может ли пин код быть 5 значным
О pin-коде банковских карт
До сих пор pin-код остается наиболее надежным и эффективным способом верификации владельца банковской карты (вероятно, с ближайшем будущем всё изменится, например, за счет биометрических технологий).
Пи каждом использовании карты её эмитент проверяет соответствие уникального номера карточки с pin-кодом.
Должно ли соответствие номера банковской карты и pin-кода быть взаимно однозначным?
Есть ли вообще какое-либо соответствие между pin-кодом и номером карты?
Ответ — да. Такое соответствие устанавливается принятым алгоритмом. В настоящее время одни из самых распространенных это IBM 3624 и VISA PVV.
Можно ли по номеру карты определить ее pin-код?
То-есть является ли pin-код функцией от номер карты? Ответ — в общем случае нет. К примеру, на одной карте могут оказаться рабочими сразу несколько разных pin-кодов (один, два, три и т.д.), например, при использовании алгоритма VISA PVV (вероятность наличия нескольких рабочих pin-кодов около 41,8%). При этом алгоритмы создаются так, чтобы минимизировать потенциальное количество подходящих pin-кодов, так как это минимизирует шанс угадывания. А вот IBM 3624 — пример алгоритма, который дает положительный ответ на данный вопрос.
Может ли эмитент банковской карты вычислить pin-код карты на основании ее номера и других данных, хранящихся на его сервере?
Само значение pin-кода хранить даже в защищенном виде эмитент не имеет права. Но ответ на данный вопрос для каждого случая индивидуален. Всё зависит от нескольких факторов: используемого метода верификации/генерации pin-кода, места хранения специальных значений (PIN Offset/PVV) и используемой технологии самой карточки (магнитная полоса, чип и т.п.)
В каких случаях можно восстановить забытый pin-код без перевыпуска новой банковской карты?
При наличии самой карточки оба распространенных алгоритма (IBM 3624 и VISA PVV) позволяют восстановить или поменять pin-код без перевыпуска карты. При этом для восстановления pin-кода при использовании алгоритма VISA PVV потребуется перебор всех возможных значений. Но на практике, из-за лишних издержек, многие банки отказываются от поддержки восстановления pin-кода даже если это возможно (обычно это требует дополнительных затрат на покупку программного обеспечения) и всегда просто перевыпускают карты.
Если специальные значения PIN Offset/PVV хранятся на магнитной полосе банковской карты, то изменить значение пин-кода в банкомате не получится, поскольку изменение пин-кода влечет за собой изменение значений PIN Offset/PVV. В случае же, когда значения PIN Offset/PVV хранятся в БД карт хоста эмитента (это менее безопасно), изменить значение ПИН-кода не составляет проблемы даже через банкомат.
Одинаковые цифры в pin-коде банковских карт
В 4-х значном pin-коде могут присутствовать одинаковые цифры, за исключение 4-х одинаковых подряд идущих. Но как показывает практика, более двух одинаковых цифр в сгенерированных pin-кодах банковских карт обычно не используется (данная информация не проверена!). Использование более двух одинаковых цифр в четырехзначном pin-коде достаточно опасно. Если мошеннику станет известно, что в pin-коде присутствует 3 одинаковые цифры, то шанс «направленного» угадывания pin-кода значительно увеличивается, особенно если мошеннику удастся узнать значения PIN Offset/PVV.
ПИН-код (PIN code)
Такой код присваивается карте с целью идентификации личности ее держателя при проведении финансовых операций. Это электронный аналог подписи держателя.
Код должен знать только держатель карты. Его необходимо хранить в тайне и ни в коем случае не разглашать третьим лицам, в том числе родным и знакомым.
В интересах безопасности своих средств не следует вводить ПИН-код в присутствии посторонних и хранить записанный код рядом с картой. Надо помнить, что для расчетов в Интернете ПИН-код не требуется и любое предложение ввести его – действие мошенников.
Утраченный код восстановить невозможно, ведь он известен только держателю карты. В такой ситуации банк перевыпускает карту, при этом ее номер может быть сохранен.
В случае если код трудно запоминается или у держателя карты есть основания полагать, что он стал известен посторонним лицам, можно его сменить. На сегодняшний день в банкоматах многих банков есть функция смены ПИН-кода. За эту операцию может взиматься комиссия.
