web-dev-qa-db-fra.com

Offline Brute-forçage d'une carte bancaire PIN

Je suis peut-être négliger un fait crucial ici, mais mettre les suivants ensemble me conduit à croire qu'il est facile de déterminer une carte bancaire PIN à l'aide du matériel le plus élémentaire disponible pour tout le monde (je parle pour Mon pays dans ce qui suit):

  • Chaque banque dispose d'une application bancaire Internet qui utilise un "Digipass" pour vérifier l'utilisateur. Celles-ci sont toutes faites en Chine et il n'y a que quelques modèles utilisés. Peu importe quel logo ou numéro de série se trouve sur l'appareil, ils fonctionnent tous les mêmes.
  • Le Digipass demande votre code PIN et sait s'il est correct ou non (assez rapide).
  • Un régulier PIN est 4 chiffres, ce qui crée 10000 codes possibles. Brute-forçage qui est facile.

Tout mettre ensemble, et vous obtenez ceci:

  1. Voler une carte bancaire,
  2. modifiez un Digipass pour permettre une succession rapide de PIN Essais de numéro et détectez s'il pense que le PIN Vous avez entré est correct (c'est simple? Electronics, vraiment)
  3. Obtenez une carte PIN en disant 5 secondes par essai, environ 14 heures.

Je dois vraiment manquer quelque chose ou la sécurité de la carte bancaire est-elle ridicule?

banks
9
rubenvb

L'étape 1 est facile, l'étape 2 est difficile. Les puces sont conçues pour empêcher ce type de falsification, des groupes de recherche travaillent depuis des années de manière à faire ce que vous proposez sans attaques réussies.

5
GdD

Je n'ai jamais entendu parler de ce digipass. Je n'en utilise pas lorsque je fais des banques en ligne, je ne pense donc pas que l'attaque s'applique aux États-Unis.

Aux États-Unis, nous avons une carte de guichet automatique (une carte Magstripe avec quelques données sur elle), et si vous volez la carte de guichet automatique de quelqu'un, on peut essayer diverses goupilles. Cependant, la vérification d'une broche implique une communication avec le mainframe de la banque, et si vous entrez le PIN incorrectement 3 fois, la banque avale votre carte de guichet automatique (et verrouille probablement le compte). Ainsi , la supposition exhaustive du PIN ne fonctionnera pas, car vous n'avez que quelques essais.

Je m'attendrais à ce que des banques américaines appliquent la même défense contre la supposition des mots de passe bancaires en ligne. Et dans tout ce que votre pays est, je vous attendrais à ce que les banques ontient appliqué une défense similaire contre la supposition exhaustive de votre code PIN, soit implémentées dans le Digipass, soit dans les systèmes de fin de banque (ce dernier n'est possible que si l'authentification nécessite une interaction. entre le Digipass et le serveur de banque, mais c'est un moyen raisonnable de concevoir un protocole d'authentification).

2
D.W.