Nu kan ik me voorstellen dat als ze me een creditcard sturen en meteen een pincode maken dat ze dit direct printen en nergens vast leggen. Blijkbaar leggen ze die pincode toch ergens vast want ik kan hem achteraf opvragen, dan printen ze hem opnieuw uit, die pincode zit dus wel ergens in een administratie?quote:De pincode is in geen enkele administratie vastgelegd
Waarom liegt de rabobank tegen mij?
geen idee, ze hebben bij een hypotheekgesprek 13 jaar geleden ook tegen mij gelogen. Misschien hoort dit bij hun bedrijfsbeleid?quote:Op zaterdag 18 september 2021 10:59 schreef Cerveza33 het volgende:
Ik wist mijn pincode van mijn creditcard niet meer, deze heb ik opgevraagd en kreeg deze toegestuurd met deze brief:
[ afbeelding ]
[..]
Nu kan ik me voorstellen dat als ze me een creditcard sturen en meteen een pincode maken dat ze dit direct printen en nergens vast leggen. Blijkbaar leggen ze die pincode toch ergens vast want ik kan hem achteraf opvragen, dan printen ze hem opnieuw uit, die pincode zit dus wel ergens in een administratie?
Waarom liegt de rabobank tegen mij?
Ik denk dat de bank hierin het woord 'administratie' de letterlijke betekenis toekent en handelt volgens het AVG.quote:
Waarom liegt de rabobank tegen mij?
Administratie in letterlijke betekenis is 'beheer van stukken'.
Krijg je niet gewoon een nieuwe pincode en niet dezelfde als die je had?quote:
Ik wist mijn pincode van mijn creditcard niet meer, deze heb ik opgevraagd en kreeg deze toegestuurd met deze brief:
[ afbeelding ]
[..]
Nu kan ik me voorstellen dat als ze me een creditcard sturen en meteen een pincode maken dat ze dit direct printen en nergens vast leggen. Blijkbaar leggen ze die pincode toch ergens vast want ik kan hem achteraf opvragen, dan printen ze hem opnieuw uit, die pincode zit dus wel ergens in een administratie?
Waarom liegt de rabobank tegen mij?
Maar hoe doen ze dat met betaalpassen dan als je die kwijt bent?
Bij een nieuwe pas word je oude pincode eraan gekoppeld. Dus die moet ergens vastliggen lijkt me zo.
Uiteindelijk moeten ze de pincode ook controleren als je ‘m gebruikt. Als niemand nergens weet wat de juiste code is kan de bank bij een transactie ook niet controleren of jij wel de eigenaar bent.
quote:Op zaterdag 18 september 2021 11:53 schreef Lienekien het volgende:
Ergens is die pincode natuurlijk wel in een systeem opgenomen, anders kan ook niet worden vastgesteld dat de pincode klopt bij de kaart.
quote:
Misschien bewaren ze niet je pincode maar wel een hash. En die hash kan je wel weer omzetten naar een code. Aangezien die uit 4 cijfers bestaat is dat per definitie niet al te ingewikkeld.
Uiteindelijk moeten ze de pincode ook controleren als je ‘m gebruikt. Als niemand nergens weet wat de juiste code is kan de bank bij een transactie ook niet controleren of jij wel de eigenaar bent.
De bank controleert niet de pincode zelf, maar een hash die (nav de ingetoetste pincode) wordt gegenereerd door cryptografische software in het geldautomaat. Die hash wordt naar de bank gestuurd en daar wordt gecontroleerd of de hash overeenkomt met de opgeslagen hash die bij het rekeningnummer hoort. Deze encryptie is maar in 1 richting mogelijk. Vanuit de pincode is dus wel de hash te berekenen, maar vanuit de hash kun je niet de pincode berekenen. De pincode zelf is dus niet opgeslagen.quote:
Misschien bewaren ze niet je pincode maar wel een hash. En die hash kan je wel weer omzetten naar een code. Aangezien die uit 4 cijfers bestaat is dat per definitie niet al te ingewikkeld.
Uiteindelijk moeten ze de pincode ook controleren als je ‘m gebruikt. Als niemand nergens weet wat de juiste code is kan de bank bij een transactie ook niet controleren of jij wel de eigenaar bent.
Voorheen kon je een vergeten pincode daarom ook niet opvragen, maar kreeg je een nieuwe pas met nieuwe code. Blijkbaar kan dat inmiddels wel, maar hoe dat technisch in elkaar zit zou ik niet weten.
Dat is een nieuwe pas met een nieuwe code, ik heb een bestaande pas met mijn oude codequote:
Ik kreeg een nieuwe pincode voor m'n creditcard toen ik hem kwijt was.
