Redaktor:Infinitsk/Osobné identifikačné číslo (PIN)

z Wikipédie, slobodnej encyklopédie
3218
Osobné identifikačné číslo zaslané jeho užívateľovi v liste (napr. z banky). Tmavý vrch, ktorý prekrýval číslo slúži na ukrytie pin kódu keby sa niekto snaží dať list do svetla (aby videl aký je pin kód).

Osobné identifikačné číslo (v angličtine Personal Identification Number (PIN)) alebo jednoducho číslo PIN alebo PIN kód je väčšinou číselný (niekedy alfanumerický ) prístupový kód používaný v procese overovania totožnosti používateľa pristupujúceho do systému (autentifikácia).

PIN bol vytvorený k uľahčeniu výmeny súkromných údajov medzi rôznymi strediskami na spracovanie údajov v počítačových sieťach pre finančné inštitúcie, vlády a podniky. Zadaním PIN kódu sa overuje totožnosť držiteľa platobnej karty.

V praxi sa PIN kódy používajú v bankomatoch, internetových nákupoch[1] alebo v riadení prístupu ( prístup do mobilu cez SIM kartu, otváranie dverí, zaheslovaných trezorov...)

História[upraviť | upraviť zdroj]

PIN vznikol so zavedením bankomatov v roku 1967 ako efektívny spôsob, akým banky vedeli vydať hotovosť svojim zákazníkom. Prvý bankomat bol v Barclays v Londýne v roku 1967 a akceptoval šeky so strojovo čitateľným kódovaním (karty vtedy ešte neboli), a priradil PIN k šeku. [2] [1] [3] V roku 1972 vydala Lloyds Bank prvú bankovú kartu, ktorá obsahovala magnetický prúžok kódujúci informácie a na zabezpečenie používal PIN. [4] James Goodfellow si ako prvý patentoval PIN, získal v roku 2006 ocenenie OBE v rámci Queen's Birthday Honors . [5]

Mohamed M. Atalla vynašiel prvý hardvérový bezpečnostný modul založený na PIN, [6] nazvaný „Atalla Box“, bol to bezpečnostný systém, ktorý šifroval PIN a bankomatové správy a chránil offline zariadenia pomocou neuhádnuteľného kľúča ktorý generoval PIN. [7] V roku 1972 Atalla podal Patent v USA 3938091 na svoj systém overovania PIN, ktorý obsahoval kódovanú čítačku kariet a opísal systém, ktorý využíval šifrovanie na zaistenie bezpečnosti spojenia pri zadávaní osobných informácií, ktoré boli prenášané na iné miesto kde sa overilo či PIN bol správny.

V roku 1972 založil spoločnosť Atalla Corporation (teraz Utimaco Atalla ) [8] a v roku 1973 začal komerčne predávať „Atalla Box“. Išlo o čítačku kariet a systém identifikácie zákazníkov, ktorý poskytoval terminál s možnosťou karty a PIN. Systém bol navrhnutý tak, aby umožnil bankám a sporiteľniam, začať používať karty ako vkladné knižky . Systém Identikey pozostával z konzoly na čítanie kariet, dvoch zákazníckych PIN terminálov, inteligentného ovládača a zabudovaného elektronického rozhrania. [9] Zariadenie pozostávalo z dvoch klávesníc, jednej pre zákazníka a jednej pre predavača. Zákazníkovi to umožnilo zadať tajný kód, ktorý zariadenie pomocou mikroprocesora premení na iný kód pre pokladníka. [10] Počas transakcie čítačka kariet načítala číslo účtu zákazníka. Tento proces nahradil ručné zadávanie a zabránil možným chybám pri zadávaní účtu. Používateľom umožnil nahradiť tradičné metódy overovania zákazníkov, ako je overovanie podpisu a testovacie otázky, bezpečným systémom PIN. [9] Ako uznanie za jeho prácu na systéme PIN pre riadenie informačnej bezpečnosti bol Atalla nazvaný ako "Otec PINov".[11] [12]

