Персональный идентификационный номер - Personal identification number

Персональный идентификационный номер, отправленный пользователю в письме. Затемненный бумажный клапан препятствует считыванию номера, если держать закрытый конверт на свету.

Личный идентификационный номер ( PIN - код ), а иногда и избыточностью номер PIN - кода , является числовым (иногда буквенно-цифровой ) код доступа , используемый в процессе аутентификации пользователя доступа к системе.

PIN-код стал ключом к облегчению обмена частными данными между различными центрами обработки данных в компьютерных сетях для финансовых учреждений, правительств и предприятий. PIN-коды могут использоваться, среди прочего, для аутентификации банковских систем с держателями карт, правительства с гражданами, предприятий с сотрудниками и компьютеров с пользователями.

Обычно PIN-коды используются в транзакциях банкоматов или торговых точек, безопасном управлении доступом (например, доступ к компьютеру, доступ к двери, доступ к автомобилю), транзакциям в Интернете или для входа на веб-сайт с ограниченным доступом.

История

PIN возникла с введением банкомата (ATM) в 1967 году, как эффективный способ для банков выдавать наличные для своих клиентов. Первой системой банкоматов была система Barclays в Лондоне в 1967 году; он принимал чеки с машиночитаемой кодировкой, а не карты, и сопоставлял PIN-код с чеком. В 1972 году Lloyds Bank выпустил первую банковскую карту с магнитной полосой, кодирующей информацию, с использованием PIN-кода для безопасности. Джеймс Гудфеллоу , изобретатель, запатентовавший первый личный идентификационный номер, был удостоен ВТО в 2006 году в честь Дня Рождения королевы .

Мохамед М. Аталла изобрел первый аппаратный модуль безопасности на основе PIN-кода (HSM), получивший название «Atalla Box», систему безопасности, которая шифрует PIN-коды и сообщения банкомата и защищает автономные устройства с помощью непонятного ключа для генерации PIN-кода. В 1972 году Аталла подал патент США 3938091 на свою систему проверки PIN-кода, которая включала в себя закодированный считыватель карт и описывала систему, в которой использовались методы шифрования для обеспечения безопасности телефонной связи при вводе личной идентификационной информации, которая передавалась в удаленное место для проверки.

В 1972 году он основал корпорацию Atalla (ныне Utimaco Atalla ), а в 1973 году запустил на рынок "Atalla Box". Продукт был выпущен под названием Identikey. Это был считыватель карт и система идентификации клиентов , обеспечивающая терминал с возможностью ввода пластиковой карты и PIN-кода. Система была разработана, чтобы позволить банкам и сберегательным учреждениям перейти на среду пластиковых карт с программы сберегательных книжек . Система Identikey состояла из консоли считывателя карт, двух контактных панелей клиентов , интеллектуального контроллера и встроенного электронного интерфейса. Устройство состояло из двух клавиатур , одной для клиента и одной для кассира. Это позволяло клиенту вводить секретный код, который преобразуется устройством с помощью микропроцессора в другой код для кассира. Во время транзакции считыватель карт считал номер счета клиента . Этот процесс заменил ручной ввод и позволил избежать возможных ошибок нажатия клавиш. Это позволило пользователям заменить традиционные методы проверки клиентов, такие как проверка подписи и тестовые вопросы, на безопасную систему PIN. В знак признания его работы над PIN-системой управления информационной безопасностью Аталлу называют «отцом PIN-кода».

Успех «Atalla Box» привел к широкому распространению аппаратных модулей безопасности на основе PIN-кода. Его процесс проверки PIN был похож на более поздний IBM 3624 . К 1998 году около 70% всех транзакций банкоматов в Соединенных Штатах проходило через специализированные аппаратные модули Atalla, а к 2003 году Atalla Box обеспечивал защиту 80% всех банкоматов в мире, а по состоянию на 2006 год этот показатель увеличился до 85%. HSM-продукты Atalla. защищать 250  миллионов транзакций по картам каждый день по состоянию на 2013 год и по-прежнему обеспечивать безопасность большинства транзакций через банкоматы в мире по состоянию на 2014 год.

