EC-Karte PIN

[whisper]

Das die 4-stellige PIN der EC-Karte ziemlich schwach ist, weiß ich

https://www.sv-gramberg.de/2012/forum.htm

Doch wir haben hier eine EC-Karte, bei der 2 4-Stellige Pin korrekt sind.
Ist durch Zufall aufgefallen.
Kommt das häufiger vor?

[uname]

Es stimmt, dass bei einigen EC-Karten mehrere 4-stellige Nummern funktionieren. Habe ich mal irgendwo gehört oder gelesen.
Aber es ist auch so, dass mit der PIN eigentlich nur der EMV-Chip angesteuert wird.
Übertragen werden nur Kryptoinformationen des EMV-Chips.
Man kann also die 4-stellige PIN nicht mit einem Passwort vergleichen, welches man irgendwohin überträgt.
Ohne zugehörige EC-Karte (EMV-Chip) ist die 4-stellige PIN wertlos (Sicherheit durch Besitz und Wissen).
https://de.wikipedia.org/wiki/Contact_EMV

Es gibt oder gab Fälle wo Kartenlesegeräte manipuliert waren (Auslesen PIN) und dann die EC-Karten geklaut wurden.

Tipp:
EC-Karte nie aus der Hand geben und wenn verloren sofort sperren lassen.
Dann würde man theoretisch sogar ohne PIN auskommen.
Genauso wie man eigentlich sein Smartphone nicht sperren muss wenn man es sowieso nie aus der Hand gibt.

Grundsätzlich ist die Qualität bzw. Komplexität eines Passwortes unwichtig, wenn dieses in Klartext abgefangen wird.
Bei der EC-Karte sollten 4-stellige Nummern reichen, da Karten nach einigen Fehlversuchen gesperrt werden.
Und natürlich niemals die PIN aufschreiben. Das Risiko manipulierter Kartenlesegeräte z. B. im Supermarkt bleibt.

Insgesamt ist der Verlust der PIN ohne Verlust der EC-Karte unkritisch.
Erst wenn man die EC-Karte verliert, sollte man sich über den Verlust der PIN überhaupt Sorgen machen.

[paedubucher]

Vier Zeichen? (Das habe ich einmal bei den Simpsons gesehen, als Homer Ned Flanders beim Geldabheben gefilmt hat. Aber ich dachte, das sei für den Trickfilm vereinfacht worden.) In der Schweiz sind sechs Zeichen der Standard. Kann man bei euch in Deutschland den PIN auch am Bankomat wechseln und z.B. sechsstellig machen?

[uname]

Teilweise kann man die PIN selbst setzen. Deine 6-stellige PIN hat im übrigen keinen wirklichen Sicherheitsvorteil zu unserer 4-stelligen PIN siehe mein Kommentar oben. Vielleicht wenn man von Personen bei der Eingabe beobachtet wird und einem anschließend die Karte geklaut wird. Dann ist es vielleicht einfacher 4 statt 6 Stellen sich zu merken. Aber daher soll man ja auch bei der Eingabe die Hand davorhalten. Wenn das Gerät manipuliert ist, ist es egal ob die PIN 4-stellig oder 100-stellig ist. Geklaut werden muss die Karte aber in allen Fällen.
Das mit dem Passwort ist im Debianforum so ähnlich. In der Datenbank selbst mögen komplexe Passwörter sinnvoll sein. Wird am Client, auf den Weg oder auf dem Webserver das Passwort mitgelesen, ist die Komplexität egal. Unser Admin hier im Forum muss nicht die Passwort-Datenbank mit einen Supercomputer oder in irgendeiner Cloud entschlüsseln. Er kann die Passwörter bei der Anmeldung in Klartext einfach mitlesen. https://www.heise.de/meinung/Kommentar- ... 71713.html

[Meillo]

Vielleicht wenn man von Personen bei der Eingabe beobachtet wird und einem anschließend die Karte geklaut wird. Dann ist es vielleicht einfacher 4 statt 6 Stellen sich zu merken. Aber daher soll man ja auch bei der Eingabe die Hand davorhalten.

