Персональный идентификационный номер - Personal identification number

Персональный идентификационный номер, отправляемый пользователю в письме. Затемненный бумажный клапан предотвращает считывание номера, если держать закрытый конверт на свету.

А персональный идентификационный номер (ШТЫРЬ), а иногда избыточно а Пин код, представляет собой числовой или буквенно-цифровой код доступа, используемый в процессе аутентификации пользователя, осуществляющего доступ к системе.

Персональный идентификационный номер был ключом к процветанию обмена личные данные между различными центрами обработки данных в компьютерных сетях для финансовых учреждений, правительств и предприятий.[1] PIN-коды могут использоваться, среди прочего, для аутентификации банковских систем с держателями карт, правительства с гражданами, предприятий с сотрудниками и компьютеров с пользователями.

Обычно PIN-коды используются в транзакциях через банкоматы или POS-терминалы,[2] безопасный контроль доступа (например, доступ к компьютеру, доступ к двери, доступ к автомобилю),[3] интернет-транзакции[4] или чтобы войти в веб-сайт с ограниченным доступом.

История

PIN-код возник с введением банкомат (Банкомат) в 1967 году как эффективный способ для банков раздавать наличные своим клиентам. Первой системой банкоматов была система Barclays в Лондоне в 1967 году; это принято чеки с машиночитаемой кодировкой, а не с карточками, и сопоставил ПИН-код с чеком.[5][6][7] 1972, Lloyds Bank выпустила первую банковскую карту с магнитной полосой, кодирующей информацию, с использованием ПИН-кода для безопасности.[8] Джеймс Гудфеллоу изобретатель, запатентовавший первый личный идентификационный номер, был награжден OBE в 2006 году День Рождения Королевы.[9][10]

Мохамед М. Аталла изобрел первый на основе PIN аппаратный модуль безопасности (HSM),[11] получил название "Atalla Box", система безопасности, которая зашифровывает PIN-код и Банкомат сообщения и защищенные автономные устройства с помощью неизвестного ключа для генерации PIN-кода.[12] В 1972 году Аталла подал Патент США 3938091 для его системы проверки PIN-кода, которая включала закодированный картридер и описал систему, которая использует шифрование методы для обеспечения безопасности телефонной связи при вводе личной идентификационной информации, которая была передана в удаленное место для проверки.[13]

Он основал Корпорация Аталла (сейчас же Утимако Аталла ) в 1972 г.,[14] и коммерческий запуск "Atalla Box" в 1973 году.[12] Продукт был выпущен как Identikey. Это был кардридер и система идентификации клиентов, предоставляя терминал с возможностью пластиковой карты и PIN-кода. Система была разработана, чтобы позволить банки и сберегательные учреждения перейти на среду пластиковых карт из сберегательная книжка программа. Система Identikey состояла из консоли считывателя карт, двух клиентских Контактные площадки, интеллектуальный контроллер и встроенный электронный интерфейсный блок.[15] Устройство состояло из двух клавиатуры, один для клиента и один для кассира. Это позволяло клиенту вводить секретный код, который преобразовывается устройством, используя микропроцессор, в другой код для кассира.[16] Во время сделка, потребители номер счета был прочитан картридером. Этот процесс заменил ручной ввод и позволил избежать возможных ошибок нажатия клавиш. Это позволило пользователям заменить традиционные методы проверки клиентов, такие как проверка подписи и тестовые вопросы, на безопасную систему PIN.[15] В знак признания его работы над системой PIN управление информационной безопасностью, Аталлу называют «Отцом ПИН».[17][18][19]

Успех «Atalla Box» привел к широкому распространению аппаратных модулей безопасности на основе PIN-кода.[20] Процесс проверки PIN-кода был похож на более поздний IBM 3624.[21] К 1998 году около 70% всех транзакций банкоматов в США проходило через специализированные аппаратные модули Atalla,[22] а к 2003 году Atalla Box защищал 80% всех банкоматов в мире,[17] увеличиваясь до 85% по состоянию на 2006 год.[23] Продукты Atalla HSM защищают 250 миллион карточные операции ежедневно с 2013 г.,[14] и по-прежнему обеспечивать безопасность большинства транзакций через банкоматы в мире по состоянию на 2014 год.[11]

