Cerveza33 | zaterdag 18 september 2021 @ 10:59 |
Ik wist mijn pincode van mijn creditcard niet meer, deze heb ik opgevraagd en kreeg deze toegestuurd met deze brief:Nu kan ik me voorstellen dat als ze me een creditcard sturen en meteen een pincode maken dat ze dit direct printen en nergens vast leggen. Blijkbaar leggen ze die pincode toch ergens vast want ik kan hem achteraf opvragen, dan printen ze hem opnieuw uit, die pincode zit dus wel ergens in een administratie? Waarom liegt de rabobank tegen mij? | |
sjorsie1982 | zaterdag 18 september 2021 @ 11:07 |
geen idee, ze hebben bij een hypotheekgesprek 13 jaar geleden ook tegen mij gelogen. Misschien hoort dit bij hun bedrijfsbeleid? | |
Het_Bokje | zaterdag 18 september 2021 @ 11:33 |
Retorische vraag is retorisch. | |
Metalfrost | zaterdag 18 september 2021 @ 11:35 |
Ik denk dat de bank hierin het woord 'administratie' de letterlijke betekenis toekent en handelt volgens het AVG. Administratie in letterlijke betekenis is 'beheer van stukken'. | |
miss_sly | zaterdag 18 september 2021 @ 11:42 |
Krijg je niet gewoon een nieuwe pincode en niet dezelfde als die je had? | |
Cue_ | zaterdag 18 september 2021 @ 11:49 |
Ik kreeg een nieuwe pincode voor m'n creditcard toen ik hem kwijt was. Maar hoe doen ze dat met betaalpassen dan als je die kwijt bent? Bij een nieuwe pas word je oude pincode eraan gekoppeld. Dus die moet ergens vastliggen lijkt me zo. | |
Lienekien | zaterdag 18 september 2021 @ 11:53 |
Ergens is die pincode natuurlijk wel in een systeem opgenomen, anders kan ook niet worden vastgesteld dat de pincode klopt bij de kaart. | |
escortmk2 | zaterdag 18 september 2021 @ 11:53 |
Misschien bewaren ze niet je pincode maar wel een hash. En die hash kan je wel weer omzetten naar een code. Aangezien die uit 4 cijfers bestaat is dat per definitie niet al te ingewikkeld. Uiteindelijk moeten ze de pincode ook controleren als je ‘m gebruikt. Als niemand nergens weet wat de juiste code is kan de bank bij een transactie ook niet controleren of jij wel de eigenaar bent. | |
Innisdemon | zaterdag 18 september 2021 @ 12:04 |
| |
Tourniquet | zaterdag 18 september 2021 @ 12:23 |
De bank controleert niet de pincode zelf, maar een hash die (nav de ingetoetste pincode) wordt gegenereerd door cryptografische software in het geldautomaat. Die hash wordt naar de bank gestuurd en daar wordt gecontroleerd of de hash overeenkomt met de opgeslagen hash die bij het rekeningnummer hoort. Deze encryptie is maar in 1 richting mogelijk. Vanuit de pincode is dus wel de hash te berekenen, maar vanuit de hash kun je niet de pincode berekenen. De pincode zelf is dus niet opgeslagen. Voorheen kon je een vergeten pincode daarom ook niet opvragen, maar kreeg je een nieuwe pas met nieuwe code. Blijkbaar kan dat inmiddels wel, maar hoe dat technisch in elkaar zit zou ik niet weten. | |
Cerveza33 | zaterdag 18 september 2021 @ 13:37 |
Dat is een nieuwe pas met een nieuwe code, ik heb een bestaande pas met mijn oude code Nee, ik krijg dezelfde pincode, want nu pakt de raboscanner de pincode wel | |
Cerveza33 | zaterdag 18 september 2021 @ 13:38 |
Die code is beveiligd opgeslagen, net zoals je wachtwoord hier, de pincode kan niet teruggerekend worden | |
Lienekien | zaterdag 18 september 2021 @ 14:11 |
En toch liegt de bank in jouw beleving? | |
Tourniquet | zaterdag 18 september 2021 @ 14:18 |
Blijkbaar toch wel, anders kunnen ze jou niet de pincode geven die je al had. Het verbaast mij ook moet ik zeggen, maar blijkbaar is er een manier gevonden hoe dat veilig kan. Weet iemand misschien hoe dat gaat? | |
TheoddDutchGuy | zaterdag 18 september 2021 @ 14:23 |
Je pincode word niet in plaintext administratief opgeslagen. Laatst ook nog toevallig mijn pincode opgevraagd van ing CC. | |
Drekkoning | zaterdag 18 september 2021 @ 15:08 |
Maar blijkbaar wel omkeerbaar versleuteld. | |
Cerveza33 | zaterdag 18 september 2021 @ 17:15 |
Als je die decryptie sleutel hebt..... | |
Anton91 | zaterdag 18 september 2021 @ 17:18 |
Fe2O3 | zaterdag 18 september 2021 @ 21:20 |
Zucht TS heeft een nieuwe, andere pincode gehad. Een uitgegeven code kan alleen worden ontsleuteld met een pas + software vanaf de bank zijn kant + de code zelf. Is er een van die drie zaken niet, dan is de enige oplossing een nieuwe code uitgeven. | |
Tourniquet | zaterdag 18 september 2021 @ 21:34 |
Het is voor mij ook nieuw, maar blijkbaar kun je tegenwoordig bij een aantal banken je huidige pincode opvragen. Bij de ING kan het ook: https://www.ing.nl/partic(...)betaalpas/index.html
| |