Ich denke mir: Wenn man direkt als naechster am Automat mit der Waermebildkamera die Tasten aufnimmt, dann kann man sicherlich sehen, welche gedrueckt worden sind, vermutlich sogar falls eine doppelt gedrueckt worden ist. Wenn man dann die Karte klaut, ist die Ratewahrscheinlichkeit ziemlich hoch. So muesste man noch nicht mal zuschauen.

Ob's wirklich funktioniert, weiss ich nicht, hab's nicht ausprobiert.

[GregorS]

Ob's wirklich funktioniert, weiss ich nicht, hab's nicht ausprobiert.

Mach' doch mal und berichte Und denk' an's elfte Gebot, gell.

Gruß

Gregor

[hikaru]

Kann man bei euch in Deutschland den PIN auch am Bankomat wechseln und z.B. sechsstellig machen?

Ich weiß nicht ob das der Sicherheit zuträglich ist, wenn jeder seine Kombination nach Lust und Laune ändern kann. Darüber gab es schon in den 80ern aufschlussreiche Studien:
https://www.youtube.com/watch?v=b70dYLaTnwE

[Meillo]

Kann man bei euch in Deutschland den PIN auch am Bankomat wechseln und z.B. sechsstellig machen?

Ich weiß nicht ob das der Sicherheit zuträglich ist, wenn jeder seine Kombination nach Lust und Laune ändern kann. Darüber gab es schon in den 80ern aufschlussreiche Studien:
https://www.youtube.com/watch?v=b70dYLaTnwE

... und zugleich schwaecht es die (mathematische) Sicherheit ebenso wenn man diese Trivialkombinationen verbietet, weil dann die Menge der insgesamt moeglichen Kombinationen kleiner wird. Aber vermutlich wird es insgesamt hilfreicher sein, doofe User vor sich selbst zu schuetzen und dafuer ein wenig Kombinationsraum zu opfern.

... wenn man dann aber auch noch Geburtstage ausschliessen will ...

[hikaru]

... und zugleich schwaecht es die (mathematische) Sicherheit ebenso wenn man diese Trivialkombinationen verbietet, weil dann die Menge der insgesamt moeglichen Kombinationen kleiner wird.

Die Menge der möglichen Kombinationen ist sowieso schon künstlich reduziert. So gibt es z.B. keine mit Null beginnenden Kombinatioen. Und gleichverteilt sind sie auch nicht. [1]

... wenn man dann aber auch noch Geburtstage ausschliessen will ...

Dann kannst du die PIN ganz abschaffen. Ich hatte mal eine PIN die dem Geburtstag einer Schulfreundin entsprach.


[1] https://www.sv-gramberg.de/2012/forum.htm

[Meillo]

Die Menge der möglichen Kombinationen ist sowieso schon künstlich reduziert. So gibt es z.B. keine mit Null beginnenden Kombinatioen. Und gleichverteilt sind sie auch nicht. [1]

Ich hatte schon eine vierstellige PIN, die mit Null begonnen hat.

Aber ja, insgesamt gibt es da einige schwerwiegende Probleme. Was kryptographische Sicherheit angeht ist mein Vertrauen in Banken nicht gerade hoch. (Ich muesste mal wieder neu versuchen, denen eine Mail mit PGP-Signatur zu schicken ... ob die immer noch als Malware rausgefiltert wird. ) Da schwimmt man eher in der Masse mit und hofft darauf, dass es schon einen selbst nicht treffen wird oder dass es dann wiederum so viele trifft, dass es kein individuelles Problem mehr ist.

Banken haben bestimmt groessere Finanzposten, um Betruegereien, Angriffe und technisches Versagen auszugleichen, damit es an der Oberflaeche fuer die Kunden so aussieht wie wenn das alles sicher waere und perfekt funktioniert. Naja ... Augen zu und durch.