Финансовые услуги

Использование PIN-кода

В контексте финансовой транзакции для аутентификации пользователя в системе обычно требуются как частный «PIN-код», так и общедоступный идентификатор пользователя. В этих ситуациях обычно от пользователя требуется предоставить неконфиденциальный идентификатор пользователя или токен ( ID пользователя) и конфиденциальный PIN-код для доступа к системе. После получения идентификатора пользователя и PIN-кода система ищет PIN-код на основе идентификатора пользователя и сравнивает найденный PIN-код с полученным PIN-кодом. Пользователю предоставляется доступ только в том случае, если введенный номер совпадает с номером, хранящимся в системе. Следовательно, несмотря на название, PIN-код не лично идентифицировать пользователя.[24] PIN-код не печатается и не встроен в карту, а вручную вводится владельцем карты во время банкомат (Банкомат) и торговая точка (POS) транзакции (например, те, которые соответствуют EMV ), И в карты нет транзакции, например, через Интернет или по телефону.

Длина ПИН

Международный стандарт управления PIN-кодами финансовых услуг, ISO 9564 -1, позволяет вводить PIN-коды от четырех до двенадцати цифр, но рекомендует, чтобы из соображений удобства использования эмитент карты не назначал PIN-код более шести цифр.[25] Изобретатель банкомата, Джон Шеперд-Бэррон, сначала представил себе шестизначный цифровой код, но его жена могла запомнить только четыре цифры, и эта длина стала наиболее часто используемой во многих местах,[6] хотя банки в Швейцария и во многих других странах требуется шестизначный PIN-код.

Проверка PIN-кода

Есть несколько основных методов проверки PIN-кода. Обсуждаемые ниже операции обычно выполняются в аппаратный модуль безопасности (HSM).

IBM 3624 метод

Одной из самых ранних моделей банкоматов была IBM 3624, который использовал метод IBM для создания того, что называется естественный PIN-код. Естественный ПИН-код генерируется путем шифрования основного номера учетной записи (PAN) с использованием ключа шифрования, созданного специально для этой цели.[26] Этот ключ иногда называют ключом генерации PIN-кода (PGK). Этот PIN-код напрямую связан с номером основного счета. Для подтверждения PIN-кода банк-эмитент повторно создает PIN-код, используя вышеуказанный метод, и сравнивает его с введенным PIN-кодом.

Пользовательские ПИН-коды не могут выбираться пользователем, поскольку они получены из PAN. Если карта перевыпускается с новым PAN, необходимо сгенерировать новый PIN.

Естественные PIN-коды позволяют банкам выпускать письма-напоминания о PIN-кодах, поскольку PIN-код может быть сгенерирован.

IBM 3624 + метод смещения

Чтобы разрешить выбор PIN-кода пользователем, можно сохранить значение смещения PIN-кода. Смещение находится путем вычитания естественного PIN-кода из PIN-кода, выбранного клиентом, используя по модулю 10.[27] Например, если естественный PIN-код - 1234, а пользователь желает иметь PIN-код 2345, смещение будет 1111.

Смещение может быть сохранено в данных трека карты,[28] или в базе данных эмитента карты.

Для проверки ПИН-кода банк-эмитент вычисляет естественный ПИН-код, как в описанном выше методе, затем добавляет смещение и сравнивает это значение с введенным ПИН-кодом.

VISA метод

При использовании этого терминала для кредитных карт владелец карты VISA проводит или вставляет свою кредитную карту и вводит свой PIN-код на клавиатуре.

Метод VISA используется во многих схемах карт и не привязан к VISA. Метод VISA генерирует значение проверки PIN-кода (PVV). Подобно значению смещения, оно может храниться в данных трека карты или в базе данных эмитента карты. Это называется эталонным PVV.

