Pincode makkelijker te achterhalen
Cees Binkhorst
cees at BINKHORST.XS4ALL.NL
Sat Feb 22 11:28:03 CET 2003
REPLY TO: D66 at nic.surfnet.nl
Iemand niks te doen tijdens het week-end. Even een programmaatje
schrijven :)
http://www.automatiseringgids.nl/news/default.asp?nwsId=21074
Den Haag, 16.50 uur - De pincode van bankpassen kan door toepassing
van wiskundige technieken veel sneller worden achterhaald dan tot
dusverre werd aangenomen. Dat concluderen twee Britse onderzoekers.
De tijdwinst vloeit voort uit het gebruik van decimaaltafels bij de
vertaling van het hexadecimale pingetal dat uit het rekeningnummer
wordt berekend, in de viercijferige pincode die de paseigenaar moet
intoetsen.
[knip]
De methode is niet bruikbaar voor fraude door externen, omdat ook
vijftien pogingen het aantal waarbij de pas onbruikbaar wordt
gemaakt, verre overschrijdt. Insiders zouden echter wel degelijk
misbruik van deze methode kunnen maken, menen de onderzoekers.
Tijdens een lunchpauze van 30 minuten zou een kwaadwillende makkelijk
7000 pincodes kunnen achterhalen, wat bij een gemiddelde opnamelimiet
van 300 pond goed zou zijn voor een opbrengst van 2,1 miljoen pond.
[knip]
http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf
We present an attack on hardware security modules used by retail
banks for the secure storage and verication of customer PINs in ATM
(cash machine) infrastructures. By using adaptive decimalisation
tables and guesses, the maximum amount of information is learnt about
the true PIN upon each guess. It takes an average of 15 guesses to
determine a four digit PIN using this technique, instead of the 5000
guesses intended. In a single 30 minute lunch-break, an attacker can
thus discover approximately 7000 PINs rather than 24 with the brute
force method. With a $300 withdrawal limit per card, the potential
bounty is raised from $7200 to $2.1 million and a single motivated
attacker could withdraw $30{50 thousand of this each day.
This attack thus presents a serious threat to bank security.
**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********
More information about the D66
mailing list