"MG" <n...@s...com> writes:

> Może i zabezpieczenie nie jest bardzo silne, jako takie, ale
> pamiętajmy, że ataki wyczerpujące na PIN nie zawsze są w ogóle
> wykonalne i z reguły nie są łatwe.

Wystarczy chocby ze pojedynczy atak jest mozliwy z prawdopodobienstwem
1/10000 (+ liczba mozliwych prob). W przypadku skopiowania pojedynczej
karty, jesli mamy ich wiecej, szansa odpowiednio rosnie.

> Poza tym, weryfikacja PINu
> realizuje jedną część dwuskładnikowego uwierzytelnienia klienta - żeby
> wykonać transakcję musisz coś mieć (kartę) i coś wiedzieć (PIN).
> Dlatego o poufność PIN jednak warto chyba zadbać.

Warto byloby zadbac, ale niestety klient nie ma na to zadnego wplywu
(tzn. pozytywnego, bo negatywny moze latwo miec). Nie ma zadnej
mozliwosci stwierdzenia przez klienta, ze np. wpisywany wlasnie PIN jest
podsluchiwany (jesli jest to zrobione dobrze).

> PIN może mieć 4-12 cyfr. Szkoda, że wiele instytucji sztucznie
> ogranicza jego długość.

Praktycznie wszystkie, przynajmniej u nas.

Inna sprawa ze moze wydluzanie PINu nie jest sensowne ze wzgledu na brak
mozliwosci ochrony przed podsluchem - a wiec funkcja PINu jest
zredukowana do tego, ze chroni przed fraudem tylko skopiowaną kartą
(jesli przestepca nie zna PINu, bo np. transakcja w sklepie, w czasie
kopiowania, nie wymagala PINu).

IOW, slabe dodatkowe zabezpieczenie, i banki nie powinny traktowac tego
jako niczego wiecej (a jak staraja sie to traktowac to wszyscy chyba
wiemy).
--
Krzysztof Halasa