Метод VISA принимает крайние правые одиннадцать цифр PAN, исключая значение контрольной суммы, индекс ключа проверки PIN (PVKI, выбирается от одного до шести) и требуемое значение PIN для создания 64-битного числа, PVKI выбирает ключ проверки (PVK , 128 бит), чтобы зашифровать это число. По этому зашифрованному значению находится PVV.[29]

Для проверки PIN-кода банк-эмитент вычисляет значение PVV на основе введенного PIN-кода и PAN и сравнивает это значение с эталонным PVV. Если эталонный PVV и рассчитанный PVV совпадают, был введен правильный PIN-код.

В отличие от метода IBM, метод VISA не выводит PIN-код. Значение PVV используется для подтверждения PIN-кода, введенного на терминале, также использовалось для создания ссылочного PVV. PIN-код, используемый для генерации PVV, может быть сгенерирован случайным образом или выбран пользователем или даже получен с использованием метода IBM.

PIN-код безопасности

Финансовые PIN-коды часто представляют собой четырехзначные числа в диапазоне 0000–9999, что дает 10 000 возможных комбинаций. По умолчанию Швейцария выдает шестизначные PIN-коды.

Некоторые системы устанавливают ПИН-коды по умолчанию и большинство позволяют клиенту установить ПИН-код или изменить ПИН-код по умолчанию, а в некоторых смена ПИН-кода при первом доступе является обязательной. Клиентам обычно рекомендуется не устанавливать PIN-код на основании дней рождения их или их супруга, номеров водительских прав, последовательных или повторяющихся номеров или некоторых других схем. Некоторые финансовые учреждения не выдают и не разрешают PIN-коды, в которых все цифры идентичны (например, 1111, 2222, ...), последовательные (1234, 2345, ...), номера, начинающиеся с одного или нескольких нулей, или последние четыре цифры. держателя карты ИНН или дату рождения.[нужна цитата ]

Многие системы проверки PIN-кода допускают три попытки, таким образом давая похитителю карты предполагаемый 0,03% вероятность угадать правильный PIN-код до того, как карта заблокируется. Это справедливо только в том случае, если все PIN-коды одинаково вероятны и у злоумышленника нет дополнительной информации, чего не было в некоторых из многих алгоритмов генерации и проверки PIN-кодов, которые финансовые учреждения и производители банкоматов использовали в прошлом.[30]

Было проведено исследование часто используемых PIN-кодов.[31] В результате значительная часть пользователей без предусмотрительности может счесть свой PIN-код уязвимым. «Имея только четыре возможности, хакеры могут взломать 20% всех PIN-кодов. Разрешите им не более пятнадцати цифр, и они смогут использовать счета более четверти держателей карт».[32]

Бьющиеся PIN-коды могут ухудшаться с увеличением длины, а именно:

Проблема с угадываемыми PIN-кодами неожиданно усугубляется, когда клиенты вынуждены использовать дополнительные цифры, переходя от примерно 25% вероятности для пятнадцати номеров к более чем 30% (не считая 7-значных цифр для всех этих телефонных номеров). Фактически, около половины всех 9-значных PIN-кодов можно сократить до двух десятков возможных, в основном потому, что более 35% всех людей используют слишком заманчивый 123456789. Что касается остальных 64%, есть большая вероятность, что они используют их ИНН, что делает их уязвимыми. (Номера социального страхования содержат хорошо известные шаблоны.)[32]

Недостатки реализации

В 2002 г. двое аспирантов Кембриджский университет, Петр Зелински и Майк Бонд обнаружили брешь в системе безопасности в системе генерации PIN-кода IBM 3624, который был продублирован в более позднем оборудовании. Известный как атака таблицы десятичных чисел, этот недостаток позволит человеку, имеющему доступ к компьютерной системе банка, определить ПИН-код для карты банкомата в среднем за 15 попыток.[33][34]

