Коллеги, просвятите, пожалуйста: можно ли клиенту восстановить забытый PIN вместо генерации нового? Исходя из моего прежнего полагала что он нигде не хранится и поэтому восстановлению не подлежит. На новом месте работы (пока карт у нас нет) судя по спецификациям такая возможность теоритически есть , но не понимаю как это возможно технически . Какой у вас опыт ? спасибо
-
-
Anka
Зависит от технологий банка. Обычно - нет.
Исключение, к примеру, СИТИ.
Там активизируется карта по телефону и ПИН там назначает сам держатель через ситему аутентификации.Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с) -
а если все таки - может , то где он хранится?Сообщение от ValentineS Посмотреть сообщениеКомментарий
-
Anka
Вы не поняли. Там просто будет заведен новый. Как я понял - проблема в том, чтобы не перевыпускать карту и не впрягаться в новую ее доставку.а если все таки - может , то где он хранится?Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)Комментарий
-
Знаю банк,который хранит подобные данные...Но ИМХО такую вещь могут себе позволить только маленькие карманные банки.
Вообще, как по мне, это необоснованный риск - лучше не хранить такие данные и просто перевыпускать карты.Комментарий
-
Знаю банк,который хранит подобные данные...Но ИМХО такую вещь могут себе позволить только маленькие карманные банки.
Вообще, как по мне, это необоснованный риск - лучше не хранить такие данные и просто перевыпускать карты.
Как можно хранить то, чего не существует?Комментарий
-
Как можно хранить то, чего не существует?
Как можно производить и отдавать людям то чего не существует?Комментарий
-
ATM_Msk
А разве нельзя хранить все те данные, на основе которых генерится ПИН, и если клиент пин-код потерял, то на основе этиъ сохраненных данныъ сгенирить новый (который будет такой же как и был)?
По-моему можно...Комментарий
-
-
PeterSpb
Низя!
Если "низя!" по техническим причинам,то разрешите с Вами не согласиться, если же по причинам безопасности - 100% с Вами согласна
Комментарий
-
Как можно хранить то, чего не существует?
Как можно производить и отдавать людям то чего не существует?
ПИН код- это набор из нескольких цифр которые выдаются в конверте клиенту. Этот набор цифр больше нигде не существуют.Комментарий
-
ПИН код- это набор из нескольких цифр которые выдаются в конверте клиенту. Этот набор цифр больше нигде не существуют.
Согласна, но ведь чтобы напечатать этот конверт необходимы данные...я так понимаю мы про них говорим,а не про базу, где напротив фамилии клиента стоит четырехзначное число Такого, конечно, не существует и тем более не хранится
Комментарий
-
Согласна, но ведь чтобы напечатать этот конверт необходимы данные...я так понимаю мы про них говорим
Даже если ввести в HSM абсолтно теже данные, на выходе будет другой ПИН.Комментарий
-
Даже если ввести в HSM абсолтно теже данные, на выходе будет другой ПИН.
Хотите сказать, что ПИН генерится случайным образом?
Комментарий
-
учим мат.часть.
не пудрим друг-другу мозг, если не знаем, и лень поискать тут же.
http://dom.bankir.ru/showthread.php?...38#post1695438Комментарий
-
Soaron
Практически Да.Настоящий трагизм жизни заключается в том, что старыми становятся
слишком рано, а мудрыми - слишком поздно.
Бенджамин ФранклинКомментарий
-
В принципе, PIN можно банально перебрать. Естественно, при условии, что 3 неудачных проверки при таком переборе не будут вызывать блокировку карты =) Т.е., как я понимаю, сам процессинг при желании может это сделать: 10000 раз сказать HSMу Encrypted_PIN_Verify, но при этом не считать обломы.Комментарий
-
В некоторых ПЦ есть возможность, как бы обнулить, скинуть само значения пина. То есть клиент на банкомате сможет получить доступ по любым 4 набраным цифрам, и сразу же сменить ПИН. Если данная услуга,смена ПИН кода, предоставлена.Комментарий
-
GluckMaker
Смотря, что считать процессингом, если и всех безопасниковсам процессинг при желании
Вопрос в том как получить эти 10000 зашифрованных ПИН-блоков -
ключи шифрования в открытом виде неизвестны ни одному лицу - их
"знает" только EPP банкомата или pinpad POS'а... А вводятся
они туда покомпонентно... Сгенерировать ключи можно только в
специальном режиме HSM - опять нужно несколько безопасников...
Так что процессинг в общем случае тоже ничего перебрать не сможет...Nick_stКомментарий
-
Так всё зависет от ПЦ какая схема применяется. Есть и такая, что можно получить повторно ПИН. Раньше при зарплатных проектах такое бывало, что при перевыпеске карты оставался старый ПИН. Сей час практически такого нет.Комментарий
-
AlexGB
Для этого надо хранить зашифрованный ПИНблок - да такое раньше
было, но PCI DSS это явно запрещает...Nick_stКомментарий
-
Так речь то, насколько я понял, шла не о том, сможет ли это сделать хацкер Вася, а о том, можно ли (с технической точки зрения) восстановить PIN легально? Процессингом я считал процессинг как организацию. Т.е. и ключи нужные завести можно, и устройство соорудить, которое будет иметь известный HSMу ключ и генерировать 10к PIN-блоков, и блокировку карты по превыению количества неудачных проверок отключить. С технической точки зрения проблем нет. Другой вопрос - непонятно, зачем? Проще уж (и гораздо секьюрнее) новый PIN выпустить.Сообщение от nick_st Посмотреть сообщениеСмотря, что считать процессингом, если и всех безопасников
Вопрос в том как получить эти 10000 зашифрованных ПИН-блоков -
ключи шифрования в открытом виде неизвестны ни одному лицу - их
"знает" только EPP банкомата или pinpad POS'а...Комментарий
-
GluckMaker
Совсем в абстрактном (т.е. если не считать это инсайдерской атакой) конечно можно...Nick_stКомментарий
-
Технически можно сделать всё. Если есть ко всему доступ, а реально соглашусь, что проще перевыпустить.Сообщение от nick_st Посмотреть сообщениеКомментарий
-
PeterSpb Разумеется можно. Например по алгоритму IBM, который раньше использовал Мастер.<%(Комментарий
-
Зависит от:
а) реализации алгоритма, используемого для генерации ПИН-кода, в софте процессинга;
б) процедур, регламентирующих данный вопрос, в конкретно взятом банке и процессинге.
В большинстве случаев ответ будет отрицательный.
VMS Например по алгоритму IBM, который раньше использовал Мастер.
Если вы говорите об алгоритме IBM PIN-offset, то там есть возможность восстановить Native PIN. Однако если значение ПИН-оффсета (комбинируемого с данными Native PIN) не хранилось в БД ПЦ, а использовалось с магнитной дорожки карты, то даже в случае использования этого алгоритма перевыпустить Customer PIN без данных 2-й дорожки проблематично.--* Never say never again...Комментарий
Комментарий