Lienekien | zaterdag 18 september 2021 @ 21:36 |
Ja, dat kan ik bevestigen. | |
FlippingCoin | zaterdag 18 september 2021 @ 21:50 |
Je pincode ligt per definitie ergens op eoa manier vast, anders kunnen ze nooit controleren of wat je intypt wel klopt. Spuit11 | |
Chinless | zaterdag 18 september 2021 @ 22:08 |
Banken zelf slaan niets op toch dit is toch Maestro of visa? | |
Lienekien | zaterdag 18 september 2021 @ 22:16 |
Maakt dat iets uit voor de kwestie? | |
HSG | zaterdag 18 september 2021 @ 22:39 |
Heb je het al aan de Rabobank gevraagd? | |
investeerdertje | zaterdag 18 september 2021 @ 23:13 |
Een hash van vier tekens (0-9) is in seconden gebruteforced. Dat is bijna net zo efficiënt als een encryptie terug rekenen. De pincode zit alleen niet in de administratie, de hash wel. Maar we hebben vast wel een bank-IT'er die meeleest. | |
NightDancert | zaterdag 18 september 2021 @ 23:55 |
Ik mag hopen dat de hash niet alleen gebaseerd is op de pincode, maar op een langere string, bijvoorbeeld rekeningnummer of pasnummer. En een salt. Maar ik ben wel benieuwd hoe het nou zit, want het is wel gek dat ze blijkbaar (omkeerbaar versleuteld) je pincode hebben opgeslagen. | |
Cue_ | zaterdag 18 september 2021 @ 23:55 |
Je kan hem natuurlijk encrypted vastleggen Odd de hash vastleggen, zoals vaak met wachtwoorden ook gebeurd. | |
NightDancert | zaterdag 18 september 2021 @ 23:57 |
Maar een hash zou niet tot een plaintext waarde te herleiden mogen zijn. | |
Drekkoning | zondag 19 september 2021 @ 00:22 |
Maar een hash is niet gebaseerd op een geheime salt of geheim algoritme. Dus inderdaad heeft het hashen van een pincode niet zoveel zin idd. | |
Rudolf_Radwanski | dinsdag 21 september 2021 @ 11:15 |
Pincode is volgens mij opgeslagen in de chip van je creditcard. Is dan ook de zwakste schakel in de beveiliging. Je kunt hem niet uitlezen uiteraard. Ooit gehoord dat door de communicatie tussen chip en betaalapparaat te beïnvloeden je een ok signaal kan geven voor de transactie. | |
Halcon | dinsdag 21 september 2021 @ 11:21 |
Ze willen de indruk wekken dat er niet ergens een document in hun dossierkast is waar jouw pincode leesbaar opgeschreven staat. Uiteraard is die pincode wel ergens aan jouw kaart gekoppeld. Ergens waar jij en ik niet bij kunnen. Anders zou de betaalautomaat ook niet weten dat je de juiste pincode in hebt getikt. | |
Cerveza33 | dinsdag 21 september 2021 @ 11:32 |
Dat werkt met hashes en salt, je wachtwoord of pincode kan wel omgezet worden in een code, maar die code kunnen ze niet terug rekenen naar jouw wachtwoord of pincode Dus pincode 1234 wordt: Aubidea8g74e!$#5t3rgersdgsfherth (ofzo) Maar Aubidea8g74e!$#5t3rgersdgsfherth kunnen ze niet terug rekenen naar 1234 Willen ze weten of je pincode klopt, dan rekenen ze 1234 om naar Aubidea8g74e!$#5t3rgersdgsfherth, en kijken dan in de database of de wachtwoord code ook Aubidea8g74e!$#5t3rgersdgsfherth is | |
Drekkoning | dinsdag 21 september 2021 @ 11:35 |
Pincode staat uiteraard (al dan niet gehashed) op de pas zelf inderdaad. Anders zou een random reader ook niet werken. Maar de bank zelf verifieert ook nog bij een pintransactie, inderdaad omdat je anders een rogue betaalautomaat zou kunnen maken. Dat kun je bijvoorbeeld zien bij een contactloze betaling boven een x-bedrag, dan wordt er een pincode gevraagd maar er zit geen pinpas in het apparaat. Die validatie vindt plaats bij de bank. | |
Drekkoning | dinsdag 21 september 2021 @ 11:36 |
Maar dat heeft natuurlijk helemaal geen nut met een cleartext van maximaal 10.000 combinaties | |
Cerveza33 | dinsdag 21 september 2021 @ 12:04 |
Daarom is ook niet allen de pincode van belang voor het generen van de hash pasnummer, geldigheidsdatum, random getal, naam verzin maar een combinatie | |
Drekkoning | dinsdag 21 september 2021 @ 12:10 |
Maar dan is het meer het equivalent van symmetrische encryptie, waarbij die parameters als sleutel gelden. Alleen moet je wellicht 10.000x proberen. Technisch gezien is het een hashfunctie, maar het idee achter een hash is dat zelfs als je over alle informatie beschikt (dus de salt etc) behalve de cleartext (het wachtwoord), je nog niet eenvoudig of snel kan achterhalen wat het wachtwoord is. | |
Rudolf_Radwanski | woensdag 22 september 2021 @ 08:22 |
Pincode is volgens mij opgeslagen in de chip van je creditcard. Is dan ook de zwakste schakel in de beveiliging. Je kunt hem niet uitlezen uiteraard. Ooit gehoord dat door de communicatie tussen chip en betaalapparaat te beïnvloeden je een ok signaal kan geven voor de transactie. |