Úspech „Atalla Boxu“ viedol k širokému prijatiu hardvérových bezpečnostných modulov založených na PIN. [13] Jeho proces overovania PIN bol podobný neskoršie vytvorenému IBM 3624 . Odhaduje sa, že do roku 1998 bolo 70 % všetkých bankomatových transakcií v Spojených štátoch smerovaných cez špecializované hardvérové moduly Atalla [14] a do roku 2003 Atalla Box zabezpečoval 80 % všetkých bankomatov na svete [12], pričom tento podiel vzrástol na 85 %. v roku 2006. Produkty Atalla HSM chránili a chránia 250 miliónov kartových transakcií každý deň len od roku 2013 [8] a od roku 2014 stále zabezpečuje väčšinu svetových bankomatových transakcií. [6] Dnešné systémy vedia spracovávať až 10 000 tranzakcií za sekundu s Atalla AT1000.[15]

Finančné služby[upraviť | upraviť zdroj]

Využívanie PINov[upraviť | upraviť zdroj]

V kontexte finančnej transakcie sa zvykne vyžadovať súkromný PIN a aj verejný identifikátor na autentifikáciu uživateľa v systéme. V týchto situáciách sa zvyčajne od používateľa vyžaduje, aby poskytol používateľský identifikátor (ako napr. ID použivateľa) alebo token a dôverný PIN, aby získal prístup do systému. Po prijatí identifikátora a PIN, systém vyhľadá PIN na identifikátora používateľa a porovná vyhľadaný PIN s prijatým PIN. Používateľovi je prístup možný len vtedy, keď sa zadané číslo zhoduje s číslom uloženým v systéme. Preto, napriek názvu, PIN neidentifikuje používateľa ale je len potvrdením či to je reálne daný uživateľ za ktorého sa vydáva. [16] PIN sa nedá nájsť na karte, ale je nutné aby ho manuálne zadal vlastník karty počas transakcie prostredníctvom bankomatu alebo pri transakciách bez karty, napr. ako cez internet alebo pri telefónnom bankovníctve iným spôsobom.

Dĺžka PINov[upraviť | upraviť zdroj]

Medzinárodná norma pre správu PIN kódov finančných služieb, ISO 9564 -1, umožňuje zadať PIN od štyroch do dvanástich číslic, ale odporúča sa, aby z dôvodov použiteľnosti vydavateľ karty neprideľoval PIN dlhší ako šesť číslic. [17] Vynálezca bankomatu John Shepherd-Barron si najskôr predstavoval šesťmiestny číselný kód, ale jeho manželka si pamätala iba štyri číslice, a to sa na mnohých miestach stalo najčastejšie používanou dĺžkou, [1] hoci banky v Švajčiarsku a aj v iných krajinách vyžadujú šesťmiestny PIN.

Overovanie PINov[upraviť | upraviť zdroj]

Existuje viacero metód na overenie PIN kódov. [18]Operácie uvedené nižšie sa zvyčajne vykonávajú v rámci hardvérového bezpečnostného modulu.

Metóda použitá v IBM 3624[upraviť | upraviť zdroj]

Jedným z prvých modelov bankomatov bol IBM 3624, ktorý využíval metódu IBM na generovanie prirodzeného PINu . Prirodzený PIN sa generuje zašifrovaním čísla primárneho účtu (PAN) pomocou šifrovacieho kľúča vygenerovaného špecificky na tento účel. [19] Tento kľúč sa niekedy označuje ako kľúč generovania PIN (PGK v angličtine PIN generation key). Tento PIN priamo súvisí s číslom účtu. Na overenie PIN banka ktorá vystavila kartu znovu vygeneruje PIN vyššie uvedeným spôsobom, porovná ho a zistí či sa zhodujú zadaný a vygenerovaný PIN kód.

Prirodzené kódy PIN nie je možné vybrať používateľom, pretože sú odvodené z čísla účtu. Ak je karta znovu vydaná s novým číslom účtu, musí sa vygenerovať nový PIN kód. Prirodzené kódy PIN umožňujú bankám poslať list so zabudnutým PINom, pretože PIN je možné vygenerovať.