Maar hoe doen ze dat met betaalpassen dan als je die kwijt bent?
Bij een nieuwe pas word je oude pincode eraan gekoppeld. Dus die moet ergens vastliggen lijkt me zo.
Nee, ik krijg dezelfde pincode, want nu pakt de raboscanner de pincode welquote:
[..]
Krijg je niet gewoon een nieuwe pincode en niet dezelfde als die je had?
Die code is beveiligd opgeslagen, net zoals je wachtwoord hier, de pincode kan niet teruggerekend wordenquote:
Ergens is die pincode natuurlijk wel in een systeem opgenomen, anders kan ook niet worden vastgesteld dat de pincode klopt bij de kaart.
En toch liegt de bank in jouw beleving?quote:
[..]
Die code is beveiligd opgeslagen, net zoals je wachtwoord hier, de pincode kan niet teruggerekend worden
Blijkbaar toch wel, anders kunnen ze jou niet de pincode geven die je al had.quote:
[..]
Die code is beveiligd opgeslagen, net zoals je wachtwoord hier, de pincode kan niet teruggerekend worden
Het verbaast mij ook moet ik zeggen, maar blijkbaar is er een manier gevonden hoe dat veilig kan.
Weet iemand misschien hoe dat gaat?
Laatst ook nog toevallig mijn pincode opgevraagd van ing CC.
Maar blijkbaar wel omkeerbaar versleuteld.quote:
Je pincode word niet in plaintext administratief opgeslagen.
Laatst ook nog toevallig mijn pincode opgevraagd van ing CC.
Als je die decryptie sleutel hebt.....quote:
[..]
Maar blijkbaar wel omkeerbaar versleuteld.
TS heeft een nieuwe, andere pincode gehad.
Een uitgegeven code kan alleen worden ontsleuteld met een pas + software vanaf de bank zijn kant + de code zelf. Is er een van die drie zaken niet, dan is de enige oplossing een nieuwe code uitgeven.
Het is voor mij ook nieuw, maar blijkbaar kun je tegenwoordig bij een aantal banken je huidige pincode opvragen.quote:
Zucht
TS heeft een nieuwe, andere pincode gehad.
Een uitgegeven code kan alleen worden ontsleuteld met een pas + software vanaf de bank zijn kant + de code zelf. Is er een van die drie zaken niet, dan is de enige oplossing een nieuwe code uitgeven.
Bij de ING kan het ook:
https://www.ing.nl/partic(...)betaalpas/index.html
quote:Pincode vergeten?
Ben je je pincode vergeten? Je kunt je huidige pincode snel en makkelijk aanvragen via de Mobiel Bankieren App of Mijn ING. Je ontvangt hem dan binnen 3 werkdagen op je correspondentie adres.
Ja, dat kan ik bevestigen.quote:
[..]
Het is voor mij ook nieuw, maar blijkbaar kun je tegenwoordig bij een aantal banken je huidige pincode opvragen.
Bij de ING kan het ook:
https://www.ing.nl/partic(...)betaalpas/index.html
[..]
Je pincode ligt per definitie ergens op eoa manier vast, anders kunnen ze nooit controleren of wat je intypt wel klopt.quote:
Ik kreeg een nieuwe pincode voor m'n creditcard toen ik hem kwijt was.
Maar hoe doen ze dat met betaalpassen dan als je die kwijt bent?
Bij een nieuwe pas word je oude pincode eraan gekoppeld. Dus die moet ergens vastliggen lijkt me zo.
Spuit11
Banken zelf slaan niets op toch dit is toch Maestro of visa?quote:
Maakt dat iets uit voor de kwestie?quote:
[..]
Banken zelf slaan niets op toch dit is toch Maestro of visa?
Maar we hebben vast wel een bank-IT'er die meeleest.
Ik mag hopen dat de hash niet alleen gebaseerd is op de pincode, maar op een langere string, bijvoorbeeld rekeningnummer of pasnummer. En een salt.quote:
Een hash van vier tekens (0-9) is in seconden gebruteforced. Dat is bijna net zo efficiënt als een encryptie terug rekenen. De pincode zit alleen niet in de administratie, de hash wel.
Maar we hebben vast wel een bank-IT'er die meeleest.
Maar ik ben wel benieuwd hoe het nou zit, want het is wel gek dat ze blijkbaar (omkeerbaar versleuteld) je pincode hebben opgeslagen.
Odd de hash vastleggen, zoals vaak met wachtwoorden ook gebeurd.
Maar een hash zou niet tot een plaintext waarde te herleiden mogen zijn.quote:
Je kan hem natuurlijk encrypted vastleggen
Odd de hash vastleggen, zoals vaak met wachtwoorden ook gebeurd.
