Ze garandeerden mij dat de pincode NIET op de magneetstrip staat. Dus als je gaat pinnen gaat ie de pincode opsturen naar de bank en daar vergelijken ze hem met de code op een server. Maar hoe zit dat dan met die Random Reader?? Dat ding staat niet in verbinding met de bank en toch zegt ie foute pin als je wat anders intoetst. Ze wisten niet hoe het zit maar hij staat niet op de pinpas
Ik heb enige argwaan. Wie weet hoe dit kan?
Random reader is dus een totaal verkeerde benaming maar goed dat terzijde.
Kan de pincode gekraakt worden?
Dit is onmogelijk. Het is mogelijk gebleken om de magneetstrip van de pas te kopiëren maar daarmee kan de PINcode niet achterhaald worden. De PINcode is op geen enkele wijze in de magneetstrip opgeslagen en is ook niet bij de bank bekend.
Het moet dus wel op de pas zijn opgeslagen, hoe weet die reader anders dat ik een foute pincode invoer?
quote:Maar dan is ie toch gewoon uit te lezen door criminelen als je pasje gestolen wordt?Op dinsdag 6 september 2005 08:33 schreef RonBacardi het volgende:
Pincode staat inderdaad niet op de magneetstrip, wel op de chip. kennelijk maakt de chip geen deel uit van de kaart voor de banken.
quote:Zeer zeker niet dan loop je een enorm risico op synchronisatie problemen en alles wat daarbij komt.Op dinsdag 6 september 2005 08:24 schreef UnleashMitch het volgende:
de precieze tijd
quote:Het is niet de exacte tijd, maar wel gekoppeld aan de tijd. Als je reader namelijk achter loopt, wat nog wel eens wil gebeuren, kan je het ding niet meer gebruiken.Op dinsdag 6 september 2005 08:47 schreef Fliepke het volgende:
[..]
Zeer zeker niet dan loop je een enorm risico op synchronisatie problemen en alles wat daarbij komt.
quote:Nog nooit meegemaakt en heb er toch flink wat versleten.Op dinsdag 6 september 2005 08:50 schreef L_Jinx het volgende:
[..]
Het is niet de exacte tijd, maar wel gekoppeld aan de tijd. Als je reader namelijk achter loopt, wat nog wel eens wil gebeuren, kan je het ding niet meer gebruiken.
quote:Timescale is het inderdaad, je merkt ook dat na enige minuten de gegenereerde code niet meer werkt.Op dinsdag 6 september 2005 08:47 schreef Fliepke het volgende:
Zeer zeker niet dan loop je een enorm risico op synchronisatie problemen en alles wat daarbij komt.
Maar HOE kant het dat de Random Reader kan zeggen dat de PIN code fout is !!!
De code MOET op de chip staan (Random Reader leest chip, niet strip)!
ps. IMHO is dit trouwenst ook niet zo erg ... banken moesten er alleen niet zo over liegen
quote:Heel simpel.Op dinsdag 6 september 2005 08:59 schreef beauco het volgende:
Je kunt wel door blijven zagen over die tijd ...
Maar HOE kant het dat de Random Reader kan zeggen dat de PIN code fout is !!!
De code MOET op de chip staan (Random Reader leest chip, niet strip)!
ps. IMHO is dit trouwenst ook niet zo erg ... banken moesten er alleen niet zo over liegen
Jij voert de code in.
Apparaatje slaat aan het rekenen en vergelijkt dat met het getal op de
Komt dit niet overeen, dan klopt je ingevoerde pincode niet.
quote:Volgens mij werkt het anders. Je ontvangt een code van de applicatie (van de server dus), en die wordt versleuteld door de random reader. De code die je krijgt van de applicatie is op een gegeven moment niet meer geldig, en is dus niet afhankelijk van de tijd van de random reader.Op dinsdag 6 september 2005 08:52 schreef UnleashMitch het volgende:
[..]
Timescale is het inderdaad, je merkt ook dat na enige minuten de gegenereerde code niet meer werkt.
Technisch gezien is het heel lastig om de tijd op alle random readers in sync te houden.
quote:Je ontvangt geen code als je nog moet inloggen.Op dinsdag 6 september 2005 09:00 schreef schippie het volgende:
[..]
Volgens mij werkt het anders. Je ontvangt een code van de applicatie (van de server dus), en die wordt versleuteld door de random reader. De code die je krijgt van de applicatie is op een gegeven moment niet meer geldig, en is dus niet afhankelijk van de tijd van de random reader.
Technisch gezien is het heel lastig om de tijd op alle random readers in sync te houden.
Toch?? heb effe geen ding bij de hand
quote:Wat hij zegtOp dinsdag 6 september 2005 08:59 schreef Fliepke het volgende:
[..]
Heel simpel.
Jij voert de code in.
Apparaatje slaat aan het rekenen en vergelijkt dat met het getal op destripchip
Komt dit niet overeen, dan klopt je ingevoerde pincode niet.
Ik vind het trouwens geweldig dat ik niet langs de bank hoef om dat kreng ook nog eens te laten activeren..
quote:Jij typt je pincode in en krijgt een code waarmee je in kunt loggen.Op dinsdag 6 september 2005 09:00 schreef Fliepke het volgende:
[..]
