Kimlik Numarası - Personal identification number

Kullanıcısına bir mektupla gönderilen kişisel kimlik numarası. Koyulaştırılmış kağıt kapak, açılmamış zarfı ışığa tutarak sayının okunmasını engeller.

Bir kimlik Numarası (TOPLU İĞNE), ya da bazen gereksiz olarak a PIN numarası, bir sisteme erişen bir kullanıcının kimliğini doğrulama sürecinde kullanılan sayısal veya alfa-sayısal bir paroladır.

Kişisel kimlik numarası, değişimin gelişmesinin anahtarı olmuştur. özel veriler finans kurumları, hükümetler ve işletmeler için bilgisayar ağlarındaki farklı bilgi işlem merkezleri arasında.[1] PIN'ler, diğer kullanımların yanı sıra, bankacılık sistemlerini kart sahipleri, vatandaşları olan hükümetler, çalışanları olan işletmeler ve kullanıcılı bilgisayarları doğrulamak için kullanılabilir.

Ortak kullanımda ATM veya POS işlemlerinde PIN kullanılır,[2] güvenli erişim kontrolü (ör. bilgisayar erişimi, kapı erişimi, araba erişimi),[3] internet işlemleri[4] ya da giriş kısıtlanmış bir web sitesi.

Tarih

PIN, otomatik vezne makinesi (ATM), 1967'de, bankaların müşterilerine nakit dağıtmanın etkili bir yolu olarak. İlk ATM sistemi Barclays Londra'da, 1967'de; kabul etti çek kartlar yerine makine tarafından okunabilir kodlama ile ve PIN'i çekle eşleştirdi.[5][6][7] 1972, Lloyds Bank güvenlik için bir PIN kullanarak bir bilgi kodlayıcı manyetik şeridi içeren ilk banka kartını çıkardı.[8] James Goodfellow ilk kişisel kimlik numarasını patentleyen mucit, bir OBE 2006'da Kraliçenin Doğum Günü Onurları.[9][10]

Mohamed M. Atalla ilk PIN tabanlı donanım güvenlik modülü (HSM),[11] PIN kodunu şifreleyen bir güvenlik sistemi olan "Atalla Kutusu" olarak adlandırılır ve ATM mesajlar ve tahmin edilemeyen bir PIN oluşturma anahtarıyla korunan çevrimdışı cihazlar.[12] 1972'de Atalla dosyalandı ABD Patenti 3,938,091 kodlanmış bir PIN doğrulama sistemi için kart okuyucu ve kullanan bir sistemi tanımladı şifreleme doğrulama için uzak bir konuma iletilen kişisel kimlik bilgilerini girerken telefon bağlantısı güvenliğini sağlama teknikleri.[13]

O kurdu Atalla Corporation (şimdi Utimaco Atalla ) 1972'de,[14] ve 1973'te "Atalla Box" ticari olarak piyasaya sürüldü.[12] Ürün, Identikey olarak piyasaya sürüldü. Bir kart okuyucusuydu ve müşteri tanımlama sistemi plastik kart ve PIN özelliklerine sahip bir terminal sağlar. Sistem izin vermek için tasarlandı bankalar ve tasarruf kurumları plastik kart ortamına geçiş hesap cüzdanı programı. Identikey sistemi, bir kart okuyucu konsolundan, iki müşteri PIN pedleri, akıllı kontrolör ve yerleşik elektronik arayüz paketi.[15] Cihaz ikiden oluşuyordu tuş takımları biri müşteri için diğeri vezne için. Müşterinin, cihaz tarafından dönüştürülen gizli bir kodu bir mikroişlemci, vezne için başka bir koda.[16] Bir işlem, müşteriler hesap numarası kart okuyucu tarafından okundu. Bu süreç, manuel girişin yerini aldı ve olası tuş vuruş hatalarını önledi. Kullanıcıların, imza doğrulama ve test soruları gibi geleneksel müşteri doğrulama yöntemlerini güvenli bir PIN sistemiyle değiştirmelerine izin verdi.[15] PIN sistemi üzerindeki çalışmasının takdiri olarak bilgi güvenliği yönetimi Atalla, "PIN’in Babası" olarak anılıyor.[17][18][19]

