Número de identificación personal

Ir a: navegación, búsqueda de
No debe confundirse con Número de identificación nacional.
Número de identificación personal se muestra en un Envío del PIN

A número de identificación personal (PIN, pronunciado "pin"; a menudo redundante Número de PIN) es un numérico contraseña compartido entre un usuario y un sistema que puede utilizarse para autenticar al usuario en el sistema. Normalmente, el usuario está obligado a proporcionar un identificador de usuario no confidencial o token (la ID de usuario) y un PIN confidencial para tener acceso al sistema. Al recibir el ID de usuario y PIN, el sistema busca el PIN basado en el ID de usuario y compara el pasador de miró con el PIN recibido. El usuario se concede acceso sólo cuando el número introducido partidos con el número almacenado en el sistema. Por lo tanto, a pesar del nombre, un alfiler no personalmente identificar al usuario.[1]

Los pernos se utilizan con sistemas (donde el símbolo de identificación es una tarjeta) bancarios, pero también se utilizan en otros sistemas no financieros.

El PIN no es impreso o incrustado en la tarjeta pero se introduce manualmente por el titular durante cajero automático (ATM) y punto de venta transacciones (por ejemplo, aquellos que cumplen con EMV) y en tarjeta no presente las transacciones, tales como banca telefónica o por Internet.

Pines también pueden utilizarse en contextos distintos cajeros automáticos o transacciones en puntos de venta, tales como el acceso, transacciones por Internet o Inicio de sesión en un sitio web restringido. En tales casos el PIN puede ser simplemente una contraseña y no necesariamente asociada a una tarjeta específica.

En sistemas bancarios, seguridad y gestión de PIN se rige por la norma internacional ISO 9564.

Contenido

  • 1 Historia
  • 2 Longitud del perno
  • 3 Validación de PIN
    • 3.1 Método de IBM 3624
    • 3.2 IBM 3624 + método offset
    • 3.3 Método VISA
  • 4 PASADOR de seguridad
    • 4.1 Fallas de implementación
  • 5 Engaño PIN inversa
  • 6 Códigos de acceso móvil
  • 7 Véase también
  • 8 Referencias

Historia

El PIN se originó con la introducción de la ATM en 1967, como una forma eficiente de bancos dispensar efectivo a sus clientes. El primer sistema ATM fue el de Barclays en Londres, en 1967; se acepta cheques con legible por la máquina de codificación, en lugar de las tarjetas y emparejó el pasador para el cheque.[2][3][4] En 1972, Lloyds Bank emitió la primera tarjeta bancaria para destacar una tira magnética de codificación de información, utilizando un alfiler de seguridad.[5]

En 2006, James Goodfellow, el inventor que patentó el primer número de identificación personal, fue galardonado con una OBE En Honores de cumpleaños de la reina.[6]

Longitud del perno

El inventor de la ATM, John Shepherd-Barron, al principio imaginaron un código numérico de seis dígitos para el cliente autenticación. Sin embargo, su esposa preferido cuatro dígitos, que se convirtió en la longitud más comúnmente utilizada.[3]

ISO 9564-1, el estándar internacional para la gestión de PIN y seguridad en banca minorista, permite PINs desde cuatro hasta doce dígitos, pero también señala que "por razones de facilidad de uso, un PIN numérico asignado No debe exceder seis dígitos de longitud."[7] PINs financieros son a menudo números de cuatro dígitos, con Suiza siendo una excepción notable con los pernos de seis dígitos por defecto. ATM y POS la mayoría del software no es compatible con pernos de más de seis dígitos, y muchos dispositivos de entrada sólo pueden aceptar cuatro dígitos PINs.[citación necesitada]

Validación de PIN

Existen varios métodos principales de la validación de los pernos. Examinan a continuación las operaciones se realizan generalmente dentro de un módulo de seguridad de hardware (HSM).

Método de IBM 3624

Uno de los primeros modelos de ATM fue el IBM 3624, que utiliza el método de IBM para generar lo que se denomina un PIN natural. El pasador natural se genera mediante la encriptación de la número de cuenta primario (PAN), utilizando una clave de cifrado generada específicamente para el propósito.[8] Esta clave se refiere a veces como la clave de la generación de PIN (PGK). Este PIN está directamente relacionada con el número de cuenta primario. Para validar el pasador, el banco emisor regenera el perno utilizando el método anterior y esto compara con el PIN introducido.

PINs naturales no pueden ser seleccionable por el usuario porque se derivan de la cacerola. Si la tarjeta es reeditada con un molde nuevo, debe generar un nuevo PIN.

PINs naturales permiten a los bancos emitir cartas de recordatorio PIN que puede generar el PIN.