У держателя карты, как правило, есть три попытки правильного ввода кода. Их количество устанавливает банк. Когда их количество превышает максимально допустимый предел, карта автоматически блокируется.
В случае блокировки по причине неверно набранного ПИН-кода некоторые банкоматы могут изъять карту (зависит от настроек конкретного банка). Если такое произошло, необходимо обратиться в кредитную организацию, которой принадлежит банкомат, и написать заявление на ее возврат. Далее надо прийти в свой банк и подать заявление на разблокировку карты. В пределах недели карточку возвратят клиенту.
Если банкомат вернул карту клиенту, то для ее разблокировки нужно позвонить в банк и назвать пароль-идентификатор или же ответить на секретный вопрос, а также продиктовать свой номер карты. Пароль-идентификатор и ответ на секретный вопрос держатель карты сам определяет и указывает при ее оформлении. Это важная информация на случай утери и блокировки карты, ее необходимо помнить. Также банк может уточнить и другие сведения у клиента: паспортные данные, прописка и т.д. Если человек не помнит свой пароль, ему необходимо обратиться в банк и написать заявление на разблокировку. Некоторые банки в любом случае требуют обязательного присутствия клиента в своем офисе и заявление на разблокировку карты.
Есть кредитные организации, которые в такой ситуации устанавливают автоматическую разблокировку через определенный интервал времени.
Популярные и редкие PIN-коды: статистический анализ
Xakep #269. Реверс-шелл на 237 байт
Не секрет, что пользователи выбирают числовые пароли, используя характерные паттерны. В случае четырёхзначного PIN-кода очень часто указывается день рождения или год рождения.
До настоящего момента все исследования в этой области были фрагментарными, на основе относительно небольших выборок данных. Американская компания Data Genetics несколько дней назад опубликовала наиболее полный и масштабный статистический анализ PIN-кодов, использовав все доступные базы данных с паролями и отфильтровав их по цифровым комбинациям от 0000 до 9999. Общая база после применения фильтра составила 3,4 миллиона PIN-кодов.
Анализ позволил выявить несколько интересных фактов. Самым популярным PIN-кодом является 1234, его устанавливают почти 11% пользователей. На втором месте идёт 1111 (6%).
Двадцатка самых популярных комбинаций покрывает 26,83% всех паролей, хотя при нормальном статистическом распределении она составляла бы всего 0,2%. На следующей диаграмме показана кумулятивная частотность использования паролей.
Интересно также посмотреть на список самых редких PIN-кодов по всей базе.
Исследование: для безопасности шестизначные PIN-коды не лучше, чем четырехзначные
Немецко-американская команда исследователей с привлечением добровольцев проверила и сравнила безопасность шестизначных и четырёхзначных PIN-кодов для блокировки смартфонов. В случае утери или кражи смартфона лучше быть уверенным хотя бы в том, что информация окажется защищённой от взлома. Так ли это?
Филипп Маркерт из Института ИТ-безопасности Хорста Гёрца Рурского университета Бохума и Максимилиан Голла из Института безопасности и конфиденциальности имени Макса Планка выяснили, что на практике психология довлеет над математикой. С математической точки зрения, надёжность шестизначных PIN-кодов существенно выше, чем четырёхзначных. Но пользователи предпочитают определённые комбинации цифр, поэтому некоторые PIN-коды используются чаще и это почти стирает разницу в сложности между шести- и четырёхзначными кодами.
В исследовании участники экспериментов использовали устройства Apple или Android и устанавливали четырех- или шестизначные PIN-коды. На устройствах Apple с версии iOS 9 появился чёрный список запрещённых цифровых комбинаций для PIN-кодов, выбор которых автоматически запрещён. Исследователи имели на руках как оба чёрных списка (для 6- и 4-значных кодов), так и запускали перебор комбинаций на компьютере. Чёрный список полученных от Apple 4-значных PIN-кодов содержал 274 номера, а 6-значных ― 2910.