Maar een hash is niet gebaseerd op een geheime salt of geheim algoritme. Dus inderdaad heeft het hashen van een pincode niet zoveel zin idd.quote:
[..]
Ik mag hopen dat de hash niet alleen gebaseerd is op de pincode, maar op een langere string, bijvoorbeeld rekeningnummer of pasnummer. En een salt.
Maar ik ben wel benieuwd hoe het nou zit, want het is wel gek dat ze blijkbaar (omkeerbaar versleuteld) je pincode hebben opgeslagen.
Ze willen de indruk wekken dat er niet ergens een document in hun dossierkast is waar jouw pincode leesbaar opgeschreven staat.quote:
Ik wist mijn pincode van mijn creditcard niet meer, deze heb ik opgevraagd en kreeg deze toegestuurd met deze brief:
[ afbeelding ]
[..]
Nu kan ik me voorstellen dat als ze me een creditcard sturen en meteen een pincode maken dat ze dit direct printen en nergens vast leggen. Blijkbaar leggen ze die pincode toch ergens vast want ik kan hem achteraf opvragen, dan printen ze hem opnieuw uit, die pincode zit dus wel ergens in een administratie?
Waarom liegt de rabobank tegen mij?
Uiteraard is die pincode wel ergens aan jouw kaart gekoppeld. Ergens waar jij en ik niet bij kunnen. Anders zou de betaalautomaat ook niet weten dat je de juiste pincode in hebt getikt.
Dat werkt met hashes en salt, je wachtwoord of pincode kan wel omgezet worden in een code, maar die code kunnen ze niet terug rekenen naar jouw wachtwoord of pincodequote:
[..]
Anders zou de betaalautomaat ook niet weten dat je de juiste pincode in hebt getikt.
Dus pincode 1234 wordt: Aubidea8g74e!$#5t3rgersdgsfherth (ofzo)
Maar Aubidea8g74e!$#5t3rgersdgsfherth kunnen ze niet terug rekenen naar 1234
Willen ze weten of je pincode klopt, dan rekenen ze 1234 om naar Aubidea8g74e!$#5t3rgersdgsfherth, en kijken dan in de database of de wachtwoord code ook Aubidea8g74e!$#5t3rgersdgsfherth is
Pincode staat uiteraard (al dan niet gehashed) op de pas zelf inderdaad. Anders zou een random reader ook niet werken.quote:
Pincode is volgens mij opgeslagen in de chip van je creditcard. Is dan ook de zwakste schakel in de beveiliging. Je kunt hem niet uitlezen uiteraard. Ooit gehoord dat door de communicatie tussen chip en betaalapparaat te beïnvloeden je een ok signaal kan geven voor de transactie.
Maar de bank zelf verifieert ook nog bij een pintransactie, inderdaad omdat je anders een rogue betaalautomaat zou kunnen maken.
Dat kun je bijvoorbeeld zien bij een contactloze betaling boven een x-bedrag, dan wordt er een pincode gevraagd maar er zit geen pinpas in het apparaat. Die validatie vindt plaats bij de bank.
Maar dat heeft natuurlijk helemaal geen nut met een cleartext van maximaal 10.000 combinatiesquote:
[..]
Dat werkt met hashes en salt, je wachtwoord of pincode kan wel omgezet worden in een code, maar die code kunnen ze niet terug rekenen naar jouw wachtwoord of pincode
Dus pincode 1234 wordt: Aubidea8g74e!$#5t3rgersdgsfherth (ofzo)
Maar Aubidea8g74e!$#5t3rgersdgsfherth kunnen ze niet terug rekenen naar 1234
Willen ze weten of je pincode klopt, dan rekenen ze 1234 om naar Aubidea8g74e!$#5t3rgersdgsfherth, en kijken dan in de database of de wachtwoord code ook Aubidea8g74e!$#5t3rgersdgsfherth is
Daarom is ook niet allen de pincode van belang voor het generen van de hashquote:
[..]
Maar dat heeft natuurlijk helemaal geen nut met een cleartext van maximaal 10.000 combinaties
pasnummer, geldigheidsdatum, random getal, naam verzin maar een combinatie
Maar dan is het meer het equivalent van symmetrische encryptie, waarbij die parameters als sleutel gelden. Alleen moet je wellicht 10.000x proberen.quote:
[..]
Daarom is ook niet allen de pincode van belang voor het generen van de hash
pasnummer, geldigheidsdatum, random getal, naam verzin maar een combinatie
Technisch gezien is het een hashfunctie, maar het idee achter een hash is dat zelfs als je over alle informatie beschikt (dus de salt etc) behalve de cleartext (het wachtwoord), je nog niet eenvoudig of snel kan achterhalen wat het wachtwoord is.