フランスに住んでいて、銀行から発行されたデビットカードを持っています。期限が切れると、同じピン番号の新しいものが届きます。私は最近、銀行員に別のカード(別の銀行口座用の別のカード)を発行するように依頼しました、そして彼はそれが前のカードと同じピン番号を持つことができると私に言いました。
それは私の銀行、またはビザが実際に発行するすべてのクレジットカードのPIN番号を保存している、またはアクセスできることを意味しますか?その場合、この情報のセキュリティを確保するために特定の方法が使用されていますか?
チップアンドピン(EMV)クレジットカードは オンラインPIN検証 をサポートしています。つまり、PINはどこかに保存する必要があります(私はそれがVISA/MasterCardによって制御されている中央の場所にあるのか、銀行にあるのかわからない)。VISA/ MCは通常セキュリティの観点からかなり最新であるため、ハッシュは安全に保存されていると思いますが、ブルートフォース攻撃は非常に簡単です。 4桁PIN塩漬けの場合でも、
今私が実際に起こっていると私が疑っているのは、あなたの銀行もPINを暗号化された形式で保持しているということですが、それはまだ可逆的であり、そこで働いている誰かがそれを取得するのに問題はないでしょう。それらが実際に保存されているシステムによっては、ログの取得はログに記録されますが、暗号化自体は依然として元に戻すことができます。
この回答も読んでください。あなたと同じです。 2番目の銀行カードが同じPINで到着しました
それらはおそらくローカル従業員などのために暗号化されて保存されますが、そこで働くエンジニアにとって、データベースからPINを取得することは大きな問題にはなりません。 PINレコードが格納される唯一の場所は [〜#〜] hsm [〜#〜] です。
ちょうどストアパスワードのように。あなたのPINは一方向ハッシュ化、ソルト化され、暗号化された形式でHSMに保存されます。内部のスタッフは、アクセス制御ポリシーを使用して)PIN info。PINを取得する方法はありますが、ハッシュ化されており、元のPINを取得することは困難ですPIN。
これにより、銀行はハッシュされたPINをバックエンドの他のアカウントに関連付けることができます。未加工のPINでログインすると、銀行システムはそれをハッシュしてバックエンドのアカウントと比較します。