IBM 3624 + metóda posunutia[upraviť | upraviť zdroj]

Aby si uživateľ mohol vyberať vlastný PIN kód podľa jeho výberu je možnosť uložiť hodnotu o koľko sa má PIN kód posunúť. Posun sa zistí odčítaním prirodzeného PIN od zákazníkom zvoleného PINu pomocou modulo 10. [20] Napríklad, ak je prirodzený PIN 1234 a používateľ si želá mať PIN 2345, posun je 1111.

Posun môže byť uložený buď v údajoch karty [21] alebo v databáze vydavateľa karty.

Na overenie PIN banka vypočíta prirodzený PIN ako vo vyššie uvedenej metóde, potom pripočíta posun a porovná túto hodnotu so zadaným PIN.

Metóda VISA[upraviť | upraviť zdroj]

Pri používaní terminálu vlastník karty VISA potiahne alebo vloží svoju kreditnú kartu a zadá svoj PIN na klávesnici

Metóda VISA sa používa v mnohých kartových spoločnostiach a nie je špecifická len pre VISU. Metóda, ktorú používa VISA generuje overovaciu hodnotu PIN[22] (po anglicky Pin verification value - PVV). Podobne ako hodnota posunu môže byť uložená v údajoch na karte alebo v databáze vydavateľa karty. Toto sa nazýva referenčné PVV.

Metóda VISA používa prvých jedenásť číslic čísla účtu z pravej strany okrem hodnoty kontrolného súčtu, index overovacieho kľúča PIN (po anglicky PIN valiadation key index - PVKI, vybraný od 1 do 6, PVKI 0 znamená, že PIN nie je možné overiť prostredníctvom PVS [23] ) a požadované hodnota PIN na vytvorenie 64-bitového čísla, PVKI vyberie overovací kľúč (PVK, na 128 bitoch) na zašifrovanie tohto čísla. Z tejto zašifrovanej hodnoty sa nájde PVV. [24]

Aby bol PIN overený, banka vypočíta hodnotu PVV zo zadaného PIN a PAN a porovná túto hodnotu s referenčným PVV. Ak sa referenčné PVV a vypočítané PVV zhodujú, bol PIN zadaný správne.

Na rozdiel od metódy IBM metóda VISA neodvodzuje PIN od čísla účtu. PIN použitý na generovanie PVV môže byť náhodne vygenerovaný, vybratý používateľom alebo dokonca aj odvodený pomocou metódy IBM.

Zabezpečenie PIN[upraviť | upraviť zdroj]

Finančné PINy sú zväčša štvormiestne čísla v rozsahu 0000 – 9999, výsledkom čoho je 10 000 možných kombinácií. Švajčiarsko štandardne vydáva šesťmiestne kódy PIN (000000-999999). [25]

Niektoré systémy nastavujú predvolené PINy a väčšina umožňuje zákazníkovi nastaviť si PIN alebo zmeniť predvolený PIN, a v niektorých je zmena PIN pri prvom prístupe dokonca aj povinná. Zákazníkom sa zvyčajne odporúča, aby si nenastavovali PIN na základe narodenín niekoho zo svojich blízkych, podľa čísel vodičského preukazu/občianskeho preukazu alebo po sebe idúcich alebo opakujúcich sa čísel. Niektoré finančné inštitúcie neposkytujú alebo nepovoľujú kódy PIN, v ktorých sú všetky číslice identické (napríklad 1111, 2222, ...), po sebe idúce (1234, 2345, ...), čísla začínajúce jednou alebo viacerými nulami alebo poslednou štyri číslice rodného čísla alebo dátumu narodenia držiteľa karty. 

Mnoho systémov na overenie PIN umožňuje tri pokusy, čím dáva zlodejovi karty predpokladanú 0,03 % pravdepodobnosť, že uhádne správny PIN pred zablokovaním karty. Platí to iba vtedy, ak sú všetky kódy PIN rovnako pravdepodobné a útočník nemá k dispozícii žiadne ďalšie informácie o majiteľovi karty.