Обратный обман PIN-кода

По электронной почте ходят слухи, что в случае ввода ПИН-кода в банкомат в обратном порядке, полиция будет немедленно предупреждена, а деньги обычно выдаются так, как если бы ПИН-код был введен правильно.[35] Цель этой схемы - защитить жертв ограблений; однако, несмотря на система предлагается для использования в некоторых штатах США,[36][37] в настоящее время банкоматов нет[когда? ] существуют, которые используют это программное обеспечение.[нужна цитата ]

Пароли мобильного телефона

Мобильный телефон может быть защищен PIN-кодом. Если включено, PIN-код (также называемый паролем) для GSM мобильные телефоны могут содержать от четырех до восьми цифр[38] и записывается в сим-карта. Если такой ПИН-код введен неправильно три раза, SIM-карта блокируется до персональный код разблокировки (PUC или PUK), предоставленный оператором службы. Если код PUC введен неправильно десять раз, SIM-карта будет заблокирована навсегда, и для этого потребуется новая SIM-карта у оператора мобильной связи.

PIN-коды также часто используются в смартфонах в качестве формы личной аутентификации, поэтому только те, кто знает PIN-код, смогут разблокировать устройство. После ряда неудачных попыток ввода правильного ПИН-кода пользователь может быть заблокирован от повторной попытки в течение определенного периода времени, все данные, хранящиеся на устройстве, могут быть удалены, или пользователя могут попросить ввести альтернативную информацию, которая только владелец должен знать об аутентификации. Возникнет ли какое-либо из упомянутых ранее явлений после неудачных попыток ввода ПИН-кода, во многом зависит от устройства и выбранных пользователем предпочтений в его настройках.

