Персонален идентификационен номер
ПИН кодът, свързан единствено със съответните атрибути на кредитна карта, така ПИН може да се тълкува като подпис на картодържателя. За да започне операция, притежателя на картата, който използва POS-терминал, поставете вашата карта в специален четец и влиза своя ПИН, терминал с помощта на специална клавиатура. Ако въведете ПИН кода и записана на магнитната лента на споразумението за карта с друг, тогава сделката се инициира.
Защитете своя персонален идентификационен PIN номер за банковата карта е от решаващо значение за сигурността на цялата система за плащане. Банкови карти могат да бъдат загубени, откраднати, подправяни. В такива случаи, само Ответната срещу неоторизиран достъп остава в тайна ПИН стойност. Ето защо отворената форма на PIN трябва да бъдат известни само на законния собственик на картата. Той никога не се съхранява или предава в рамките на системи за електронни разплащания. Очевидно е, че PIN трябва да се пази в тайна за всички на картата.
PIN метод за генериране на стойности има значително въздействие върху безопасността на системата за електронно плащане. Като цяло. лични идентификационни номера могат да се образуват или от притежателите на банкови или карти. По-специално, клиентът разграничава два вида ЕГН:
ПИН кодът, възложени на банката, която го е издала картата;
PIN, избрани от самите картодържателя.
Ако ПИН се определя от банката, банката обикновено използва един от двата варианта за процедурите поколение ПИН.
В първия вариант се криптографски генериран ПИН от номера на сметката на притежателя на картата. Процесът на генериране на целеви ПИН от номера на сметката е показано на фиг. 11.3. От номер, започващ сметка е подплатени с нули или други постоянни до 16 шестнадесетични цифри (8bayt). Следваща 8 байта са криптирани с помощта на алгоритъм DES с таен ключ. От тази 8-байт ciphertext последователно предоставяне на 4-битови блокове, започвайки с най-маловажният бит. Ако броят образувана от тези битове е по-малко от 10, в резултат на фигурата е включена в щифта, в противен случай не се използва. Така преработени от всички 64 бита (8 байта). Ако резултатът от обработката не може да се получи, след като необходимия брой десетични цифри, неизползваната адреса, на 4-битови блокове, от които се изваждат 10.
Фиг. 11.3. Шофиране премахване на PIN от номера на сметката на клиента
Очевидно предимство на тази процедура се крие във факта, че ПИН не е необходимо да се съхранява в електронна система за плащане. Недостатък на този подход е, че, ако е необходимо, променете се изисква ПИН код избора на нова сметка на клиенти или нов криптографски ключ. Банките предпочитат да имат номера на сметката на клиента е останал неподвижен. От друга страна, тъй като всички ПИН се изчислява по същия криптографски ключ, смяна на ПИН, като същевременно се поддържа клиентски сметки необходимост води до промяна на личните идентификационни номера.
Във второто изпълнение, банката избира PIN произволна стойност, поддържайки стойността на PIN на съответната икона. Избраният ценности PIN банкови преводи картодържателите използването на сигурни канали. Използване на PIN възлага на банката, е неудобно за клиента, дори и с малка дължина от него. Този ПИН е трудно да се запази в паметта, така че притежателят на картата може да записва никъде. Основното нещо е да не се пишат ПИН върху самата карта, или на друго място. В противен случай, една задача на нападателя ще бъде значително улеснено.
За по-голямо удобство на клиентите, да се използва стойността на ПИН код, избран от самите клиента. Този метод на определяне на стойността на PIN позволява на клиента:
използва същия щифт за множество цели;
зададете ПИН код като поредица от букви и цифри.
Когато PIN избраната от клиента, той трябва да бъде доведен до знанието на банката. ПИН може да се изпрати до банката с препоръчана поща или изпратени чрез сигурна терминал, разположен в офис на банка, която веднага го криптира. Ако банката трябва да използвате избрания от вас ПИН код на клиента, след което се процедира по следния начин. Всеки избор на клиента цифрен ПИН добавите до модул 10 (с изключение на трансферите) със съответната цифра на ПИН кода, показан от банката от сметката на клиента. Получената десетичен знак се нарича офсет. Това компенсира се съхранява в клиента картата. Тъй като ПИН изход е случаен, избраният ПИН клиент не може да се определи, за да го свалят от власт.
Основното изискване на сигурност, е, че PIN трябва да се съхранява на картодържателя и никога не трябва да се съхранява в който и да е четлива форма. Но хората са несъвършени и често забравят им стойности ПИН. Ето защо е необходимо банките да се подготвят предварително специални процедури за такива случаи. Банката може да прилага една от следните подходи. Първият се основава на забравена стойност PIN клиент и да го изпратите обратно на притежателя на картата. Вторият подход просто генерира PIN нова стойност.
Когато идентификация стойност клиент на ПИН и представяне карта два основни начина за тест: не-алгоритмични и алгоритмични.
Non-алгоритмичен метод за проверка на PIN не изисква използването на специални алгоритми. Потвърждаване на ПИН се извършва чрез директна PIN сравнение влезе от клиента до стойностите, съхранявани в базата данни. Обикновено, база данни с ценностите на ПИН клиенти е криптирана с прозрачен шифроване, за да помогне за подобряване на сигурността, без да усложнява процеса на сравнение.
метод Алгоритмичната потвърждаване на ПИН е, че клиентът влезе PIN преобразува определен алгоритъм с помощта на таен ключ и след това в сравнение със стойността на ПИН се съхраняват в определена форма на карта. Предимствата на този метод:
Не копия на PIN на компютъра хост елиминира неговото разкриване на банкова персонал;
PIN лошата комуникация между АТМ или ПОС-терминал и хост компютър на банката изключва прихващане му от един хакер или налагането на резултатите за сравнение;
опростяване на системата за разработка на софтуер, тъй като няма нужда от действия в реално време.