Re: Warum den PIN überhaupt auf Reisen schicken? - PIN-Ãœbertragung bei Automaten unsicherer…

reisen> Der Automat kann die PIN auch ohne externe Unterstützung überprüfen
> > (muss er auch um auch im Falle des Offline-Betriebes Geld auszahlen
> > zu können).
>
> Also die Automaten die ich kenne beschweren sich immer brav, wenn
> keine Verbindung zustande kommen kann. Und dass er im Offline Betrieb
> auszahlt halte ich auch für extrem fragwürdig und potentiell
> gefährlich. So könnte ich ja im Extremfall nahezu beliebig viel Geld
> von meinem Konto abheben, auch wenn der Kreditrahmen schon längst
> ausgereizt ist, indem ich nur warte bis bei einer großen Filiale mit
> mehren Automaten mal das Netz ausfällt.
Zumindest gab es einmal die Möglichkeit einer Offline-Auszahlung, es
kann sein, dass sich das inzwischen geändert hat. Das ganze hing mit
dem garantierten betrag von EC-Schekcs bzw. karten zusammen. Der
Automat zahlte im Offline-Betreib die maximal erlaubte Summe aus und
vermerkte die Auszahlung auf der Karte. Damit wusste auch der nächste
Automat Bescheid und verweigerte (auch im Offline-Betreib) weitere
Auszahlungen. Die Daten wurden dann von den Automaten mit der
betreffenden bank abgeglichen sobald der Automat wieder Online war.
> Auch könnte man dann problemlos auch mit gesperrten Karten abheben
> bzw. jeder Automat müsste eine Liste aller weltweit gesperrten Karten
> vorrätig haben.
>
Ein derartige, lokal gespeicherte Liste der gespertten karten gb es
auch. Der Speiocherbedarf hierzu ist auch nicht besonders hoch.
> Das hieße ja, das alle zur authentifizierung nötigen Informationen
> auf dem Magnetstreifen der Karte gespeichert sein müssten. Das kann
> wohl kaum sinnvoll sein, da eine “Blackbox”, die in falsche Hände
> gerät, ausreichen würde um Systeme zu bauen, die in Sekundenschnelle
> jede PIN knacken (es würde reichen den “maximal 3 Versuche”-Zähler
> der Blackbox zu manipulieren und beliebig oft zu probieren, sind ja
> nicht so viele Kombinationen).
Die sollte durch den gekapselten Aufbau der Blackbox verhindert
werden. Ein Öffnen der Box hätte deren zerstörung zur Folge gehabt.
Wie PIN war/ist soweit ich weiß in der Tat auf der Karte
verschlüsselt gespeichert.
>
> > Was ich mich ohnehin frage: lt. Angaben der Bank, ist die PIN
> > niemanden außer mir die PIN bekannt. Sie wurde auf die Karte kodiert
> > und nirgendwo gespeichert. Wie ist es dann möglich, dass ich bei
> > Erhalt einer neuen EC-Karte (nachdem die Gültigkeit der alten
> > abgelaufen ist) nach wie vor die bisherige PIN benutzen kann?
>
> Indem man einfach die auf der Karte kodierten Informationen komplett
> speichert und auf die neue Karte das gleiche drauf schreibt?
> Solange die PIN nicht im Klartext auf dem Magnetstreifen gespeichert
> ist sondern in irgendeiner Hash-Form ist es auch nicht nötig die PIN
> bei der Bank im Klartext zu speichern.
Sicher nicht im Klartext, aber die ausstellende Stelle sollte in der
Lage sein, die Informationen zu entschlüsseln. Soweit ich weiß
gab/gibt es in einegen Ländern auch Geldautomaten, die eine Änderung
der PIN erlauben. In manchen Ländern (z.B. Italien) sind auch
6-Stellige PINs üblich. Ich hatte dort mit manchen Automaten schon
Probleme, weil diese sich weigerten eine 4-Stellige PIN anzunehmen.