Финансовые услуги

Использование PIN-кода

В контексте финансовой транзакции для аутентификации пользователя в системе обычно требуются как частный «PIN-код», так и общедоступный идентификатор пользователя. В этих ситуациях обычно от пользователя требуется предоставить неконфиденциальный идентификатор пользователя или токен ( идентификатор пользователя ) и конфиденциальный PIN-код для получения доступа к системе. После получения идентификатора пользователя и PIN-кода система ищет PIN-код на основе идентификатора пользователя и сравнивает найденный PIN-код с полученным PIN-кодом. Пользователю предоставляется доступ только в том случае, если введенный номер совпадает с номером, хранящимся в системе. Следовательно, несмотря на название, PIN-код не идентифицирует пользователя лично . ПИН - код не печатается или внедренный на карте , но вручную вводится владельцем карты во время банкомата (ATM) и точки продажи (POS) сделок (например, те , которые соответствуют EMV ), и в картах не представляют операции, такие как через Интернет, так и через телефонный банкинг.

Длина ПИН

Международный стандарт управления PIN- кодами финансовых услуг, ISO 9564-1 , допускает использование PIN-кодов от четырех до двенадцати цифр, но рекомендует, чтобы из соображений удобства использования эмитент карты не назначал PIN-код длиннее шести цифр. Изобретатель банкомата Джон Шеперд-Бэррон сначала представил шестизначный цифровой код, но его жена могла запомнить только четыре цифры, и эта длина стала наиболее часто используемой длиной во многих местах, хотя банки в Швейцарии и многие другие в других странах требуется шестизначный PIN-код.

Проверка PIN-кода

Есть несколько основных методов проверки PIN-кода. Обсуждаемые ниже операции обычно выполняются в аппаратном модуле безопасности (HSM).

IBM 3624 метод

Одной из первых моделей банкоматов был IBM 3624 , в котором использовался метод IBM для генерации того, что называется естественным PIN-кодом . Естественный PIN-код создается путем шифрования номера основного счета (PAN) с использованием ключа шифрования, созданного специально для этой цели. Этот ключ иногда называют ключом генерации PIN-кода (PGK). Этот PIN-код напрямую связан с номером основного счета. Для подтверждения PIN-кода банк-эмитент повторно создает PIN-код, используя вышеуказанный метод, и сравнивает его с введенным PIN-кодом.

Естественные ПИН-коды не могут выбираться пользователем, поскольку они получены из PAN. Если карта перевыпускается с новым PAN, необходимо сгенерировать новый PIN-код.

Естественные PIN-коды позволяют банкам выпускать письма-напоминания о PIN-кодах, поскольку PIN-код может быть сгенерирован.

IBM 3624 + метод смещения

Чтобы разрешить выбор PIN-кода пользователем, можно сохранить значение смещения PIN-кода. Смещение находится путем вычитания естественного PIN-кода из PIN-кода, выбранного клиентом, по модулю 10. Например, если естественный PIN-код равен 1234, а пользователь желает иметь PIN-код 2345, смещение будет 1111.

Смещение может храниться либо в данных отслеживания карты, либо в базе данных эмитента карты.

Для проверки PIN-кода банк-эмитент вычисляет естественный PIN-код, как в описанном выше методе, затем добавляет смещение и сравнивает это значение с введенным PIN-кодом.

ВИЗОВЫЙ метод

При использовании этого терминала для кредитных карт владелец карты VISA проводит или вставляет свою кредитную карту и вводит свой PIN-код на клавиатуре.

Метод VISA используется во многих схемах карт и не зависит от VISA. Метод VISA генерирует значение проверки PIN-кода (PVV). Подобно значению смещения, оно может храниться в данных трека карты или в базе данных эмитента карты. Это называется эталонным PVV.

Метод VISA принимает крайние правые одиннадцать цифр PAN, исключая значение контрольной суммы, индекс ключа проверки PIN-кода (PVKI, выбирается от одного до шести, PVKI, равный 0, указывает, что PIN-код не может быть проверен через PVS) и требуемое значение PIN для сделать 64-битное число, PVKI выбирает ключ проверки (PVK, 128 бит) для шифрования этого числа. По этому зашифрованному значению находится PVV.

Для подтверждения PIN-кода банк-эмитент вычисляет значение PVV на основе введенного PIN-кода и PAN и сравнивает это значение с эталонным PVV. Если эталонный PVV и рассчитанный PVV совпадают, был введен правильный PIN-код.

В отличие от метода IBM, метод VISA не выводит PIN-код. Значение PVV используется для подтверждения PIN-кода, введенного на терминале, также использовалось для создания ссылочного PVV. PIN-код, используемый для создания PVV, может быть сгенерирован случайным образом, выбран пользователем или даже получен с использованием метода IBM.

PIN-код безопасности

Финансовые ПИН-коды часто представляют собой четырехзначные числа в диапазоне 0000–9999, что дает 10 000 возможных комбинаций. По умолчанию Швейцария выдает шестизначные PIN-коды.

