Rabobank pinpas en pincode

De random reader zal een code genereren op basis van je bankrekening nr, de precieze tijd en de pincode die je invoert. Deze rekensom is altijd hetzelfde zodat de server de code kan berekenen en kan checken met hetgeen je in hebt gevoerd op de pagina.

Random reader is dus een totaal verkeerde benaming maar goed dat terzijde.

hmm, dit zegt de postbank:

Kan de pincode gekraakt worden?

Dit is onmogelijk. Het is mogelijk gebleken om de magneetstrip van de pas te kopiëren maar daarmee kan de PINcode niet achterhaald worden. De PINcode is op geen enkele wijze in de magneetstrip opgeslagen en is ook niet bij de bank bekend.

Volgens mij staat de pincode wel op het pasje opgeslagen. Ik heb zowel van de Rabobank als van de ABNAmro zo'n 'Random Reader' waarop je je pincode moet intoetsen. Als ik op mijn random reader van de ABN Amro een foutieve pincode invoer, wordt dat gemeld.

Het moet dus wel op de pas zijn opgeslagen, hoe weet die reader anders dat ik een foute pincode invoer?

Pincode staat inderdaad niet op de magneetstrip, wel op de chip. kennelijk maakt de chip geen deel uit van de kaart voor de banken.

quote:

Op dinsdag 6 september 2005 08:24 schreef UnleashMitch het volgende:
de precieze tijd

Zeer zeker niet dan loop je een enorm risico op synchronisatie problemen en alles wat daarbij komt.

quote:

Op dinsdag 6 september 2005 08:47 schreef Fliepke het volgende:

[..]

Zeer zeker niet dan loop je een enorm risico op synchronisatie problemen en alles wat daarbij komt.

Het is niet de exacte tijd, maar wel gekoppeld aan de tijd. Als je reader namelijk achter loopt, wat nog wel eens wil gebeuren, kan je het ding niet meer gebruiken.

quote:

Op dinsdag 6 september 2005 08:50 schreef L_Jinx het volgende:

[..]

Het is niet de exacte tijd, maar wel gekoppeld aan de tijd. Als je reader namelijk achter loopt, wat nog wel eens wil gebeuren, kan je het ding niet meer gebruiken.

Nog nooit meegemaakt en heb er toch flink wat versleten.

quote:

Op dinsdag 6 september 2005 08:47 schreef Fliepke het volgende:
Zeer zeker niet dan loop je een enorm risico op synchronisatie problemen en alles wat daarbij komt.

Timescale is het inderdaad, je merkt ook dat na enige minuten de gegenereerde code niet meer werkt.

Je kunt wel door blijven zagen over die tijd ...

Maar HOE kant het dat de Random Reader kan zeggen dat de PIN code fout is !!!

De code MOET op de chip staan (Random Reader leest chip, niet strip)!

ps. IMHO is dit trouwenst ook niet zo erg ... banken moesten er alleen niet zo over liegen

quote:

Op dinsdag 6 september 2005 08:59 schreef beauco het volgende:
Je kunt wel door blijven zagen over die tijd ...

Maar HOE kant het dat de Random Reader kan zeggen dat de PIN code fout is !!!

De code MOET op de chip staan (Random Reader leest chip, niet strip)!

ps. IMHO is dit trouwenst ook niet zo erg ... banken moesten er alleen niet zo over liegen

Heel simpel.
Jij voert de code in.
Apparaatje slaat aan het rekenen en vergelijkt dat met het getal op de stripchip
Komt dit niet overeen, dan klopt je ingevoerde pincode niet.

quote:

Op dinsdag 6 september 2005 08:52 schreef UnleashMitch het volgende:

[..]

Timescale is het inderdaad, je merkt ook dat na enige minuten de gegenereerde code niet meer werkt.

Volgens mij werkt het anders. Je ontvangt een code van de applicatie (van de server dus), en die wordt versleuteld door de random reader. De code die je krijgt van de applicatie is op een gegeven moment niet meer geldig, en is dus niet afhankelijk van de tijd van de random reader.

Technisch gezien is het heel lastig om de tijd op alle random readers in sync te houden.

quote:

Op dinsdag 6 september 2005 09:00 schreef schippie het volgende:

[..]

Volgens mij werkt het anders. Je ontvangt een code van de applicatie (van de server dus), en die wordt versleuteld door de random reader. De code die je krijgt van de applicatie is op een gegeven moment niet meer geldig, en is dus niet afhankelijk van de tijd van de random reader.

Technisch gezien is het heel lastig om de tijd op alle random readers in sync te houden.

Je ontvangt geen code als je nog moet inloggen.

Toch?? heb effe geen ding bij de hand

quote:

Op dinsdag 6 september 2005 08:59 schreef Fliepke het volgende:

[..]

Heel simpel.
Jij voert de code in.
Apparaatje slaat aan het rekenen en vergelijkt dat met het getal op de stripchip
Komt dit niet overeen, dan klopt je ingevoerde pincode niet.