IBM 3624 + método offset

Para permitir el usuario seleccionables PINs es posible almacenar un valor de desplazamiento de PIN. El desplazamiento se encuentra restando PIN natural desde el PIN del cliente seleccionado usando Modulo 10.[9] Por ejemplo, si el PIN natural es 1234, y el usuario desea tener un PIN de 2345, el desplazamiento es 1111.

El desplazamiento puede ser almacenado en los datos de pista de la tarjeta,[10] o en una base de datos en el emisor de la tarjeta.

Para validar el pasador, el banco emisor calcula el pasador natural como en el método anterior, entonces agrega el desplazamiento y compara este valor con el PIN introducido.

Método VISA

Desembolso Clerk 1ª clase Gene Tecson sostiene un teclado para que un cliente ingrese su número de identificación personal de tajetas de Marina a bordo del buque de asalto anfibio USS Peleliu (LHA 5). El sistema elimina efectivo y monedas de la nave y en cambio requiere marineros agregar dinero de sus cuentas bancarias personales a uno de los dos sistemas en la tarjeta de efectivo.

El método VISA es utilizado por muchos sistemas de tarjeta y no es específica de VISA. El método VISA genera un valor de verificación de PIN (PVV). Al igual que el valor de desplazamiento, puede ser almacenado de datos de pista de la tarjeta, o en una base de datos en el emisor de la tarjeta. Esto se llama la referencia PVV.

El método VISA toma los once dígitos más a la derecha del PAN excluyendo el valor de suma de comprobación, un índice clave PIN validación (PVKI, escogido de uno a seis) y el valor requerido de PIN para hacer un número de 64 bits, el PVKI selecciona una clave de validación (PVK, de 128 bits) para cifrar este número. De este valor encriptado, se encuentra el PVV.[11]

Para validar el pasador, el banco emisor calcula un valor PVV del PIN introducido y PAN y compara este valor con la referencia PVV. Si la referencia PVV y el partido PVV calculado, el PIN correcto fue introducido.

A diferencia del método de IBM, el método VISA no deriva de un alfiler. El valor PVV se utiliza para confirmar el PIN introducido en el terminal, también fue utilizado para generar la referencia PVV. El PIN utilizado para generar un PVV puede ser generado al azar o usuario seleccionado o incluso derivados mediante el método de IBM.

PASADOR de seguridad

PINs financieros son a menudo números de cuatro dígitos en el rango 0000-9999, resultando en 10.000 números posibles. Suiza emite seis dígitos PINs por defecto.

Algunos sistemas configurado por defecto PINs y mayoría permiten al cliente para configurar un alfiler o para cambiar la plantilla predeterminada, y en algunos es obligatorio un cambio de PIN en primer acceso. Los clientes generalmente se recomienda no establecer un PIN basado en los cumpleaños de su o su cónyuge, en números de licencia de conductor, números consecutivos o repetitivos o algunos otros esquemas. Algunas instituciones financieras no dar ni permiso de PINs donde todos los dígitos son idénticos (por ejemplo 1111, 2222,...), consecutiva (1234, 2345,...), los números que comienzan con uno o más ceros, o los últimos cuatro dígitos del titular de la tarjeta número de seguro social o fecha de nacimiento.[citación necesitada]

Muchos sistemas de verificación de PIN permiten tres intentos, dando así un ladrón tarjeta una supuesta 0.03% probabilidad de adivinar el PIN correcto antes de que la tarjeta se bloquea. Esto es solamente si todos los pines son igualmente probables y el atacante no tiene más información disponible, que no ha sido el caso de algunos de los muchos PIN generación y verificación de algoritmos que fabricantes de cajeros automáticos y las instituciones financieras han utilizado en el pasado.[12]

Se ha investigado en los pernos utilizados.[13] El resultado es que sin previsión, una porción considerable de los usuarios puede encontrar su PIN vulnerable. "Armado con sólo cuatro posibilidades, los hackers pueden agrietar el 20% de todos los pines. Les permiten a números de no más de quince, y pueden tocar las cuentas de más de una cuarta parte de los titulares de tarjeta.[14]

Pernos rompibles pueden empeorar con la longitud, a saber:

El problema con los pernos predecible sorprendentemente empeora cuando los clientes se ven obligados a usar números adicionales, moviéndose de un 25% de probabilidad con quince números a más del 30% (sin contar 7 dígitos con todos los números de teléfono). De hecho, cerca de la mitad de todos los pines de 9 dígitos puede reducirse a dos docenas de posibilidades, en gran medida porque más del 35% de todas las personas usan el todo demasiado tentador 123456789. En cuanto a los restantes 64%, hay una buena posibilidad de que están usando sus Número de seguro social, que los hace vulnerables. (Números de Seguro Social contienen sus propios patrones conocidos).[14]