Je ontvangt geen code als je nog moet inloggen.
Toch?? heb effe geen ding bij de hand
quote:Op welke manier heeft de random reader contact met de server ?Op dinsdag 6 september 2005 09:00 schreef schippie het volgende:
Volgens mij werkt het anders. Je ontvangt een code van de applicatie (van de server dus), en die wordt versleuteld door de random reader.
er staat een complex algorithme op de chip, die een goede uitkomst geeft als jij de pincode invoert. De code -zelf- staat dus NIET op de chip. Het algoritme zelf is enorm goed beveiligd maar valt wel uit te lezen als de chip blootgelegd kan worden en aangesloten kan worden op een computer. Vervolgens kan men namelijk de chip expres fouten laten maken waardoor er steeds een stukje van de sequence duidelijk wordt. Als die bekend is, is de beveiliging pleite, en kan men direct simpelweg brute forcen met pin codes.
Maar, dit alles is enorm moeilijk, en bovendien zo gemaakt dat de chip niet te kopieren is zonder het oorspronkelijke algoritme bij de bank zelf. Dat betekend dat men dus wel de pin kan kraken, en de pas kan kopieren maar deze pas is dan geen valide bank pas meer en de bank zal hem niet meer slikken.
Het grote probleem is het feit dat de chip blootgelegd moet worden, waardoor deze enorm snel beschadigd.... het is mogelijk het Electromagnetisch uit te lezen maar dat is enkel weggelegd voor organisaties met -heel- veel geld.
dus, pincode op chip? Nee.
je pincode vult -als het ware- het gat in een stukje code waardoor de code correct werkt.
quote:Bij ABN Amro krijg je na het inloggen een code op het scherm, die moet je intoetsen in de random reader (of hoe dat ding ook heet bij ABN Amro), en daar komt een code uit. De code die je van de server krijgt (en daarmee het antwoord van de random reader) heeft op die manier een beperkte geldigheid in tijdsduurOp dinsdag 6 september 2005 09:00 schreef Fliepke het volgende:
[..]
Je ontvangt geen code als je nog moet inloggen.
Toch?? heb effe geen ding bij de hand
quote:Niet.Op dinsdag 6 september 2005 09:05 schreef UnleashMitch het volgende:
[..]
Op welke manier heeft de random reader contact met de server ?
De Random reader (van de Rabobank) is gewoon een tijdgestuurd apparaatje dat voortdurend unieke codes genereert.
De server kent de reeks van de Random Reader en weet derhalve waar de Random Reader in de reeks zit. Zo kan de server ervoor zorgen dat hij
a) nooit een oude code accepteert of hergebruikt wanneer hij een nieuwere gezien heeft (tegen hergebruik)
b) ongeveer weet welke tijd de random reader heeft.
Voorbeeld: De reeks op de random reader is: 1 2 3 4 5 6 7 8 9 10 11 .....
De reader stuurt code '3'. Deze wordt geaccepteerd.
Code 1 en 2 zijn nu ongeldig geworden.
Code 4 t/m 10 worden wel geaccepteerd, maar... die maken ook weer alle lagere codes ongeldig.
Dus: Volgende code '9' wordt geaccepteerd... Maar nadat 9 is geaccepteerd zijn alleen de daarop volgende codes (dus 10, 11, .... ) nog geldige codes.
quote:Dan zit jij niet bij de RaboOp dinsdag 6 september 2005 09:15 schreef dumb_8 het volgende:
Bij mijn reader kan ik elke pincode intikken die ik wil. Alleen de code die eruit komt zal alleen werken op de site als je ook de goede pincode hebt gebruikt. Mijn reader zegt dus ook nooit dat de pincode niet klopt...
quote:Ik heb het wel meegemaaktOp dinsdag 6 september 2005 08:52 schreef Fliepke het volgende:
[..]
Nog nooit meegemaakt en heb er toch flink wat versleten.
Kreeg toen meteen een nieuwe graties 
Deze drie die hebben een bepaald algoritme, en die wordt via je random reader, of de pin automaat gedecodeerd, en berekend.
Maar, die winkels lezen ook enkel de magneetstrip, en soms de chip ter verificatie van echtheid. En zij sturen dan als het ware een machtiging naar jouw bank. Daarom teken je er ook voor. je Pint niet, je machtigd de winkel.
quote:Alleen met een CC ja...Op dinsdag 6 september 2005 10:31 schreef Tasma het volgende:
je pas is wel versleuteld met je pincode.. dat is een feit.
Maar, die winkels lezen ook enkel de magneetstrip, en soms de chip ter verificatie van echtheid. En zij sturen dan als het ware een machtiging naar jouw bank. Daarom teken je er ook voor. je Pint niet, je machtigd de winkel.
Als je normaal pint bij de winkel, dan schrijf je meteen jouw geld over op de rekening van de winkel.
quote:niet in het geval van 'pinnen zonder code' . Het kan allicht meteen overgeschreven worden, maar het betreft een -machtiging- . Niet een 'pin-actie' . Je behoort ook altijd het bonnetje of iets dergelijks te tekenen als bewijs van instemming.Op dinsdag 6 september 2005 10:32 schreef SolidArt het volgende:
[..]
