Vergleichdaten von Bank-PIN

Anja_a3d12b · 12. November 2019 um 15:06

Hallo zusammen,

weiß jemand, wo die Vergleichdaten liegen, mit denen an einem Geldautomat oder Kassen-Terminal die PIN einer Bankkarte geprüft wird?

Mir ist klar, dass die eingegebene PIN vermutlich gehasht o.ä. wird, um anschließend mit einem Prüfwert verglichen zu werden. Nur ist mir nicht klar, wo dieser Prüfwert liegt? In einer geheimen Datenbank des Kreditinstituts?

Weiß jemand da etwas Genaues, wie das Ganze funktioniert?

Danke für Infos
Anja

Allesquatsch · 12. November 2019 um 15:06

so einfach nicht

Mir ist klar, dass die eingegebene PIN vermutlich gehasht o.ä.
wird, um anschließend mit einem Prüfwert verglichen zu werden.

Nein, bei einer so winzigen Zahl wäre das absoluter Schwachsinn. Die Methode mit dem Hashen ist nur dann ein Sicherheitsgewinn, wenn die mögliche Wertemenge (präziser: die Definitionsmenge) hinreichend groß ist.

Üblicherweise werden kurze Schlüssel wie die PIN mit zufälligen Anteilen erweitert, so wie Kennworte gesalzen werden.

Und dass die Vergleichsdaten gleich im Frontend bzw. Webserver liegen, ist nur bei miesen Online-Angeboten so. Im Gegenzug wird der Dienst eingestellt, sobald die Verbindung zu Server weg ist.

Die Verifikation findet vermutlich nicht im GA sondern im RZ der Bank statt.

Wie’s genau bei der EC-Karte funktioniert, weiß ich nicht, da ich nicht in dieser Branche unterwegs bin.

Ciao, Allesquatsch

Killozap · 12. November 2019 um 15:07

Als damals die Karten mit PIN eingeführt wurden, da wurde gesagt, dass die Kartennummern überhaupt nicht irgendwo gespeichert seien. Es sei nur auf der Karte eine verschlüsselte Nummer gespeichert, die mit der Verschlüsselung der eingetippten Nummer verglichen würde.

Anja_a3d12b · 12. November 2019 um 15:09

Als damals die Karten mit PIN eingeführt wurden, da wurde
gesagt, dass die Kartennummern überhaupt nicht irgendwo
gespeichert seien. Es sei nur auf der Karte eine
verschlüsselte Nummer gespeichert, die mit der Verschlüsselung
der eingetippten Nummer verglichen würde.

Tatsächlich?

Wenn aber die verschlüsselte Nummer direkt auf der Karte enthalten ist, kann man doch mit dem PC zuhaus im Schnellverfahren alle 10000 möglichen PINs verschlüsseln und schauen, bei welcher PIN die der auf der Karte vorhandene Schlüssel generiert wird.

Ich gehe mal davon aus, dass das Verschlüsselungsverfahren nicht so geheim ist bzw. bleibt, dass man sie nicht herausbekommen könnte - zumindest sofern man es als Krimineller darauf anlegt.

Gruß
A

godam_a8fc45 · 12. November 2019 um 15:11

Hallo Anja,

das ein Verschlüsselungsverfahren bekannt ist, macht es nicht unsicherer. Oft sogar sicherer.

Der entsprechende Wiki-Artikel

http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identi…

beantworte eigentlich erst einmal relevanten Grundfragen.

Happy Hack!

godam

Anja_a3d12b · 12. November 2019 um 15:13

Hi.

das ein Verschlüsselungsverfahren bekannt ist, macht es nicht
unsicherer. Oft sogar sicherer.

Ja sicher.

Der entsprechende Wiki-Artikel
http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identi…
beantworte eigentlich erst einmal relevanten Grundfragen.

Ja, aber wo die Prüfdaten liegen, steht da auch nicht, oder?

Gruß
Anja

godam_a8fc45 · 12. November 2019 um 15:13

Hallo Anja,

heutzutage meist bei der Onlinezentrale der Dienstleiter.

siehe auch hier:

http://de.wikipedia.org/wiki/Geldautomat#Merkmale_de…

Grüße

godam