Для устройств Apple пользователю даётся 10 попыток ввести PIN-код. По мнению исследователей, в таком случае чёрный список практически не имеет смысла. За 10 попыток оказалось сложно угадать правильный номер, даже если он очень простой (типа 123456). Для устройств Android за 11 часов можно совершить 100 вводов PIN-кода, и в данном случае чёрный список уже является более надёжным средством удержать пользователя от ввода простой комбинации и не допустить взлом смартфона путём перебора номеров.
В эксперименте 1220 участников самостоятельно выбирали PIN-коды, а экспериментаторы пытались угадать их за 10, 30 или 100 попыток. Подбор комбинаций проводился двумя способами. Если включался чёрный список, смартфоны атаковались без использования номеров из списка. Без включённого чёрного списка подбор кода начинался с перебора номеров из чёрного списка (как наиболее часто используемые). В ходе эксперимента выяснилось, что разумно выбранный 4-значный PIN-код при ограничении числа попыток ввода достаточно безопасен и даже немного надёжнее 6-значного.
Наиболее распространёнными 4-значными PIN-кодами оказались комбинации 1234, 0000, 1111, 5555 и 2580 (это вертикальный столбец на цифровой клавиатуре). Более глубокий анализ показал, что идеальный черный список для четырехзначных PIN должен содержать около 1000 записей и немного отличаться от того, который был выведен для устройств Apple.
Наиболее часто используемые комбинации PIN-кодов
Наконец, исследователи выяснили, что 4-значные и 6-значные PIN-коды менее безопасны, чем пароли, но более надёжны, чем графическая блокировка смартфонов (по шаблонам). Полный доклад по исследованию будет представлен в Сан-Франциско в мае 2020 года на конференции IEEE Symposium on Security and Privacy.
Анализ PIN-кодов(часть 2)
Многие люди в качестве PIN-кода используют год своего рождения (или юбилея). Запоминать подобные PIN-коды, конечно же, легче, но и их предсказуемость при этом тоже значительно повышается.
Многие из высокочастотных PIN-кодов можно интерпретировать, как года, например, 1967, 1956, 1937… Похоже, что многие люди в качестве PIN-кода используют год своего рождения (или юбилея). Запоминать подобные PIN-коды, конечно же, легче, но и их предсказуемость при этом тоже значительно повышается.
Ниже изображен график, на котором желтым цветом помечены PIN-коды, которые имеют вид 19??:
Если бы все пароли были распределены равномерно, то мы бы не наблюдали никакой разницы между вероятностью, скажем, пароля 1972 и вероятностью любого другого пароля, оканчивающегося на 72 (??72). Но на самом деле все совсем иначе. Пароль 1972 занимает 76 место с вероятностью 0.099363%. Ниже на гистограмме изображена частота появления паролей ??72 относительно пароля 1972:
На графике сильно выделяется пик у 1972 (а также более слабые пики у 7272 и 1472).
Если мы посчитает отношение частоты появления пароля 1972 к средней частоте появления других паролей вида ??72, то получим 22:1.
PIN-коды, начинающиеся с 19??, встречаются гораздо чаще других PIN-кодов. И лидерство принадлежит не только паролю 1972. Ниже на графике изображено соотношение частотности паролей вида ”19??” к частотности паролей вида “не-19??” для всех 100 возможных комбинаций. На оси OХ отложены все возможные значения последних двух цифр (XX) в PIN-коде; для каждого из вариантов было посчитано, насколько чаще встречается пароль 19XX по отношению к паролю ??XX:
Очень похоже на демографический график (судя по красной прерывистой линии)! График также довольно правдоподобно отражает возрастную аудиторию различных веб-сайтов. Хакеры, безусловно, тоже пробуют год рождения, пытаясь подобрать PIN-код. Имея в своем распоряжении вышеуказанный граф, хакеры могут увеличить свое преимущество почти в 40 раз!
Практически для всех случаев пропорция больше 1,0. Но есть и исключения: у паролей ??00 и ??34 пропорция меньше 1,0. Такое расхождение можно объяснить популярностью паролей 1234 и 0000 (по сравнению с которыми вероятность паролей 1934 и 1900 ничтожно мала). Аналогично, пропорция паролей 1933, 1944, 1955, 1966 ниже ожидаемого значения из-за популярности паролей из четырех одинаковых цифр (3333, 4444, 5555, 6666, и.т.п.).