[hec_tech]

Die Menge der möglichen Kombinationen ist sowieso schon künstlich reduziert. So gibt es z.B. keine mit Null beginnenden Kombinatioen. Und gleichverteilt sind sie auch nicht. [1]

Das stimmt so nicht. PINs mit führender 0 habe ich auf jeden Fall schon gesehen.

[Tintom]

Das Verfahren mag relativ schwach sein, aber die begrenzte Anzahl von falschen Eingabeversuchen (hier: 3) und anschließende Sperrung der Karte sorgen verlässlich dafür, dass der legitime Karteninhaber (hier: ich) sich selbst aussperren kann.

[hikaru]

Hmm, die von mir verlinkte Website ist von 2012, der Text möglicherweise sogar von 1997. Vielleicht gab es seitdem Änderungen am Algorithmus.

[wanne]

Hmm, die von mir verlinkte Website ist von 2012, […] Vielleicht gab es seitdem Änderungen am Algorithmus.

Achtung die Quelle ist offensichtlich auf dem Stand von 1997! Da sie DESCHALL schon erwähnt aber noch anzweifelt, dass soetwas wie der 1998 gebaute Deep Crack existieren könnte. Heute geht man davon aus dass die NSA vergleichbare Hardware schon in den 80ern hatte. Auch sonst kommen massenhaft Quellen aus den 90er aber keine später. Heute nehmen die 3DES. Ändert aber wenig.

https://www.sv-gramberg.de/2012/forum.htm

Zuerstmal möchte ich einen Kommentar zur veränderten Rechtssprechung abgeben:
Am 24.2.1989 (Da kam i486 raus) geben die Banken erstmals vor Gericht zu das die PIN innerhalb von Minuten ermittelt werden könne. Am 6.9.1995 – Also als der 10-20 mal schnellere AM486 raus kam meinten das Gericht Diepholz dagegen, dass bei einer Abbuchung nach 10 Minuten zu vermuten sei, dass der Geschädigte seine PIN weitergegeben hätte. Die Bank gewann...

Zur PIN: Das Problem ist, dass die Karten ja mittlerweile einen ganzen Zoo von Technologieen mit bringen. Und üblicherweise alle über die selbe PIN funktionieren. Auf Magnetstreifen (falls noch vorhanden) und im Chip ist die PIN verschlüsselt (Und nicht etwa wie in der Wikipedia behauptet gehashed) gespeichert. => Die Sicherheit da hängt mehr vom Schlüssel ab. Die PIN selbst ist eher irrelevant, da sie ja nur entschlüsselt und abgeglichen wird. (Und da den Schlüsseln zum Entschlüsseln des Magnetstreifens eh jedes Terminal haben muss kannst du dir vorstellen, wie die Sicherheit um den bestellt ist.) Kurze PINs sind da sogar sicherer, weil sie Brute-Force verunmöglichen:  Es gibt eine Riesige Anzahl von 3DES-Keys, die dir die richtigen Pin ergeben. Du brauchst theoretisch also etwa 10 Karten um sagen zu können, dass du den richtigen Key gefunden hast. (Real 2. Weil es andere Indikatoren gibt, die dir sagen ob die Entschlüsslung plausibel ist.)
Und das ist etwas, das die meisten Leute falsch verstehen. Man weißt sich mit der PIN üblicherweise nicht gegenüber der Bank aus Sondern gegenüber dem Terminal oder der Karte. Die ist wiederum ebenfalls nicht notwendig um einen Bankeinzug zu machen. Das kann der Verkäufer als vertrauenswürdige Person sowieso. Am Ende gibt deine Karte die nötigen Informationen auch ohne PIN her. Die Karte ist eher Merkhilfe und die PIN ist lediglich ein Indiz für den Verkäufer, dass du wirklich berechtigt bist. Der Verkäufer kann auch jederzeit Magnetstreifen und PIN kopieren weil du ja beides in sein Terminal eingibst/schiebst. (Wobei die Chips unkopierbar™ sein sollten.)
Die eigentliche Sicherheit des Systems liegt bei der Polizei und den Banken. Wird falsch abgebucht kannst du deine Überweisung zurück buchen lassen und der fehlerhafte Abbucher zahlt strafen. Wer mit der falschen Karte zahlt ist üblicherweise auf Video und wird gesucht. Entsprechend ist das eher eine Kindersicherung der Versuchung vorzubeugen (eventuell sogar versehentlich) mit einer falschen Karte zu zahlen. Man sieht ja an den Kreditkarten dass es ein solches System eigentlich nicht braucht. – Entsprechend lax ist die Security.
Dann gibt es noch die Online Verfahren wo die PIN wirklich verschlüsselt über die Leitung geht und die Bank überprüft. Ändern tut sich nicht wirklich etwas: Auch das sind keine Öffentliche Systeme. Die Sicherheit lebt davon, dass die Bank sowohl dich wie auch den Verkäufer kennt. Wer betrügt bekommt von der Polizei auf den Deckel.