Wat hij zegt

Ik vind het trouwens geweldig dat ik niet langs de bank hoef om dat kreng ook nog eens te laten activeren..

quote:

Op dinsdag 6 september 2005 09:00 schreef Fliepke het volgende:

[..]

Je ontvangt geen code als je nog moet inloggen.

Toch?? heb effe geen ding bij de hand

Jij typt je pincode in en krijgt een code waarmee je in kunt loggen.

quote:

Op dinsdag 6 september 2005 09:00 schreef schippie het volgende:
Volgens mij werkt het anders. Je ontvangt een code van de applicatie (van de server dus), en die wordt versleuteld door de random reader.

Op welke manier heeft de random reader contact met de server ?

de pincode staat ook op de chip, of nou ja, eigelijk niet

er staat een complex algorithme op de chip, die een goede uitkomst geeft als jij de pincode invoert. De code -zelf- staat dus NIET op de chip. Het algoritme zelf is enorm goed beveiligd maar valt wel uit te lezen als de chip blootgelegd kan worden en aangesloten kan worden op een computer. Vervolgens kan men namelijk de chip expres fouten laten maken waardoor er steeds een stukje van de sequence duidelijk wordt. Als die bekend is, is de beveiliging pleite, en kan men direct simpelweg brute forcen met pin codes.

Maar, dit alles is enorm moeilijk, en bovendien zo gemaakt dat de chip niet te kopieren is zonder het oorspronkelijke algoritme bij de bank zelf. Dat betekend dat men dus wel de pin kan kraken, en de pas kan kopieren maar deze pas is dan geen valide bank pas meer en de bank zal hem niet meer slikken.

Het grote probleem is het feit dat de chip blootgelegd moet worden, waardoor deze enorm snel beschadigd.... het is mogelijk het Electromagnetisch uit te lezen maar dat is enkel weggelegd voor organisaties met -heel- veel geld.


dus, pincode op chip? Nee.

je pincode vult -als het ware- het gat in een stukje code waardoor de code correct werkt.

Bij mijn reader kan ik elke pincode intikken die ik wil. Alleen de code die eruit komt zal alleen werken op de site als je ook de goede pincode hebt gebruikt. Mijn reader zegt dus ook nooit dat de pincode niet klopt...

quote:

Op dinsdag 6 september 2005 09:00 schreef Fliepke het volgende:

[..]

Je ontvangt geen code als je nog moet inloggen.

Toch?? heb effe geen ding bij de hand

Bij ABN Amro krijg je na het inloggen een code op het scherm, die moet je intoetsen in de random reader (of hoe dat ding ook heet bij ABN Amro), en daar komt een code uit. De code die je van de server krijgt (en daarmee het antwoord van de random reader) heeft op die manier een beperkte geldigheid in tijdsduur

quote:

Op dinsdag 6 september 2005 09:05 schreef UnleashMitch het volgende:

[..]

Op welke manier heeft de random reader contact met de server ?

Niet.

De Random reader (van de Rabobank) is gewoon een tijdgestuurd apparaatje dat voortdurend unieke codes genereert.
De server kent de reeks van de Random Reader en weet derhalve waar de Random Reader in de reeks zit. Zo kan de server ervoor zorgen dat hij
a) nooit een oude code accepteert of hergebruikt wanneer hij een nieuwere gezien heeft (tegen hergebruik)
b) ongeveer weet welke tijd de random reader heeft.


Voorbeeld: De reeks op de random reader is: 1 2 3 4 5 6 7 8 9 10 11 .....
De reader stuurt code '3'. Deze wordt geaccepteerd.
Code 1 en 2 zijn nu ongeldig geworden.
Code 4 t/m 10 worden wel geaccepteerd, maar... die maken ook weer alle lagere codes ongeldig.

Dus: Volgende code '9' wordt geaccepteerd... Maar nadat 9 is geaccepteerd zijn alleen de daarop volgende codes (dus 10, 11, .... ) nog geldige codes.

quote:

Op dinsdag 6 september 2005 09:15 schreef dumb_8 het volgende:
Bij mijn reader kan ik elke pincode intikken die ik wil. Alleen de code die eruit komt zal alleen werken op de site als je ook de goede pincode hebt gebruikt. Mijn reader zegt dus ook nooit dat de pincode niet klopt...

Dan zit jij niet bij de Rabo

quote:

Op dinsdag 6 september 2005 08:52 schreef Fliepke het volgende:

[..]

Nog nooit meegemaakt en heb er toch flink wat versleten.

Ik heb het wel meegemaakt Kreeg toen meteen een nieuwe graties

Alleen... Die hele pincode slaat nergens op. Je hebt hem helemaal niet nodig, althans buiten nederland. In Frankrijk kan je in heel veel winkels gewoon pinnen zonder pincode. Op de een of andere manier moet dit dus gewoon mogelijk zijn, en is je pas helemaal niet versleuteld met je pincode...

Je pincode staat in die zin op je pas, dat er een checksum wordt gedaan die betrekking heeft op je bankpas nr, je rekening nr, en je pincode.
Deze drie die hebben een bepaald algoritme, en die wordt via je random reader, of de pin automaat gedecodeerd, en berekend.