Пики также можно наблюдать у часто используемых PIN-кодов 1919, 1984 и 1999.
Карта интенсивности – это еще один неплохой способ визуализировать частоты использования PIN-кодов. На карте интенсивности, изображенной слева, по оси ОХ отложены первые две цифры PIN-кода, а по оси OY – последние две цифры. Нижний правый угол соответствует PIN-коду 0000, а правый верхний угол – PIN-коду 9999.
Цвета отражают частоту использования. Самым часто встречающимся паролям соответствуют цвета от желтого до белого, а самым редким паролям – от красного до черного.
Заметка специально для гиков: применялось логарифмическое масштабирование.
Можно часами любоваться картинкой!
Яркая линия по главной диагонали показывает любимые многими людьми PIN-коды с повторяющимися цифрами: 0000, 0101, 0202, …, 5454, 5555, 5656, …, 9898, 9999.
Каждая одиннадцатая точка на главной диагонали чуть ярче остальных, что свидетельствует о высокой частоте использования паролей из четырех одинаковых цифр, например 4444, 5555, и.т.п. Вот увеличенная версия карты интенсивности:
Из карты интенсивности можно узнать множество интересных вещей! Вот всего несколько из них.
Более светлые участки соответствуют парам, цифры в которых располагаются близко друг к другу. По какой-то причине людям не нравится выбирать цифры, расположенные далеко друг от друга. Комбинации типа 45 и 67 встречаются намного чаще, чем комбинации 29 и 37.
Сейчас слева на рисунке выделена линия с паролями вида 19XX. Высокая частота подобных паролей комментировалась выше. Заметьте, что чем выше линия, тем она светлее.
Часто встречаются повторяющие пары цифр, например XYXY. Сотня паролей с повторяющимися парами цифр составляет целых 17,8% от всей выборки!
Целью настоящей статьи было исследование закономерностей и частоты использования различных четырехзначных паролей. Но база данных, которая оказалось в моем распоряжении, содержала все цифровые пароли различной длины. Я думаю, нелишним будет взглянуть и на распределение паролей с длиной большей, чем 4.
Всего я нашел около 7 миллионов цифровых паролей. Примерно половину из них составляли четырехзначные пароли, анализ которых мы уже провели. На втором месте находятся шестизначные пароли, тройку лидеров замыкают восьмизначные пароли.
Я очень, очень сильно надеюсь, что люди с девятизначными паролями не используют в качестве пароля свой номер социального обеспечения!
Ниже в таблице приведены 20 самых популярных паролей каждой длины, а также их доля в пространстве всех паролей той же длины.
Несколько интересных наблюдений (и немного размышлений)
Если вы разработчик, тестер или администратор, то я надеюсь, что моя статья заставит вас серьезно задуматься, и вы немедленно проверите, зашифрована ли конфиденциальная информация в ваших системах. Единственной причиной, по которой я вообще смог провести анализ паролей, является то, что
тупые глупые и ленивые кодеры не удосужились зашифровать пароли. Последствия вашей лени могут ощутить на себе миллионы пользователей.
Если же вы пользователь и среди паролей, о которых говорилось в статье, вы увидели свой пароль/PIN-код, то, надеюсь, у вас хватит здравого смысла поменять его на что-нибудь менее предсказуемое. Как вариант, вы можете полениться и ничего не менять, тогда максимум, кто пострадает от вашей лени, так это только вы.
Уже после публикации статьи я заметил, что многие люди в качестве PIN-кодов используют не только знаменательные года, но и даты в формате MMDD (например, месяц и день рождения). Выбор PIN-кода вида MMDD сразу же объясняет, почему область размером 12х31 на карте интенсивности заметно ярче остальных областей. (Благодарю zero79, за то, что он поделился со мной этим наблюдением).
[1] 42069 получено конкатенацией двух чисел: “420” и “69”. 420 или 4.20pm – это время, когда в Северной Америке было популярно курить марихуану, как следствие, число 420 стало условным обозначением для “курения марихуаны”. 69 – условное название сексуальной позы. 42069 – это сленговое обозначение секса под наркотиками. – Прим. перев.