Некоторые системы устанавливают ПИН-коды по умолчанию и большинство позволяют клиенту установить ПИН-код или изменить ПИН-код по умолчанию, а в некоторых смена ПИН-кода при первом доступе является обязательной. Клиентам обычно рекомендуется не устанавливать PIN-код на основе дней рождения их или их супруга, номеров водительских прав, последовательных или повторяющихся номеров или некоторых других схем. Некоторые финансовые учреждения не выдают и не разрешают PIN-коды, в которых все цифры идентичны (например, 1111, 2222, ...), последовательные (1234, 2345, ...), номера, начинающиеся с одного или нескольких нулей, или последние четыре цифры. номера социального страхования или даты рождения держателя карты .

Многие системы проверки PIN-кода допускают три попытки, тем самым давая похитителю карты предполагаемую вероятность 0,03% угадать правильный PIN-код до того, как карта будет заблокирована. Это справедливо только в том случае, если все PIN-коды одинаково вероятны и злоумышленник не имеет доступной дополнительной информации, чего не было с некоторыми из многих алгоритмов генерации и проверки PIN-кодов, которые финансовые учреждения и производители банкоматов использовали в прошлом.

Были проведены исследования по часто используемым PIN-кодам. В результате, если не задумываться, значительная часть пользователей может найти свой PIN-код уязвимым. «Имея всего четыре возможности, хакеры могут взломать 20% всех PIN-кодов. Разрешите им не более пятнадцати цифр, и они смогут открыть счета более четверти держателей карт».

Бьющиеся PIN-коды могут ухудшаться с увеличением длины, а именно:

Проблема с угадываемыми PIN-кодами неожиданно усугубляется, когда клиенты вынуждены использовать дополнительные цифры, переходя от примерно 25% вероятности для пятнадцати номеров к более чем 30% (не считая 7-значных цифр для всех этих телефонных номеров). Фактически, около половины всех 9-значных PIN-кодов можно сократить до двух десятков возможных, в основном потому, что более 35% всех людей используют слишком заманчивый 123456789. Что касается остальных 64%, есть большая вероятность, что они используют их номер социального страхования , что делает их уязвимыми. (Номера социального страхования содержат собственные хорошо известные шаблоны.)

Недостатки реализации

В 2002 году два аспиранта Кембриджского университета , Петр Зелиньски и Майк Бонд, обнаружили брешь в системе безопасности в системе генерации PIN-кодов IBM 3624 , которая дублировалась в большинстве более поздних аппаратных средств. Эта уязвимость, известная как атака на таблицу десятичных чисел , позволяет человеку, имеющему доступ к компьютерной системе банка, определять ПИН-код для карты банкомата в среднем за 15 попыток.

Обратный обман PIN-кода

По электронной почте ходят слухи о том, что в случае ввода ПИН-кода в банкомат в обратном порядке, полиция будет немедленно предупреждена, а деньги обычно выдаются, как если бы ПИН-код был введен правильно. Цель этой схемы - защитить жертв грабежей; однако, несмотря на то, что система предлагается для использования в некоторых штатах США, в настоящее время нет банкоматов, в которых использовалось бы это программное обеспечение.

Коды доступа к мобильному телефону

Мобильный телефон может быть защищен PIN-кодом. Если этот параметр включен, PIN-код (также называемый кодом доступа) для мобильных телефонов GSM может содержать от четырех до восьми цифр и записывается на SIM-карту . Если такой PIN-код введен неправильно три раза, SIM-карта блокируется до тех пор, пока не будет введен персональный код разблокировки (PUC или PUK), предоставленный оператором службы. Если код PUC введен неправильно десять раз, SIM-карта будет заблокирована навсегда, и для этого потребуется новая SIM-карта у оператора мобильной связи.

PIN-коды также обычно используются в смартфонах в качестве формы личной аутентификации, поэтому только те, кто знает PIN-код, смогут разблокировать устройство. После ряда неудачных попыток ввода правильного ПИН-кода пользователю может быть запрещено повторять попытку в течение определенного периода времени, все данные, хранящиеся на устройстве, могут быть удалены, или пользователя могут попросить ввести альтернативную информацию, которая только владелец должен знать об аутентификации. Возникнет ли какое-либо из вышеупомянутых явлений после неудачных попыток ввода ПИН-кода, во многом зависит от устройства и предпочтений, выбранных владельцем в его настройках.

Смотрите также

использованная литература