Fallas de implementación

En el año 2002 dos estudiantes de doctorado en Universidad de CambridgeZieliński Piotr y Mike Bond, descubrió una falla de seguridad en el sistema de generación de PIN de la IBM 3624, que fue duplicada en la mayoría del hardware más adelante. Conocido como el ataque de la tabla decimal, el fallo permitiría que alguien que tenga acceso al sistema informático de un banco para determinar el PIN de una tarjeta de cajero automático en un promedio de 15 intentos.[15][16]

Engaño PIN inversa

Artículo principal: Software de ATM SafetyPIN

Rumores han estado en circulación correo electrónico afirmando que en caso de entrar un PIN en un cajero automático al revés, policía será inmediatamente alertado, así como dinero normalmente se emite como si el PIN había sido introducido correctamente.[17] La intención de este plan sería proteger a las víctimas de asaltos; Sin embargo, a pesar del sistema se propone para su uso en algunos Estados de Estados Unidos,[18][19] Actualmente hay no hay cajeros automáticos[¿Cuándo?] en existencia que emplean este software.[citación necesitada]

Códigos de acceso móvil

Un teléfono móvil puede ser PIN protegidos. Si se habilita, el pasador (también llamado un código de acceso) para GSM los teléfonos móviles pueden ser entre cuatro y ocho dígitos[20] y se registra en el Tarjeta SIM. Si tal un PIN se introduce incorrectamente tres veces, la tarjeta SIM se bloquea hasta un Código de desbloqueo personal (PUC o PUK), proporcionados por el operador del servicio, se introduce. Si la PUC se introduce incorrectamente diez veces, la tarjeta SIM está bloqueada permanentemente, que requieren una nueva tarjeta SIM del servicio de telefonía móvil.[citación necesitada]

Véase también

  • Software de ATM SafetyPIN
  • Código de seguridad de la tarjeta
  • Número de transacción autenticación

Referencias

  1. ^ Su número de identificación no es una contraseñaWebb-site.com, 08 de noviembre de 2010
  2. ^ Jarunee Wonglimpiyara, Estrategias de la competencia en el negocio de la tarjeta de banco (2005), p. 1-3.
  3. ^ a b "El hombre que inventó el cajero". BBC. 2007-06-25. 2014-06-15.
  4. ^ "Inventor ATM John Shepherd-Barron muere a la edad de 84 en 20 de mayo de 2010". El LA Times, 19 de mayo de 2010. 19 de mayo de 2010.
  5. ^ Jarunee Wonglimpiyara, Estrategias de la competencia en el negocio de la tarjeta de banco (2005), pág. 5.
  6. ^ "Honor real inventor del Pin". BBC. 2006-06-16. de 2007-11-05.
  7. ^ ISO 9564-1: 2002 bancario--gestión de número de Identificación Personal (PIN) y seguridad - parte 1: principios básicos y requisitos para el manejo de PIN en línea en sistemas ATM y POS, cláusula 7.1
  8. ^ "Algoritmo de generación de PIN 3624". IBM.
  9. ^ "Algoritmo de generación Offset PIN". IBM.
  10. ^ "Formato de pista de tarjetas con banda magnética". Gae.ucm.es.
  11. ^ "Algoritmo de generación de PVV". IBM.
  12. ^ Kuhn, Markus (julio de 1997). "Teoría de la probabilidad de los carteristas, ec-PIN conjeturar" (PDF). 2006-11-24.
  13. ^ Nick Berry (28 de septiembre de 2012). "Los números pin más comunes: es vulnerable a tu cuenta bancaria?". Página Web de periódico Guardian. 25 / 02 / 2013 obtenido.
  14. ^ a b Lundin, Leigh (2013-08-04). "PINs y contraseñas, parte 1". Contraseñas. Orlando:: SleuthSayers. "Armado con sólo cuatro posibilidades, los hackers pueden agrietar el 20% de todos los pines". explica
  15. ^ Zieliński, P & Bond, M (febrero de 2003). "Ataques de mesa decimalisation para craqueo PIN" (PDF). Laboratorio de computación de la Universidad de Cambridge. 2006-11-24.
  16. ^ "Cobertura de los medios de comunicación". Laboratorio de computación de la Universidad de Cambridge. 2006-11-24.
  17. ^ "Revertir el código PIN de pánico". de 2007-03-02.
  18. ^ Texto completo de SB0562 Asamblea General de Illinois, acceso 2011-07-20
  19. ^ sb379_SB_379_PF_2.html Senado Bill 379 Asamblea General de Georgia, publicado en 2006, acceso 2011-07-20
  20. ^ Versión de módulos GSM 02.17 suscriptor identidad, características funcionales, 3.2.0, febrero de 1992, cláusula 3.1.3

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Personal_identification_number&oldid=622580078"