Alleen met een CC ja...
Als je normaal pint bij de winkel, dan schrijf je meteen jouw geld over op de rekening van de winkel.
Met de rabobank bankpas werkt dit op deze manier. Ik heb het in Londen letterlijk nagevraagd bij Hamleys omdat ik daar zo kon betalen.
en laten nou alle bankpassen dat hebben. (bijna alle dan).maar jij als klant ziet het allemaal niet, terwijl dat bij een CC wel het geval is
[ Bericht 25% gewijzigd door Tasma op 06-09-2005 11:25:50 ]
Het is alleen een stuk fraude gevoeliger, dat CC en pinnen zonder pinnen gebeuren.
Aangezien je met een gestolen pinpas van iemand anders ook gebruik kunt maken van deze faciliteiten.
quote:Heb je daar een bron of meer details van? Ik wil precies weten hoe het werkt enzoOp dinsdag 6 september 2005 12:09 schreef longinus het volgende:
De pincode is wel te herleiden vanaf je bankpas, er was eens een duitser die met een laptopje meer dan 90% van de codes wist op te halen. Natuurlijk zegen de banken dat het veilig is, zodoende leggen ze de verantwoordelijkheid bij de bezitter van de pas. Ze gebruiken altijd het smoesje dat je je pincode niet veilig hebt ingetoetst.
Kan ik het eens goed voorleggen aan de bank of het desnoods voordoen
Vind je genoeg.
Het is ook mogelijk, vooral als je een deel van het algoritme van de bank kent (op de afdeling gewerkt?)
Als je dat eenmaal hebt, kan je aan de hand van de codes die de chip uitspuugt terug rekenen.
Interpay zal waarschijnlijk het enige bedrijf zijn die deze algoritmes kent, en dan nog zijn ze strikt geheim.
quote:Het was een uitzending op de duitse TV, daarin bleek ook dat er door een fout een heleboel dezelfde pincodes in omloop waren, je had een grote kans op een van drie nummers.Op dinsdag 6 september 2005 12:25 schreef nielsgeode het volgende:
[..]
Heb je daar een bron of meer details van? Ik wil precies weten hoe het werkt enzo
Kan ik het eens goed voorleggen aan de bank of het desnoods voordoen
Ik weet niet zo gauw meer de naam maar als ik hem herrinner kom ik er op terug.
quote:Dat was Terminator 2. De persoon die die passen kraakte heet John ConnorOp dinsdag 6 september 2005 13:04 schreef longinus het volgende:
[..]
Het was een uitzending op de duitse TV, daarin bleek ook dat er door een fout een heleboel dezelfde pincodes in omloop waren, je had een grote kans op een van drie nummers.
Ik weet niet zo gauw meer de naam maar als ik hem herrinner kom ik er op terug.
quote:Op dinsdag 6 september 2005 13:13 schreef Merovingian het volgende:
[..]
Dat was Terminator 2. De persoon die die passen kraakte heet John Connor
quote:Op dinsdag 6 september 2005 13:13 schreef Merovingian het volgende:
[..]
Dat was Terminator 2. De persoon die die passen kraakte heet John Connor
Das Terminator er staat gewoon een hash op je pas een soort van md5 sum je random reader krijgt de pin maakt daar een hash van vergelijkt het met de hash op de pas en weet zodoende of de pincode goed of fout is.
Zoiets werkt maar 1 kant op. als je de hash kan lezen/kopieren van de kaart en je weet het juiste algoritme zou je hem zo kunnen kraken zonder de code 3 keer te hoeven intikken
je random reader blokt de pas ook geloof ik na 3 foute pogingen. ( die van de rabo iig )Als je dat er ook uit krijgt is het een fluitje van een cent
quote:als je hem openmaakt wist ie zijn geheugen/programmatuurOp dinsdag 6 september 2005 20:01 schreef nielsgeode het volgende:
Het algoritme staat in de random reader lijkt mij
Als je dat er ook uit krijgt is het een fluitje van een cent
quote:nee das Terminator 2, in Terminator was John Connor nog niet eens geboren
quote:als ik me niet vergis een gewoon ram chippie, de behuizing is onderdeel van het circuit. maak je hem open dan staat er geen stroom meer op het chippie en is ie leeg ( zo was het iig )Op dinsdag 6 september 2005 20:42 schreef nielsgeode het volgende:
Hoe dan? Wat voor soort geheugen zit erin?
edit* nog een linkje van iemand die hem heeft opengesloopt
url
mischien haal ik er binnenkort nog 1tje op en sloop ik hem open met wat pics erbij
[ Bericht 13% gewijzigd door Ra-z op 06-09-2005 20:58:41 ]
dr zit dus een schroefje wat contact maakt met het circuit en wat los komt als je m opentrekt
Je kan m natuurlijk altijd voorzichtig openmaken door het plastic langzaam weg te vijlen / schuren ofzo