"Atalla Kutusu" nun başarısı, PIN tabanlı donanım güvenlik modüllerinin geniş çapta benimsenmesine yol açtı.[20] PIN doğrulama süreci sonrakine benzerdi IBM 3624.[21] 1998'e gelindiğinde, Amerika Birleşik Devletleri'ndeki tüm ATM işlemlerinin tahmini% 70'i özel Atalla donanım modülleri aracılığıyla yönlendiriliyordu.[22] ve 2003 yılında Atalla Box dünyadaki tüm ATM makinelerinin% 80'ini güvence altına aldı.[17] 2006 yılı itibarıyla% 85'e yükselmiştir.[23] Atalla'nın HSM ürünleri 250'yi koruyor milyon kart işlemleri 2013 itibariyle her gün,[14] ve 2014 itibariyle dünyadaki ATM işlemlerinin çoğunu hala güvence altına alıyor.[11]

Finansal hizmetler

PIN kullanımı

Bir mali işlem bağlamında, bir kullanıcının sisteme kimliğini doğrulamak için genellikle hem özel bir "PIN kodu" hem de genel kullanıcı tanımlayıcısı gereklidir. Bu durumlarda, tipik olarak kullanıcının, gizli olmayan bir kullanıcı tanımlayıcısı veya belirteci ( Kullanıcı kimliği) ve sisteme erişim sağlamak için gizli bir PIN kodu. Kullanıcı kimliği ve PIN'i aldıktan sonra, sistem PIN'i kullanıcı kimliğine göre arar ve aranan PIN'i alınan PIN ile karşılaştırır. Kullanıcıya, yalnızca girilen numara sistemde kayıtlı numara ile eşleştiğinde erişim izni verilir. Bu nedenle, isme rağmen bir PIN Şahsen kullanıcıyı tanımlayın.[24] PIN yazdırılmaz veya karta gömülmez, ancak kart sahibi tarafından kart sahibi tarafından manuel olarak girilir. otomatik vezne makinesi (ATM) ve satış noktası (POS) işlemleri (uygun olanlar gibi) EMV ), ve kart mevcut değil İnternet üzerinden veya telefon bankacılığı gibi işlemler.

PIN uzunluğu

Finansal hizmetler PIN yönetimi için uluslararası standart, ISO 9564 -1, dört ila on iki basamaklı PIN'lere izin verir, ancak kullanılabilirlik nedenleriyle kartı veren kuruluşun altı basamaktan daha uzun bir PIN atamamasını önerir.[25] ATM'nin mucidi, John Shepherd-Barron, ilk başta altı basamaklı bir sayısal kod öngörmüştü, ancak karısı yalnızca dört basamaklı hatırlayabiliyordu ve bu, birçok yerde en yaygın kullanılan uzunluk haline geldi,[6] bankalar olmasına rağmen İsviçre ve diğer birçok ülkede altı haneli bir PIN kodu gerekir.

PIN doğrulama

PIN'leri doğrulamanın birkaç ana yöntemi vardır. Aşağıda tartışılan işlemler genellikle bir donanım güvenlik modülü (HSM).

IBM 3624 yöntemi

En eski ATM modellerinden biri, IBM 3624 olarak adlandırılan şeyi üretmek için IBM yöntemini kullanan doğal PIN. Doğal PIN, özellikle amaç için oluşturulmuş bir şifreleme anahtarı kullanılarak birincil hesap numarasının (PAN) şifrelenmesiyle oluşturulur.[26] Bu anahtara bazen PIN oluşturma anahtarı (PGK) adı verilir. Bu PIN, doğrudan birincil hesap numarasıyla ilgilidir. PIN'i doğrulamak için, amir banka yukarıdaki yöntemi kullanarak PIN'i yeniden oluşturur ve bunu girilen PIN ile karşılaştırır.

