Re: Chwała PIN-owi - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Chwała PIN-owi › Re: Chwała PIN-owi

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!lublin.pl!news.
nask.pl!news.atman.pl!wsisiz.edu.pl!pm.waw.pl!defiant.pm.waw.pl!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Chwała PIN-owi
Date: 06 Sep 2003 00:21:01 +0200
Organization: The Palace of Youth in Warsaw
Lines: 61
Sender: k...@d...pm.waw.pl
Message-ID: <m...@d...pm.waw.pl>
References: <bj27oa$l5n$1@inews.gazeta.pl> <1...@n...onet.pl>
<bj5qs0$shd$18@inews.gazeta.pl> <m...@d...pm.waw.pl>
<bjak06$cnq$16@inews.gazeta.pl>
NNTP-Posting-Host: defiant.pm.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: defiant.pm.waw.pl 1062800461 1822 195.116.170.36 (5 Sep 2003 22:21:01 GMT)
X-Complaints-To: n...@d...pm.waw.pl
NNTP-Posting-Date: Fri, 5 Sep 2003 22:21:01 +0000 (UTC)
Xref: news-archive.icm.edu.pl pl.biznes.banki:258506
[ ukryj nagłówki ]
"Robert Tomasik" <r...@g...pl> writes:

> No tak, ale karty w firmie mają inny format zapisu (tzw. rzadki) w stosunku
> do bankowych (tzw. gęsty).

Niekoniecznie.

> Po za tym ja nie jestem za zakazem posiadania
> takich maszyn, tylko za monitoringiem wykorzystaniach tych nadających się do
> produkcji kart kredytowych.

One nie nadaja sie do produkcji kart kredytowych (fizyczne zabezpieczenia
kart). Jak wyobrazasz sobie ten monitoring? Taki czytnik to jest dosc male
pudeleczko, ktore mozna podpiac nawet do peceta.

> Rejestracja użytkowników plus prawo do kontroli
> wykorzystania.

A cel tych dzialan? Bo nie widze zadnego sensownego. Tak jak pisalem,
takie urzadzenie (moze gorsze, ale potrafiace odpowiednio zapisac karte)
mozna wyprodukowac z naprawde powszechnie dostepnych elementow. Takze
chcialbys je rejestrowac i kontrolowac?

> | > Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
> | > przechowywane w żadnej bazie danych, tylko generowane z numeru karty.
> | Nonsens.
> Też tak sądzę.

Tu nie ma nic do sadzenia, to jest fakt niewatpliwy :-)

> Da się. W wyniku otrzymasz serię numerów kart, do których będą pasować
> PIN-y.

Ale myslalem o jakims sensownym zastosowaniu, np. takim, ktore sie moze
do czegos przydac.

> Nie wszystkie banki dają taką możliwość.

Wystarczy jeden np. z VISA i jeden z MC. Nie potrzeba wszystkich.

> Zresztą przyszło mi do głowy, że
> mogłoby to działać zupełnie inaczej. Bank, który daje możliwość zmiany PIN
> robi taką sztuczkę, że zapisywana jest w bazie danych różnica pomiędzy
> wygenerowanym automatycznie z numeru karty PIN-em. (zakładając, że taka
> zależność istnieje) i wygenerowanym PIN-em.

Jaki mialby byc cel takiego dzialania w porownaniu do zwyczajnego zapisania
(tak jak to robia banki) par numer_karty + PIN (ew. numer_karty bez BINu)?
Bo wbrew pozorom bezpieczenstwa to to nie zwieksza, choc moze zwieksza
pozory bezpieczenstwa.

Tak czy owak, PINy sa za krotkie by dalo sie z nimi robic jakies
kryptograficzne sztuczki. Bank musi byc w stanie sprawdzic PIN.

> Ja tylko twierdzę, że nawet jakbyśmy chcieli, by taki związek istniał, to są
> możliwe o wiele bezpieczniejsze procedury, niż wyliczanie tego z numeru
> karty.

Jasne, nie ma sie wiec nad czym rozwodzic.
--
Krzysztof Halasa, B*FH