Lustig wird das erst, wenn die Karte abseits dieses Kontexts verwendet werden. Beispielsweise am Bankautomaten oder der Chiptan-Überweisung. Da weißt der Chip die Bank halt wirklich an dir jetzt Geld auszuspucken. Und du authentifizierst dich am Chip mit der PIN. Aber auch da wird dann die selbe PIN verwendet den du sonst wo mit schnüffeln und vor allem vom Magnetstreifen Lesen kannst. Lösung für das Problem: Abhebemenge Begrenzen und Betrug einpreisen. – Bei gleichzeitig ordentlicher Verfolgung von Leuten, die Bankautomaten leer räumen denn auch hier kommt die Sicherheit eigentlich von der Kamera überm Automat. – Wenn die Bank dich filmt, wie du Geld abhebst wird es schwer für dich, das abzustreiten. Wenn da jemand anders abhebt, weiß die Polizei nach wem sie suchen muss.

[paedubucher]

Kann man bei euch in Deutschland den PIN auch am Bankomat wechseln und z.B. sechsstellig machen?

Ich weiß nicht ob das der Sicherheit zuträglich ist, wenn jeder seine Kombination nach Lust und Laune ändern kann. Darüber gab es schon in den 80ern aufschlussreiche Studien:
https://www.youtube.com/watch?v=b70dYLaTnwE

Hm, ich bin sonst eigentlich auf Freund des Darwin-Prinzips, von daher finde ich es schön, dass man wählen kann

Noch eine gruselige Geschichte: Als ich etwa 18 Jahre alt war, habe ich einmal am Morgen noch Geld abgehoben, mit einer Karte, die ich schon über zwei Jahre besass. Den PIN hatte ich nie geändert. Am Abend war ich Kleider einkaufen ‒ und konnte mich an der Kasse nicht mehr an meinen PIN erinnern. Er ist mir nie mehr eingefallen. Einen Schlag auf den Kopf hatte ich an diesem Tag nicht erhalten. Auch weggesoffen hatte ich ihn mir nicht.

[shoening]

Ist nicht das wesentliche Problem, dass die Anzahl der Karten, die man klauen muss, um bei 3 PIN-Eingabe-Versuchen, einen Treffer zu landen, bei 333 Karten liegt?

[JTH]

Ist nicht das wesentliche Problem, dass die Anzahl der Karten, die man klauen muss, um bei 3 PIN-Eingabe-Versuchen, einen Treffer zu landen, bei 333 Karten liegt?

Fehlt da nicht eine 3? 10000 mögliche PINs / 3 Versuche = 3334 Versuche bis zum Jackpot.

[wanne]

Ist nicht das wesentliche Problem, dass die Anzahl der Karten, die man klauen muss, um bei 3 PIN-Eingabe-Versuchen, einen Treffer zu landen, bei 333 Karten liegt?

Nein
a) Unterschiedliche PINs sind unterschiedlich warscheinlich.
b) jede Karte hat ne eigene PIN.
c) Die PIN steht aufm Magnetsteifen.
d) Die daten, die fürs Zahlen notwendig sind gibt die Karte auch ohne PIN her.