Doğal PIN'ler, PAN'den türetildikleri için kullanıcı tarafından seçilemez. Kart yeni bir PAN ile yeniden verilirse, yeni bir PIN oluşturulmalıdır.

Doğal PIN'ler, bankaların PIN oluşturulabildiği için PIN hatırlatma mektupları vermesine olanak tanır.

IBM 3624 + denkleştirme yöntemi

Kullanıcı tarafından seçilebilir PIN'lere izin vermek için, bir PIN ofset değerini saklamak mümkündür. Ofset, müşterinin seçtiği PIN'den doğal PIN'in çıkarılmasıyla bulunur. modulo 10.[27] Örneğin, doğal PIN 1234 ise ve kullanıcı 2345 PIN koduna sahip olmak isterse ofset 1111'dir.

Ofset, kart izleme verilerinde saklanabilir,[28] veya kartı veren kuruluştaki bir veritabanında.

PIN'i doğrulamak için, amir banka yukarıdaki yöntemde olduğu gibi doğal PIN'i hesaplar, ardından ofseti ekler ve bu değeri girilen PIN ile karşılaştırır.

VISA yöntemi

Bu kredi kartı terminalini kullanırken, bir VISA kart sahibi kredi kartını kaydırır veya ekler ve PIN'ini tuş takımına girer.

VISA yöntemi, birçok kart programı tarafından kullanılmaktadır ve VISA'ya özgü değildir. VISA yöntemi, bir PIN doğrulama değeri (PVV) oluşturur. Ofset değerine benzer şekilde, kartın izleme verileri üzerinde veya kartı veren kuruluştaki bir veri tabanında depolanabilir. Buna referans PVV denir.

VISA yöntemi, sağlama toplamı değeri, bir PIN doğrulama anahtarı indeksi (PVKI, birden altıya kadar seçilir) ve 64 bitlik bir sayı oluşturmak için gerekli PIN değeri hariç PAN'nin en sağdaki on bir basamağını alır, PVKI bir doğrulama anahtarı (PVK , bu sayıyı şifrelemek için 128 bit). Bu şifrelenmiş değerden PVV bulunur.[29]

PIN'i doğrulamak için, veren banka girilen PIN ve PAN'den bir PVV değeri hesaplar ve bu değeri referans PVV ile karşılaştırır. Referans PVV ve hesaplanan PVV eşleşiyorsa, doğru PIN girilmiştir.

IBM yönteminin aksine, VISA yöntemi bir PIN türetmez. PVV değeri, terminalde girilen PIN'i doğrulamak için kullanılır, ayrıca referans PVV'yi oluşturmak için de kullanılmıştır. Bir PVV oluşturmak için kullanılan PIN rasgele oluşturulabilir veya kullanıcı tarafından seçilebilir ve hatta IBM yöntemi kullanılarak türetilebilir.

PIN güvenliği

Mali PIN'ler genellikle 0000-9999 aralığında dört basamaklı sayılardır ve 10.000 olası kombinasyonla sonuçlanır. İsviçre, varsayılan olarak altı basamaklı PIN'ler verir.

Bazı sistemler varsayılan PIN'leri ayarlar ve çoğu, müşterinin bir PIN oluşturmasına veya varsayılanı değiştirmesine izin verir ve bazılarında ilk erişimde PIN değişikliği zorunludur. Müşterilere genellikle kendilerinin veya eşlerinin doğum günlerine, sürücü belgesi numaralarına, ardışık veya tekrar eden numaralara veya diğer planlara göre bir PIN oluşturmamaları tavsiye edilir. Bazı finans kuruluşları, tüm rakamların aynı (1111, 2222, ... gibi), ardışık (1234, 2345,…), bir veya daha fazla sıfırla başlayan rakamların veya son dört rakamın olduğu PIN'leri vermez veya izin vermez kart sahibinin sosyal Güvenlik numarası veya doğum tarihi.[kaynak belirtilmeli ]