Смотрите также

Рекомендации

  1. ^ Хиггс, Эдвард (1998). История и электронные артефакты. Издательство Оксфордского университета. ISBN  0198236336.
  2. ^ Мартин, Кейт (2012). Повседневная криптография: основные принципы и приложения. Издательство Оксфордского университета. ISBN  9780199695591.
  3. ^ Кейл, Стефан (2013). Безопасность мобильного доступа: помимо BYOD. Wiley Publishing. ISBN  978-1-84821-435-4.
  4. ^ "Электронная коммерция: запутанная сеть для дебетования PIN-кода". Цифровые транзакции. 1 февраля 2013 г. - через Associated Press.
  5. ^ Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе банковских карт (2005), стр. 1-3.
  6. ^ а б «Человек, который изобрел банкомат». BBC. 2007-06-25. Получено 2014-06-15.
  7. ^ «Изобретатель банкомата Джон Шеперд-Бэррон умер в возрасте 84 лет». Лос-Анджелес Таймс. 19 мая 2010 г. - через Associated Press.
  8. ^ Джаруни Вонглимпияра, Стратегии конкуренции в бизнесе банковских карт (2005), стр. 5.
  9. ^ «Королевская честь изобретателю булавки». BBC. 2006-06-16. Получено 2007-11-05.
  10. ^ ГБ 1197183  «Улучшения в системах дозирования, управляемых клиентом, или относящиеся к ним» - Иван Оливейра, Энтони Дэвис, Джеймс Гудфеллоу
  11. ^ а б Стиеннон, Ричард (17 июня 2014 г.). «Управление ключами в быстрорастущем пространстве». БезопасностьТекущий. IT-Harvest. Получено 21 августа 2019.
  12. ^ а б Батис-Лазо, Бернардо (2018). Cash and Dash: как банкоматы и компьютеры изменили банковское дело. Oxford University Press. С. 284 и 311. ISBN  9780191085574.
  13. ^ «Экономические последствия программы стандарта шифрования данных (DES) NIST» (PDF). Национальный институт стандартов и технологий. Министерство торговли США. Октябрь 2001 г.. Получено 21 августа 2019.
  14. ^ а б Лэнгфорд, Сьюзен (2013). "Атаки с обналичиванием банкоматов" (PDF). Hewlett Packard Enterprise. Hewlett Packard. Получено 21 августа 2019.
  15. ^ а б «Система идентификации разработана как модернизация NCR 270». Computerworld. IDG Enterprise. 12 (7): 49. 13 февраля 1978 г.
  16. ^ «Представлены четыре продукта для онлайн-транзакций». Computerworld. IDG Enterprise. 10 (4): 3. 26 января 1976 г.
  17. ^ а б "Мартин М. (Джон) Аталла". Университет Пердью. 2003. Получено 2 октября 2013.
  18. ^ "Гуру безопасности взялся за Интернет: отец PIN-кода" unretires "для запуска TriStrata". Деловые журналы. Деловые журналы американского города. 2 мая 1999 г.. Получено 23 июля 2019.
  19. ^ "Инженерные школы Purdue чествуют 10 выдающихся выпускников". Журнал и курьер. 5 мая 2002 г. с. 33.
  20. ^ Батис-Лазо, Бернардо (2018). Cash and Dash: как банкоматы и компьютеры изменили банковское дело. Oxford University Press. п. 311. ISBN  9780191085574.
  21. ^ Конхейм, Алан Г. (1 апреля 2016 г.). «Банкоматы: их история и протоколы аутентификации». Журнал криптографической инженерии. 6 (1): 1–29. Дои:10.1007 / s13389-015-0104-3. ISSN  2190-8516. Архивировано из оригинал 22 июля 2019 г.. Получено 22 июля 2019.
  22. ^ Грант, Гейл Л. (1998). Понимание цифровых подписей: установление доверия через Интернет и другие сети. Макгроу-Хилл. п. 163. ISBN  9780070125544. Фактически, около 70 процентов всех банковских транзакций через банкоматы в США проходят через специализированные аппаратные модули безопасности Atalla.
  23. ^ «Обзор портфеля платежных и GP HSM» (PDF). Utimaco. Получено 22 июля 2019.
  24. ^ Ваш идентификационный номер не является паролем, Webb-site.com, 8 ноября 2010 г.
  25. ^ ISO 9564-1: 2011 Финансовые услуги - Управление персональным идентификационным номером (ПИН) и безопасность - Часть 1. Основные принципы и требования к ПИН в карточных системах, пункт 8.1 Длина PIN-кода
  26. ^ «Алгоритм создания PIN-кода 3624». IBM.
  27. ^ «Алгоритм генерации смещения ПИН». IBM.
  28. ^ «Дорожный формат карт с магнитной полосой». Gae.ucm.es.
  29. ^ «Алгоритм генерации PVV». IBM.
  30. ^ Кун, Маркус (июль 1997 г.). «Теория вероятностей для карманников - угадывание ec-PIN» (PDF). Получено 2006-11-24. Цитировать журнал требует | журнал = (помощь)
  31. ^ Ник Берри (28 сентября 2012 г.). "Наиболее распространенные PIN-коды: уязвим ли ваш банковский счет?". Сайт газеты Guardian. Получено 2013-02-25.
  32. ^ а б Лундин, Ли (2013-08-04). «ПИН-коды и пароли, часть 1». Пароли. Орландо: SleuthSayers. Имея всего четыре возможности, хакеры могут взломать 20% всех PIN-кодов.
  33. ^ Зелински, P & Bond, M (февраль 2003 г.). «Атаки на таблицу десятичной системы для взлома PIN-кода» (PDF). 02453. Компьютерная лаборатория Кембриджского университета. Получено 2006-11-24. Цитировать журнал требует | журнал = (помощь)
  34. ^ "Освещение в СМИ". Компьютерная лаборатория Кембриджского университета. Получено 2006-11-24.
  35. ^ «Обратный панический код». Получено 2007-03-02.
  36. ^ Полный текст SB0562 Генеральная ассамблея штата Иллинойс, по состоянию на 20 июля 2011 г.
  37. ^ sb379_SB_379_PF_2.html Законопроект Сената № 379 В архиве 2012-03-23 ​​в Wayback Machine Генеральная ассамблея Джорджии, опубликовано в 2006 г., по состоянию на 20 июля 2011 г.
  38. ^ 082251615790 Модули идентификации абонента GSM 02.17, функциональные характеристики, версия 3.2.0, февраль 1992 г., п. 3.1.3