит от:
                                                    а) реализации алгоритма, используемого для генерации ПИН-кода, в софте процессинга;
                                                    б) процедур, регламентирующих данный вопрос, в конкретно взятом банке и процессинге.

                                                    В большинстве случаев ответ будет отрицательный.

                                                    VMS Например по алгоритму IBM, который раньше использовал Мастер.

                                                    Если вы говорите об алгоритме IBM PIN-offset, то там есть возможность восстановить Native PIN. Однако если значение ПИН-оффсета (комбинируемого с данными Native PIN) не хранилось в БД ПЦ, а использовалось с магнитной дорожки карты, то даже в случае использования этого алгоритма перевыпустить Customer PIN без данных 2-й дорожки проблематично.
                                                    --* Never say never again...

                                                    Комментарий

                                                    Пользователи, просматривающие эту тему

                                                    Свернуть

                                                    Присутствует 1. Участников: 0, гостей: 1.

                                                    Обработка...
                                                    X