Çoğu PIN doğrulama sistemi, üç denemeye izin verir, böylece bir kart hırsızına varsayılan% 0,03 olasılık kart bloke edilmeden önce doğru PIN'in tahmin edilmesi. Bu, yalnızca tüm PIN'lerin eşit olasılığa sahip olması ve saldırganın daha fazla bilgiye sahip olmaması durumunda geçerlidir; bu, geçmişte finans kurumlarının ve ATM üreticilerinin kullandığı birçok PIN oluşturma ve doğrulama algoritmasında durum böyle değildir.[30]

Yaygın olarak kullanılan PIN'ler üzerinde araştırma yapılmıştır.[31] Sonuç, önceden düşünülmeden, kullanıcıların önemli bir kısmının PIN'lerini savunmasız bulabilmesidir. "Yalnızca dört olasılıkla donanmış bilgisayar korsanları, tüm PIN'lerin% 20'sini kırabilir. On beşten fazla sayıya izin vermezler ve kart sahiplerinin dörtte birinden fazlasının hesaplarına dokunabilirler."[32]

Kırılabilir PIN'ler, uzunlukla birlikte kötüleşebilir:

Tahmin edilebilir PIN'lerle ilgili sorun, müşteriler ek rakamlar kullanmaya zorlandıklarında şaşırtıcı bir şekilde daha da kötüleşir ve on beş numara ile yaklaşık% 25 olasılıktan% 30'un üzerine çıkılır (tüm bu telefon numaralarında 7 rakam sayılmaz). Aslında, tüm 9 haneli PIN'lerin yaklaşık yarısı, iki düzine olasılığa indirgenebilir, bunun nedeni büyük ölçüde tüm insanların% 35'inden fazlasının hepsini çok cazip 123456789'u kullanmasıdır. Kalan% 64'e gelince, büyük olasılıkla kullanıyorlar. onların Sosyal Güvenlik numarası, bu da onları savunmasız hale getirir. (Sosyal Güvenlik Numaraları kendi iyi bilinen kalıplarını içerir.)[32]

Uygulama kusurları

2002 yılında iki doktora öğrencisi Cambridge Üniversitesi, Piotr Zieliński ve Mike Bond'un PIN oluşturma sisteminde bir güvenlik açığı keşfetti. IBM 3624, çoğu sonraki donanımda çoğaltıldı. Olarak bilinir ondalık tablo saldırısı Kusur, bir bankanın bilgisayar sistemine erişimi olan birinin ortalama 15 tahminle bir ATM kartı için PIN'i belirlemesine izin verecek.[33][34]

Ters PIN aldatmacası

Ana makale: ATM SafetyPIN yazılımı

Bir ATM'ye geriye doğru bir PIN girilmesi durumunda, polise anında uyarı yapılacağı ve normalde PIN kodu doğru girilmiş gibi paranın verileceği söylentileri dolaşıyor.[35] Bu planın amacı, kaçakçılık mağdurlarını korumak olacaktır; buna rağmen sistemi bazı ABD eyaletlerinde kullanılması önerilmektedir,[36][37] şu anda ATM yok[ne zaman? ] bu yazılımı kullanan var.[kaynak belirtilmeli ]

Cep telefonu şifreleri

Bir cep telefonu PIN korumalı olabilir. Etkinleştirilirse, PIN (şifre de denir) GSM cep telefonları dört ila sekiz basamaklı olabilir[38] ve kaydedilir SIM kart. Böyle bir PIN üç kez yanlış girilirse, SIM kart bir kişisel blokaj kaldırma kodu Servis operatörü tarafından sağlanan (PUC veya PUK) girilir. PUC on kez yanlış girilirse, SIM kart kalıcı olarak bloke edilir ve mobil operatör hizmetinden yeni bir SIM kart gerektirir.

