銀行カードのオフライン総当たり攻撃PIN
私はここで重要な事実を無視しているかもしれませんが、以下をまとめると、銀行カードのPIN誰もが利用できる最も基本的なハードウェアを使用することを決定することは簡単です)次の国の私の国):
- 各銀行には、「digipass」を使用してユーザーを確認するインターネットバンキングアプリケーションがあります。これらはすべて中国製で、使用されているモデルはほんの一部です。デバイスにあるロゴやシリアル番号は関係ありません。これらはすべて同じように機能します。
- DigipassはPINを要求し、それが正しいかどうかを確認します(かなり高速)。
- 通常のPINは4桁で、10000の可能なコードになります。ブルートフォースは簡単です。
すべてをまとめると、次のようになります。
- 銀行カードを盗む、
- PIN試行回数をすばやく連続できるようにデジパスを変更し、入力したPINが正しいと思うかどうかを検出します(これは簡単ですか?本当に)
- カードのPINたとえば、1試行あたり5秒、およそ14時間かかります。
私は本当に何かを逃しているにちがいない、または銀行カードのセキュリティはばかげていますか?
スマートカードに埋め込まれたチップは、定義された数の誤ったPINエントリ、通常3〜10回の試行の後にロックされます。
実際には、10,000の組み合わせすべてを反復処理する必要があるとは思いません。数値の異なるペアの頻度について、ここには本当に素晴らしい分析があります:
http://www.datagenetics.com/blog/september32012/index.html
基本的に19XXから始まり、あなたの方法で作業することは、PIN数値が実際にランダムに生成された場合よりもはるかに高い成功率を意味します。
ステップ1は簡単ですが、ステップ2は難しいです。チップはそのような改ざんを防ぐように設計されており、研究グループは長年にわたり、攻撃を成功させることなく提案されていることを実行する方法に取り組んできました。
このデジパスについて聞いたことがありません。私はオンラインバンキングを行うときに使用しないので、米国では攻撃が適用されるとは思わない。
米国では、ATMカード(データが入った磁気ストライプカード)を持っています。誰かのATMカードを盗んだ場合、さまざまなPINを試すことができます。ただし、PINの検証には銀行のメインフレームとの通信が含まれるため、PINを3回程度誤って入力すると、銀行はATMカードを飲み込みます(おそらくアカウントをロックします)。 PIN=数の完全な推測は機能しません。数回しか試行しないためです。
私は、米国の銀行がオンラインバンキングのパスワードの推測に対して同じ防御策を適用することを期待します。そして、あなたの国が何であれ、銀行はPINの徹底的な推測に対して同様の防御策を適用することを期待します。デジパスで実装されるか、または銀行のバックエンドシステムで実装されます(後者は、認証に何らかの相互作用が必要な場合にのみ可能です) digipassと銀行サーバーの間で行われますが、これは認証プロトコルを設計するための合理的な方法です。