abonnement iBood bol.com Vodafone Ziggo Coolblue
pi_201420640
Een hash van vier tekens (0-9) is in seconden gebruteforced. Dat is bijna net zo efficiŽnt als een encryptie terug rekenen. De pincode zit alleen niet in de administratie, de hash wel.

Maar we hebben vast wel een bank-IT'er die meeleest.
pi_201421233
quote:
0s.gif Op zaterdag 18 september 2021 23:13 schreef investeerdertje het volgende:
Een hash van vier tekens (0-9) is in seconden gebruteforced. Dat is bijna net zo efficiŽnt als een encryptie terug rekenen. De pincode zit alleen niet in de administratie, de hash wel.

Maar we hebben vast wel een bank-IT'er die meeleest.
Ik mag hopen dat de hash niet alleen gebaseerd is op de pincode, maar op een langere string, bijvoorbeeld rekeningnummer of pasnummer. En een salt.

Maar ik ben wel benieuwd hoe het nou zit, want het is wel gek dat ze blijkbaar (omkeerbaar versleuteld) je pincode hebben opgeslagen.
  zaterdag 18 september 2021 @ 23:55:47 #28
267443 Cue_
Cuecumbergirl
pi_201421235
Je kan hem natuurlijk encrypted vastleggen
Odd de hash vastleggen, zoals vaak met wachtwoorden ook gebeurd.
pi_201421253
quote:
0s.gif Op zaterdag 18 september 2021 23:55 schreef Cue_ het volgende:
Je kan hem natuurlijk encrypted vastleggen
Odd de hash vastleggen, zoals vaak met wachtwoorden ook gebeurd.
Maar een hash zou niet tot een plaintext waarde te herleiden mogen zijn.
  zondag 19 september 2021 @ 00:22:39 #30
473519 Drekkoning
Is het al juno?
pi_201421544
quote:
1s.gif Op zaterdag 18 september 2021 23:55 schreef NightDancert het volgende:

[..]
Ik mag hopen dat de hash niet alleen gebaseerd is op de pincode, maar op een langere string, bijvoorbeeld rekeningnummer of pasnummer. En een salt.

Maar ik ben wel benieuwd hoe het nou zit, want het is wel gek dat ze blijkbaar (omkeerbaar versleuteld) je pincode hebben opgeslagen.
Maar een hash is niet gebaseerd op een geheime salt of geheim algoritme. Dus inderdaad heeft het hashen van een pincode niet zoveel zin idd.
It’s hard to light a candle, easy to curse the dark instead
pi_201452530
Pincode is volgens mij opgeslagen in de chip van je creditcard. Is dan ook de zwakste schakel in de beveiliging. Je kunt hem niet uitlezen uiteraard. Ooit gehoord dat door de communicatie tussen chip en betaalapparaat te beÔnvloeden je een ok signaal kan geven voor de transactie.
pi_201452609
quote:
0s.gif Op zaterdag 18 september 2021 10:59 schreef Cerveza33 het volgende:
Ik wist mijn pincode van mijn creditcard niet meer, deze heb ik opgevraagd en kreeg deze toegestuurd met deze brief:

[ afbeelding ]
[..]
Nu kan ik me voorstellen dat als ze me een creditcard sturen en meteen een pincode maken dat ze dit direct printen en nergens vast leggen. Blijkbaar leggen ze die pincode toch ergens vast want ik kan hem achteraf opvragen, dan printen ze hem opnieuw uit, die pincode zit dus wel ergens in een administratie?

Waarom liegt de rabobank tegen mij?
Ze willen de indruk wekken dat er niet ergens een document in hun dossierkast is waar jouw pincode leesbaar opgeschreven staat.

Uiteraard is die pincode wel ergens aan jouw kaart gekoppeld. Ergens waar jij en ik niet bij kunnen. Anders zou de betaalautomaat ook niet weten dat je de juiste pincode in hebt getikt.
pi_201452724
quote:
0s.gif Op dinsdag 21 september 2021 11:21 schreef Halcon het volgende:

[..]
Anders zou de betaalautomaat ook niet weten dat je de juiste pincode in hebt getikt.
Dat werkt met hashes en salt, je wachtwoord of pincode kan wel omgezet worden in een code, maar die code kunnen ze niet terug rekenen naar jouw wachtwoord of pincode

