web-dev-qa-db-fra.com

Comment mon lecteur de carte de débit bancaire peut-il savoir que mon code PIN est valide?

Pourquoi les guichets automatiques acceptent-ils un code PIN? stipule que le guichet automatique ne connaît pas mon code PIN et que la broche n'est pas sur la carte.

Ma banque a ce système:

Belfius card reader

Cela fonctionne en 5 étapes:

  1. Je saisis mon numéro de carte de débit sur le site Web;
  2. Le site Web me donne un code à 8 chiffres pour entrer sur la machine;
  3. J'insère ma carte dans la machine, appuyez sur la touche M1 et entrez le code à 8 chiffres;
  4. Une fois que le code est entré, la machine me demande mon code PIN à 4 chiffres et dit immédiatement si c'est correct (en indiquant "Pin Ok");
  5. La machine me donne alors un code à 7 chiffres pour entrer sur le site Web, qui m'autorise.

Comment cette machine peut-elle savoir que mon code est valide si le code n'est pas sur ma carte? Notez que les boutons M1 et M2 ne sont pas des boutons de mémoire, mais des boutons qui démarrent un certain flux de travail: M1 est destiné à l'authentification avec le système et M2 est destiné à signé numériquement mes transactions.

8
Nzall

Si votre carte de débit a une puce EMV (presque toutes les puces sont basées sur EMV aujourd'hui), il connaît très probablement votre PIN (ou au moins comment vérifier une broche entrée).

Si cette capacité est réellement utilisée dépend du type de transaction et de terminal; Si le terminal est capable en ligne, il pourrait aussi bien vérifier le PIN directement avec les serveurs de votre banque, qui connaissez également votre PIN (ou une valeur de vérification dérivée) . Cela explique le comportement dans la question référencée sur les guichets automatiques; ils choisissent simplement d'ignorer la carte intégrée PIN Capacités de vérification.

Étant donné que votre lecteur n'est évidemment pas connecté à rien, mais votre carte, le PIN Vous entrez est en fait vérifié par le logiciel exécutant sur votre carte elle-même, et non par le lecteur.

Le lecteur fournit la carte avec votre code PIN entré. S'ils correspondent, la transaction peut continuer; S'ils ne correspondent pas, un compteur interne de la carte est décrémenté et vous pouvez réessayer (mais seulement quelques fois de plus).

4
lxgr

Il est probable que le code à 8 chiffres soit mathématiquement lié à votre code PIN (c'est-à-dire la somme d'un certain hachage de deux arrive à une valeur statique prédéfinie) afin que le code à 8 chiffres puisse servir de défi et un moyen de valider votre code PIN. Un moyen possible d'en savoir plus sur la séquence Digipasse consiste à essayer de saisir des codes aléatoires (probablement incorrects) à 8 chiffres: le code est-il rejeté immédiatement ou la machine rejette votre code PIN? Pour plus d'informations sur des systèmes tels que ceci, voir: - http://fr.wikipedia.org/wiki/chip_authentication_program

0
Jeff Meden