Bol vykonaný výskum na bežne používaných kódoch PIN. [26] Výsledkom je, že veľká časť ľudí môže mať zle vybraný PIN kód ktorý nemusí ochrániť ich účet. „S možnosťou iba štyroch pokusov dokážu hackeri prelomiť 20 % všetkých PINov. V prípade, že by mali 15 pokusov vedeli by sa dostať až do viac než štvrť milióna účtov. [27]

Chyby implementácie[upraviť | upraviť zdroj]

V roku 2002 dvaja doktorandi na Cambridgeskej univerzite, Piotr Zieliński a Mike Bond, objavili bezpečnostnú chybu v generovaní PIN kódov IBM 3624, ktorý bol duplikovaný vo väčšine neskoršieho hardvéru. Táto chyba bola známa ako útok na tabuľku decimalizácie, a umožnila by niekomu, kto má prístup k počítačovému systému banky, určiť PIN bankomatovej karty v priemere na 15. pokus. [28]

Reverse PIN hoax[upraviť | upraviť zdroj]

V e-mailoch a na internete sa šírili fámy, ktoré tvrdili, že v prípade že v prípade napadnutia a pokusu o krádež pri zadaní PINu do bankomatu naopak, bude okamžite privolaná polícia, ale bankomat vydá požadovaný počet peňazí ako keby bol PIN zadaný správne ale peniaze sa zaseknú aby tam zdržali zlodeja. [29] Zámerom tohto systému by bolo chrániť obete prepadnutí; napriek tomu, že systém je navrhnutý na používanie v niektorých štátoch USA, [30] v súčasnosti neexistujú žiadne bankomaty , ktoré používajú tento softvér. [31]

Prístupové kódy mobilného telefónu[upraviť | upraviť zdroj]

Mobilný telefón môže byť chránený kódom PIN. Ak je povolený, kód PIN pre mobilné telefóny s normou GSM môže mať štyri až osem číslic [32] a je zaznamenaný na karte SIM . Ak takýto PIN zadáte trikrát nesprávne, SIM karta sa zablokuje až do zadania osobného odblokovacieho kódu (PUK), ktorý získate od operátora. Ak je PUK desaťkrát zadané nesprávne, SIM karta sa natrvalo zablokuje, čo si vyžaduje novú SIM kartu od mobilného operátora.

PINy sa bežne používajú aj v smartfónoch ako forma osobnej autentifikácie, takže zariadenie budú môcť odomknúť iba tí, ktorí poznajú PIN. Po niekoľkých neúspešných pokusoch o zadanie správneho kódu PIN môže byť používateľovi zablokovaný ďalší pokus na pridelený čas, môžu sa vymazať všetky údaje uložené v zariadení alebo môže byť používateľ vyzvaný, aby zadal alternatívne informácie, pomocou ktorých by sa mal vedieť overiť že to je vážne on. To, či po neúspešných pokusoch zadania PINu dôjde k niektorému z vyššie uvedených javov, závisí vo veľkej miere od zariadenia a výberu majiteľa v jeho nastaveniach.

