PIN-Nummern von Bankkarten sind leicht zu knacken

[marsvin]

Zitat:

Zitat von Thomas Hamburg

Wie sieht es dann im Ausland aus? In frankreich sind defenitiv die Banken mit deutschen nicht direkt vernetzt. Eine Karte, die ein GA hier in Hbg verhunzt hatte, (Geld ließ sich an keinem deutschen GA mehr abheben) wurde an franz. Automaten einwandfrei gelesen und auch Geld ausgezahlt.
Und die Bankwirtschaft hatte bisher immer von einen Rechenalgorithmus gesprochen.

Das liegt an einem nur in Deutschland verwendetem, zusätzlichen Sicherheitsmodul im GA, der die Karte auf Echtheit überprüft (MM-Modul), deshalb kann auch im Ausland mit Kartendubletten und PIN Geld abgehoben werden, das hat aber nichts mit der PIN-Authorisierung zu tun,
Siggi

[aquacan]

Zitat:

Zitat von marsvin

Das liegt an einem nur in Deutschland verwendetem, zusätzlichen Sicherheitsmodul im GA, der die Karte auf Echtheit überprüft (MM-Modul), deshalb kann auch im Ausland mit Kartendubletten und PIN Geld abgehoben werden, das hat aber nichts mit der PIN-Authorisierung zu tun,
Siggi

Versteh ich nicht,
denn woran erkennt der französische Geldautomat denn , dass die richtige Pin eingegeben wird ? wenn er sie nicht von einem zentralen Server anhand der Kartennummer abrufen kann ?

Ich würde mich auch nicht wundern, dass es bei Insidern, die die Technik und EDV für die Banken konzipieren und installieren, nicht auch undichte Stellen zu kriminellen Kreisen gäbe.
Allein diese Möglichkeit öffentlich in Erwägung zu ziehen, würde ein Image- und materiellen Schaden der Banken in unabschätzbarer Höhe auslösen.

Gruß
Justin

[Schattis]

Bei uns in der Stadt hat sich mal ein Postbote an anderer Leute Geld bereichert.
Er hat einfach die per Post zugestellten EC-Karten einbehalten, und brauchte so nur ein paar Tage auf den nachfolgenden Pin zu warten der ja aus Sicherheitsgründen immer zeitversetzt zur Karte geschickt wird. Das ganze ist auch erst nach einem 3/4 Jahr aufgeflogen, da es nur Leuten aus seinem Zustellungsbereich passiert ist.

[Tina206]

Zitat:

Zitat von elbeschlauchbootfahrer

Bei der HVB konnte ich meine PIN direkt am Geldautomaten ändern. Wo wird die also "aufgeschrieben" sein

Ich habe auch meinen PIN geändert und keine neue Karte dafür erhalten.
Wie machen die es dann?

[marsvin]

Zitat:

Zitat von aquacan

Versteh ich nicht,
denn woran erkennt der französische Geldautomat denn , dass die richtige Pin eingegeben wird ? wenn er sie nicht von einem zentralen Server anhand der Kartennummer abrufen kann ?

Ich würde mich auch nicht wundern, dass es bei Insidern, die die Technik und EDV für die Banken konzipieren und installieren, nicht auch undichte Stellen zu kriminellen Kreisen gäbe.
Allein diese Möglichkeit öffentlich in Erwägung zu ziehen, würde ein Image- und materiellen Schaden der Banken in unabschätzbarer Höhe auslösen.

Gruß
Justin

Natürlich muss auch der französische GA die PIN beim entsprechenden Server verifizieren, nur überprüft er nicht, ob es sich um eine echte EC-Karte handelt oder einen, mit den entsprechenden Daten bespielter Rohling. Diese Prüfung des sog. Material-Merkmals ist eine Option der Automatenhersteller und wird momentan nur in Deitschland eingesetzt,
Siggi
Diejenigen, die diese Technik drausse im Feld installieren und warten, haben auch keinen Zugriff auf sensible Daten, da dies alles per Blackbox abgehandelt wird, die entsprechenden Module sind verplombt, der Chip wird bei Öffnung des Gehäuses gelöscht. Auch ein Mitlesen auf der Datenleitung nützt nur bedingt, da alles verschlüsselt wird. Natürlich kann man alles entschlüsseln, wenn man ein paar hundert Jahre Zeit hat.

[BadWolfi]

Schon die Tatsache, daß man bei machen Banken die PIN über das Netbanking verändern kann bestätigt doch, daß der PIN nicht auf der Karte enthalten sein kann. Die Magnetspur einer Karte auslesen ist übrigens extrem einfach und kann mit jedem Billigleser aus dem Conrad-Katalog realisiert werden. Die Daten auf der Karte stehen übrigens im Klartext drauf. Das sind Daten wie Kartennummer und die letzten Transaktionen.

Man darf sich das auch nicht so vorstellen, daß alle Bankomaten in ganz Europa auf einen einzigen Server zugreifen. Natürlich wird es da mehrere Knotenpunkte geben. Es wird auch nicht so sein, daß wenn eine Karte als verloren gemeldet wird alle Transaktionsserver in Echtzeit diese Änderung erfahren. Aber gen. erfolgt die Freigabe einer Transaktion immer "online".

