W Polsce była jedna taka sprawa i to ją pokazują od czasu do czasu. Ale to
wyglądało w ten sposób, że montowano na bankomacie takie coś zczytujące
pasek oraz małą kamerkę, która rejestrowała palce wpisujące PIN. Sygnały
odbierano do laptopa radiowo. A laptop był dla tego, że zasięg nadajnika był
niewielki, więc gość siedział w samochodzie nieopodal. Potem robili wtórnik
karty na legalnie zakupionej maszynie do robienia kart kredytowych. W Polsce
każdy może coś takiego kupić bez pytania po co mu to. I wcale nie kosztuje
dużo. Reszty można się już domyślić.

Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
przechowywane w żadnej bazie danych, tylko generowane z numeru karty.
Osobiście w to wątpię. Po pierwsze za duże ryzyko w wypadku ujawnienia
procedury przez jakiegoś kretyna w Internecie. Zanim by zdołali opanować
sytuację i pozabierać ludziom karty albo zmienić PIN-y, to już wszyscy by
podnieśli, że jemu ktoś ukradł kartę i wybrał ten 1.000.000 zł. Po drugie
bez sensu, bo można zastosować niesymetryczne kodowanie, które umożliwi na
przykład obliczenie numeru karty z kodu, ale w drugą stronę już nie działa.
Coś na wzór podpisu elektronicznego. Przecież to o wiele prostsze, a metoda
znana jest od dawna.

Osobiście podejrzewam, że ta kaczka dziennikarska wynikła najpewniej z braku
wiedzy merytorycznej u jakiegoś pismaka. Pewnie ktoś komuś powiedział, że
PIN-y nie są przechowywane w bazie danych tylko za każdym razem obliczane w
jakiejś procedurze. No to ten drugi wymyślił, że musi istnieć więc wzór
matematyczny łączący numer karty i PIN. Jeśli nie interesował się
kryptografią, to nawet do głowy mu nie przyszło, że może istnieć taka
sytuacja, że to wzór tylko w jedną stronę. Czyli z PIN-u można wyliczyć
numer karty, ale w odwrotny sposób tego się zrobić nie da. Przy czym w
odwrotny sposób to nie zadziała. Z tym, że osobiście nie wiem dokładnie, jak
to wygląda i mogę się co najwyżej domyślać.

Spodziewam się, że pewnie z PIN-u uzyskuje się tylko niektóre części numeru
karty, które się porównuje. Moje spostrzeżenie wynika z faktu, że PIN-ów
może być co najwyżej 10000, zaś numerów kart o wiele więcej. Stąd też może
się a nawet musi zdarzyć, że niektóre karty będą miały ten sam PIN przy
zupełnie innych numerach. Ale to jest stosunkowo proste do zrobienia.
Zakładamy, że na przykład pierwsza cyfra PIN jest elektronicznym podpisem
dla sumy cyfr nieparzystych, druga dla sumy cyfr parzystych, trzecia dla
iloczynów liczb parzystych a czwarta dla iloczynu liczb nieparzystych.
Algorytm ten jest przypadkowy i wymyślony przeze mnie. Bankomat, czy POS
wysyła do centrum numer karty i PIN. Centrum oblicza te cztery działania a
następnie sprawdza, czy PIN jest prawidłowym podpisem. W ten sposób nie ma
możliwości ustalenia PIN-u na podstawie numeru karty, choć zależy on od tego
numeru.