  1. a b c MILLIGAN, Brian. Prvý bankomat [online]. BBC, 25. jún 2007. Dostupné online. Chyba citácie Neplatná značka <ref>; názov „milligan“ je použitý viackrát s rôznym obsahom
  2. Jarunee Wonglimpiyara, Strategies of Competition in the Bank Card Business (2005), p. 1-3.
  3. ATM inventor John Shepherd-Barron dies at 84 [online]. 19 May 2010. Dostupné online.
  4. Jarunee Wonglimpiyara, Strategies of Competition in the Bank Card Business (2005), p. 5.
  5. Royal honour for inventor of Pin [online]. BBC News, 2006-07-16, [cit. 2022-12-23]. Dostupné online.
  6. a b STIENNON, Richard. Key Management a Fast Growing Space [online]. June 17, 2014, [cit. 2022-12-23]. Dostupné online.
  7. Cash and Dash: How ATMs and Computers Changed Banking. [s.l.] : [s.n.]. Dostupné online. ISBN 9780191085574.
  8. a b About HP Atalla Security Products [online]. HP, 2013, [cit. 2022-12-23]. Dostupné online.
  9. a b Mini-Based EFT System Runs Alone or With CPUs. ComputerWorld. Dostupné online.
  10. Customer Identification Seen as Great EFTS Problem. ComputerWorld, 1976-01-26. Dostupné online.
  11. FEUERSTEIN, Adam. Security guru tackles Net [online]. www.bizjournals.com, 1999-06-2, [cit. 2022-12-23]. Dostupné online.
  12. a b Honorary Degree [online]. [Cit. 2022-12-23]. Dostupné online.
  13. BÁTIZ-LAZO, Bernardo. Cash and Dash: How ATMs and Computers Changed Banking. [s.l.] : [s.n.]. Dostupné online. ISBN 9780191085574. S. 284.
  14. GRANT, Gail L.. Understanding Digital Signatures: Establishing Trust Over the Internet and Other Networks. [s.l.] : [s.n.]. Dostupné online. ISBN 9780070125544.
  15. Atalla AT1000 [online]. utimaco.com, [cit. 2022-12-23]. Dostupné online. (po anglicky)
  16. Your ID number is not a password, Webb-site.com, 8 November 2010
  17. ISO 9564-1:2011 Financial services — Personal Identification Number (PIN) management and security — Part 1: Basic principles and requirements for PINs in card-based systems, clause 8.1 PIN length
  18. IBM Documentation [online]. www.ibm.com, [cit. 2022-12-23]. Dostupné online. (po anglicky)
  19. What is the IBM 3624 PIN generation method? [online]. [Cit. 2022-12-23]. Dostupné online.
  20. PIN Offset Generation algorithm [online]. IBM, 2021-06-25, [cit. 2022-12-23]. Dostupné online.
  21. How is offset pin calculated? [online]. [Cit. 2022-12-23]. Dostupné online.
  22. VISA PIN Algorithms [online]. www.ibm.com, 2012-09-18, [cit. 2022-12-23]. Dostupné online. (po anglicky)
  23. Visa PVV [online]. [Cit. 2022-12-23]. Dostupné online. (po anglicky)
  24. PVV Generation algorithm [online]. 2022-04-11, [cit. 2022-12-23]. Dostupné online.
  25. Understanding Human-Chosen PINs: Characteristics, Distribution and Security. Association for Computing Machinery (Association for Computing Machinery), 2017-04-02. Dostupné online. DOI10.1145/3052973.3053031. (po anglicky)
  26. BERRY, Nick. Najčastejšie používané PIN kódy [online]. The Guardian, 2012-09-28, [cit. 2022-12-23]. Dostupné online.
  27. LUNDIN, Leigh. PINs and Passwords [online]. SleuthSayers, 2013-08-04, [cit. 2022-12-23]. Dostupné online.
  28. BOND, ZIELIŃSKI, Mike, Piotr. Decimalisation table attacks for PIN cracking. University of Cambridge, 2003-02. Dostupné online [cit. 2022-12-23].
  29. Will Entering Your PIN in Reverse at an ATM Summon the Police? [online]. Snopes.com, 2006-10-06, [cit. 2022-12-23]. Dostupné online.
  30. Full Text of SB0562 Illinois General Assembly, accessed 2011-07-20
  31. GILL, Moriah. Will Entering Your ATM Pin Backwards Trigger the Police? [online]. rare.us, 2020, [cit. 2022-12-23]. Dostupné online. (po anglicky)
  32. 082251615790 GSM 02.17 Subscriber Identity Modules, Functional Characteristics, version 3.2.0, February 1992, clause 3.1.3
Zdroj: „https://sk.wikipedia.org/w/index.php?title=Redaktor:Infinitsk/Osobné_identifikačné_číslo_(PIN)&oldid=7511995