Grüße
BadWolfi

[marsvin]

So, ich verabschiede mich jetzt aus dieser Diskussion, ich gehe Segeln,
Siggi

[Thomas Hamburg]

Vielleicht sollten eir einmal das Wissen abgreifen, besonders die letzteren Kapitel:

http://de.wikipedia.org/wiki/Geldautomat

Und wer sich ein Urteil des BGH durchackert erfährt aus so einiges über die Technik der PIN
http://www.jur-abc.de/cms/index.php?id=183

[Kuddel]

Das kann nicht sein! Die PIN ist nicht auf der Karte.

Die PIN wird errechnet, die Formel dazu muss der Bankautomat kennen, die Daten der Karte bilden eine (oder mehre) Variable dafür, damit auch bei Datennetzausfall gezahlt werden kann, dann meist jedoch nur die Mindestsumme.

Das die Datenübertragung eine dünne Stelle ist, glaube ich auch. Es können so genügend Daten gesammelt werden. Die Auswertung ist Sache von Spezialisten der Mathematik.

Was richtigrum geht, geht auch falschrum, garantiert!

Bernd.

[quaelgeist]

Villeicht gibt es ja nationale Unterschiede.
In den Niederlanden ist die PIN definitiv auf der Karte - irgendwie
Fuer PC Banking steckt man die Karte in den (nicht personifizierten) Bankleser (wie ein Taschenrechner) und gibt die PIN ein.
Bei falscher PIN geht nichts weiter.
Das ist alles bevor man irgendetwas mit dem internet macht.

So - und nun ?

[Kuddel]

.. da werden die Kartendaten mit der PIN berechnet und bei "richtig" geht es weiter. Warum sollte die Software nicht das können, was ein Bankautomat kann?

Bernd.

[quaelgeist]

nun ja...

Falls ein Leser mit Minichip die PIN testen kann, das bedeutet das fuer mich:
die PIN ist auf der Karte - verschluesselt halt.

Dann kann man das auch entschluesseln, z.B. durch reverse-engineering des Lesers. Nur ne Frage des Stundensatzes der beteiligten Fachleute und des erwarteten Gewinns durch den Missbrauch danach.

Erschreckend nur, das die meisten Gerichte den Banke ihre Maerchen noch Glauben.
Muss CCC wohl wieder erst live vorfuehren damit es alle glauben

[xtw]

Moin !
Ihr habt beide recht ! Der Pin IST auf der Karte, andererseits aber auch NICHT. Das ganze funktioniert nach einem Algorythmus und mit einer Methodik, die auch im IT-Bereich überall eingesetzt ist. Extrem verkürzt und simplifiziert : Mit der eingegebenen PIN und einem auf der Karte gespeicherten Code (m.W. 40-stellig) wird ein Wert errechnet, der einem Vergleichswert entsprechen muss. Das Wichtige : beim Zurückrechnen würden unendlich viele (9999) PINS entstehen, ohne richtigen PIN kommt man hier also nicht weiter - aber es lassen sich mit Hilfe der Statistik wahrscheinliche PINS bestimmen, so dass meist weniger wie 10 Versuche ausreichen, die richtige zu erhalten !

[Kuddel]

...man nennt das Hash-Wert.

Bernd.

[xtw]

Machs jetzt nicht wieder zu kompliziert !

Was ich nicht weiss, ist, wie sich der Vergleichswert zusammensetzt und wo er gespeichert wird. Ich würde mal darauf tippen, dass sich über die eingegebene PIN mit einem weiteren Code im Geldautomaten der Vergleichswert ergibt, aber wäre das noch kollisionssicher ??

15 Jahre her, der ganze Mist !

[aquacan]

Hi,

ich war heute auf meiner Bank und bekam zufällig mit, dass der Automat die Ec-Karte einer Kundin eingezogen hatte und auf ihre erstaunte Reklamation am Schalter ihr mitgeteilt wurde, dass von zahlreichen Karten - darunter auch ihre - Kopien durch eine illegale Manipulation des Geldautomaten der gegenüber liegenden Dresdner Bank gemacht wurden, wenn man dort zu einem fraglichen Zeitraum seine Karte völlig normal zum Geld abheben benutzte.
Mit diesen Kopien seien dann viele Konten übers Ausland geplündert worden.

Diese Kundin hatte Glück gehabt, dass die Bank rechtzeitig und von sich aus die Karte sperrte, nachdem die Geschichte aufgeflogen war.

Ob die Manipulation jedem Kunden dieser oder anderer Banken eingeräumt wurde, die mit großen Abbuchungen das Nachsehen hatten, weil sie den besagten manipulierten Geldautomaten benutzten, da wäre ich mir nicht so 100%ig sicher.

Was wäre, wenn die Täter die Manipulation vor ihrer Entdeckung wieder beseitigt hätten ?
Welcher geschädigte Kunde würde davon erfahren, dass er nicht der einzige war, um eine Manipulation ins Feld führen zu können ?

Gruß
Justin