PIN'ler ayrıca akıllı telefonlarda bir kişisel kimlik doğrulama biçimi olarak yaygın olarak kullanılır, böylece yalnızca PIN'i bilenler cihazın kilidini açabilir. Doğru PIN kodunu girmeye yönelik bir dizi başarısız girişimden sonra, kullanıcının tahsis edilen bir süre boyunca tekrar denemesi engellenebilir, cihazda depolanan tüm veriler silinebilir veya kullanıcıdan aşağıdaki alternatif bilgileri girmesi istenebilir. yalnızca sahibinin kimlik doğrulaması yapması beklenir. PIN kodunu girme girişimlerinin başarısız olmasından sonra yukarıda bahsedilen olaylardan herhangi birinin meydana gelip gelmediği, büyük ölçüde cihaza ve cihaz sahibinin ayarlarında seçtiği tercihlere bağlıdır.

Ayrıca bakınız

Referanslar

  1. ^ Higgs, Edward (1998). Tarih ve Elektronik Eserler. Oxford University Press. ISBN  0198236336.
  2. ^ Martin Keith (2012). Günlük Kriptografi: Temel İlkeler ve Uygulamalar. Oxford University Press. ISBN  9780199695591.
  3. ^ Cale, Stephane (2013). Mobil Erişim Güvenliği: BYOD'nin Ötesinde. Wiley Yayıncılık. ISBN  978-1-84821-435-4.
  4. ^ "E-Ticaret: PIN Borçlandırması için Karışık Bir Web". Dijital İşlemler. 1 Şubat 2013 - Associated Press aracılığıyla.
  5. ^ Jarunee Wonglimpiyara, Banka Kartı İşinde Rekabet Stratejileri (2005), s. 1-3.
  6. ^ a b "Bankamatiği icat eden adam". BBC. 2007-06-25. Alındı 2014-06-15.
  7. ^ "ATM mucidi John Shepherd-Barron 84 yaşında öldü". Los Angeles zamanları. 19 Mayıs 2010 - Associated Press aracılığıyla.
  8. ^ Jarunee Wonglimpiyara, Banka Kartı İşinde Rekabet Stratejileri (2005), s. 5.
  9. ^ "Pin'in mucidi için kraliyet onuru". BBC. 2006-06-16. Alındı 2007-11-05.
  10. ^ GB 1197183  "Müşteri Tarafından Çalıştırılan Dağıtım Sistemlerinde veya bunlarla ilgili iyileştirmeler" - Ivan Oliveira, Anthony Davies, James Goodfellow
  11. ^ a b Stiennon, Richard (17 Haziran 2014). "Anahtar Yönetimi Hızlı Büyüyen Bir Alan". Güvenlik Güncel. IT-Hasat. Alındı 21 Ağustos 2019.
  12. ^ a b Bátiz-Lazo, Bernardo (2018). Cash and Dash: ATM'ler ve Bilgisayarlar Bankacılığı Nasıl Değiştirdi?. Oxford University Press. s. 284 ve 311. ISBN  9780191085574.
  13. ^ "NIST'in Veri Şifreleme Standardı (DES) Programının Ekonomik Etkileri" (PDF). Ulusal Standartlar ve Teknoloji Enstitüsü. Amerika Birleşik Devletleri Ticaret Bakanlığı. Ekim 2001. Alındı 21 Ağustos 2019.
  14. ^ a b Langford Susan (2013). "ATM Nakde Çevirme Saldırıları" (PDF). Hewlett Packard Enterprise. Hewlett Packard. Alındı 21 Ağustos 2019.
  15. ^ a b "NCR 270 Yükseltmesi Olarak Tasarlanmış Kimlik Sistemi". Bilgisayar Dünyası. IDG Enterprise. 12 (7): 49. 13 Şubat 1978.
  16. ^ "Çevrimiçi İşlemler için Dört Ürün Açıklandı". Bilgisayar Dünyası. IDG Enterprise. 10 (4): 3. 26 Ocak 1976.
  17. ^ a b "Martin M. (John) Atalla". Purdue Üniversitesi. 2003. Alındı 2 Ekim 2013.