Dus pincode 1234 wordt: Aubidea8g74e!$#5t3rgersdgsfherth (ofzo)
Maar Aubidea8g74e!$#5t3rgersdgsfherth kunnen ze niet terug rekenen naar 1234

Willen ze weten of je pincode klopt, dan rekenen ze 1234 om naar Aubidea8g74e!$#5t3rgersdgsfherth, en kijken dan in de database of de wachtwoord code ook Aubidea8g74e!$#5t3rgersdgsfherth is
  dinsdag 21 september 2021 @ 11:35:38 #34
473519 Drekkoning
Is het al juno?
pi_201452761
quote:
0s.gif Op dinsdag 21 september 2021 11:15 schreef Rudolf_Radwanski het volgende:
Pincode is volgens mij opgeslagen in de chip van je creditcard. Is dan ook de zwakste schakel in de beveiliging. Je kunt hem niet uitlezen uiteraard. Ooit gehoord dat door de communicatie tussen chip en betaalapparaat te beÔnvloeden je een ok signaal kan geven voor de transactie.
Pincode staat uiteraard (al dan niet gehashed) op de pas zelf inderdaad. Anders zou een random reader ook niet werken.

Maar de bank zelf verifieert ook nog bij een pintransactie, inderdaad omdat je anders een rogue betaalautomaat zou kunnen maken.

Dat kun je bijvoorbeeld zien bij een contactloze betaling boven een x-bedrag, dan wordt er een pincode gevraagd maar er zit geen pinpas in het apparaat. Die validatie vindt plaats bij de bank.
It’s hard to light a candle, easy to curse the dark instead
  dinsdag 21 september 2021 @ 11:36:54 #35
473519 Drekkoning
Is het al juno?
pi_201452777
quote:
0s.gif Op dinsdag 21 september 2021 11:32 schreef Cerveza33 het volgende:

[..]
Dat werkt met hashes en salt, je wachtwoord of pincode kan wel omgezet worden in een code, maar die code kunnen ze niet terug rekenen naar jouw wachtwoord of pincode

Dus pincode 1234 wordt: Aubidea8g74e!$#5t3rgersdgsfherth (ofzo)
Maar Aubidea8g74e!$#5t3rgersdgsfherth kunnen ze niet terug rekenen naar 1234

Willen ze weten of je pincode klopt, dan rekenen ze 1234 om naar Aubidea8g74e!$#5t3rgersdgsfherth, en kijken dan in de database of de wachtwoord code ook Aubidea8g74e!$#5t3rgersdgsfherth is
Maar dat heeft natuurlijk helemaal geen nut met een cleartext van maximaal 10.000 combinaties ;)
It’s hard to light a candle, easy to curse the dark instead
pi_201453191
quote:
0s.gif Op dinsdag 21 september 2021 11:36 schreef Drekkoning het volgende:

[..]
Maar dat heeft natuurlijk helemaal geen nut met een cleartext van maximaal 10.000 combinaties ;)
Daarom is ook niet allen de pincode van belang voor het generen van de hash ;)

pasnummer, geldigheidsdatum, random getal, naam verzin maar een combinatie :)
  dinsdag 21 september 2021 @ 12:10:02 #37
473519 Drekkoning
Is het al juno?
pi_201453275
quote:
0s.gif Op dinsdag 21 september 2021 12:04 schreef Cerveza33 het volgende:

[..]
Daarom is ook niet allen de pincode van belang voor het generen van de hash ;)

pasnummer, geldigheidsdatum, random getal, naam verzin maar een combinatie :)
Maar dan is het meer het equivalent van symmetrische encryptie, waarbij die parameters als sleutel gelden. Alleen moet je wellicht 10.000x proberen.

Technisch gezien is het een hashfunctie, maar het idee achter een hash is dat zelfs als je over alle informatie beschikt (dus de salt etc) behalve de cleartext (het wachtwoord), je nog niet eenvoudig of snel kan achterhalen wat het wachtwoord is.
It’s hard to light a candle, easy to curse the dark instead
pi_201465058
Pincode is volgens mij opgeslagen in de chip van je creditcard. Is dan ook de zwakste schakel in de beveiliging. Je kunt hem niet uitlezen uiteraard. Ooit gehoord dat door de communicatie tussen chip en betaalapparaat te beÔnvloeden je een ok signaal kan geven voor de transactie.
abonnement iBood bol.com Vodafone Ziggo Coolblue
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')