  18. ^ "Güvenlik gurusu Net'i ele alıyor: PIN'in babası, TriStrata'yı başlatmak için" emekli değil ". İş Dergileri. American City İş Dergileri. 2 Mayıs 1999. Alındı 23 Temmuz 2019.
  19. ^ "Purdue Mühendislik Okulları 10 seçkin mezunu onurlandırdı". Dergi ve Kurye. 5 Mayıs 2002. s. 33.
  20. ^ Bátiz-Lazo, Bernardo (2018). Cash and Dash: ATM'ler ve Bilgisayarlar Bankacılığı Nasıl Değiştirdi?. Oxford University Press. s. 311. ISBN  9780191085574.
  21. ^ Konheim, Alan G. (1 Nisan 2016). "Otomatik para çekme makineleri: geçmişleri ve kimlik doğrulama protokolleri". Kriptografi Mühendisliği Dergisi. 6 (1): 1–29. doi:10.1007 / s13389-015-0104-3. ISSN  2190-8516. Arşivlenen orijinal 22 Temmuz 2019. Alındı 22 Temmuz 2019.
  22. ^ Grant, Gail L. (1998). Dijital İmzaları Anlamak: İnternet ve Diğer Ağlar Üzerinden Güven Kurmak. McGraw-Hill. s. 163. ISBN  9780070125544. Aslında, ABD'deki tüm bankacılık ATM işlemlerinin yaklaşık yüzde 70'i, özel Atalla donanım güvenlik modülleri aracılığıyla yönlendiriliyor.
  23. ^ "Ödeme ve GP HSM'ler için Portföy Genel Görünümü" (PDF). Utimaco. Alındı 22 Temmuz 2019.
  24. ^ Kimlik numaranız bir şifre değil, Webb-site.com, 8 Kasım 2010
  25. ^ ISO 9564-1: 2011 Mali hizmetler - Kişisel Kimlik Numarası (PIN) yönetimi ve güvenliği - Bölüm 1: Kart tabanlı sistemlerde PIN'ler için temel ilkeler ve gereksinimler Madde 8.1 PIN uzunluğu
  26. ^ "3624 PIN Oluşturma Algoritması". IBM.
  27. ^ "PIN Ofset Oluşturma Algoritması". IBM.
  28. ^ "Manyetik şeritli kartların izleme biçimi". Gae.ucm.es.
  29. ^ "PVV Oluşturma Algoritması". IBM.
  30. ^ Kuhn, Markus (Temmuz 1997). "Yankesiciler için olasılık teorisi - ec-PIN tahmini" (PDF). Alındı 2006-11-24. Alıntı dergisi gerektirir | günlük = (Yardım)
  31. ^ Nick Berry (28 Eylül 2012). "En yaygın PIN'ler: banka hesabınız savunmasız mı?". Guardian gazetesi web sitesi. Alındı 2013-02-25.
  32. ^ a b Lundin Leigh (2013-08-04). "PIN'ler ve Şifreler, Bölüm 1". Şifreler. Orlando: SleuthSayers. Yalnızca dört olasılıkla donanmış olan bilgisayar korsanları, tüm PIN'lerin% 20'sini kırabilir.
  33. ^ Zieliński, P & Bond, M (Şubat 2003). "PIN kırma için ondalık ayırma tablosu saldırıları" (PDF). 02453. Cambridge Üniversitesi Bilgisayar Laboratuvarı. Alındı 2006-11-24. Alıntı dergisi gerektirir | günlük = (Yardım)
  34. ^ "Medya kapsamı". Cambridge Üniversitesi Bilgisayar Laboratuvarı. Alındı 2006-11-24.
  35. ^ "Ters PIN Panik Kodu". Alındı 2007-03-02.
  36. ^ SB0562'nin Tam Metni Illinois General Assembly, erişim tarihi: 2011-07-20
  37. ^ sb379_SB_379_PF_2.html Senato Yasası 379 Arşivlendi 2012-03-23 ​​de Wayback Makinesi Georgia General Assembly, 2006 yayınlandı, erişim tarihi: 2011-07-20
  38. ^ 082251615790 GSM 02.17 Abone Kimlik Modülleri, Fonksiyonel Özellikler, sürüm 3.2.0, Şubat 1992 Madde 3.1.3