Had zelf ook al zo'n vermoeden dat de tijd er misschien iets mee te maken had, maar twijfelde omdat het ding dan misschien in de war kon komen met de zomer en wintertijdquote:Op zaterdag 10 december 2005 00:02 schreef G-Mart het volgende:
Gebaseerd op tijd, er zijn dan iets van 30 codes die werken in een tijdsbestek van een minuut. De gegenereerde codes komen uit een wiskundige sleutel en lopen synchroon met de code op de server waar de Rabobank website op draait. Het is dus ook niet zo dat je Random Reader draadloos in verbinding met de site staat ofzo ;-).
Haha.. alsof dat kan.quote:Op vrijdag 9 december 2005 23:59 schreef Kwezel het volgende:
ooit eens op een site gelezen hoe het te 'kraken' was. weet alleen niet meer hoe en wat.
Op basis van de bankrekening is ook wel het e.e.a. mogelijk. Winter en zomertijd lijkt me niet zo ingewikkeld om in te bouwen. Àls het op basis van tijd werkt natuurlijk..quote:Op zaterdag 10 december 2005 00:05 schreef The_Terminator het volgende:
Had zelf ook al zo'n vermoeden dat de tijd er misschien iets mee te maken had, maar twijfelde omdat het ding dan misschien in de war kon komen met de zomer en wintertijd
En nee, draadloos verbinding maken is natuurlijk uitgesloten. Maar dat had ik zelf ook wel al door hoor
Dat is niet grappig, maar gewoon praktisch.quote:Op zaterdag 10 december 2005 00:25 schreef G-Mart het volgende:
Tijd. Wist je dat de Random Reader het ontbrekende stuk van de sleutel uit je chipknip haalt en niet uit de magneetstrip? Wel grappig.
Da's niet een uur te vroeg, da's GMT / UTC. Tenminste, daar lijkt het wel opquote:Op zaterdag 10 december 2005 00:29 schreef The_Terminator het volgende:
Aha, tijd kun je ook opvragen merkte ik net, en staat een uur te vroeg![]()
23:27 Gaf die van mij namelijk aan als systeemtijd.
Vergeleken met de tijd hier in NL stond hij wel een uur te vroegquote:Op zaterdag 10 december 2005 00:58 schreef Light het volgende:
[..]
Da's niet een uur te vroeg, da's GMT / UTC. Tenminste, daar lijkt het wel opOok wel zo handig, zit je ook niet meer met zomertijd en wintertijd te klooien.
Ja, GMT / UTC (gewoon twee benamingen voor hetzelfde) is in de winter een uur achter op de tijd in Nederland. In zomertijd is het verschil 2 uur, GMT / UTC kent geen wintertijd en zomertijdquote:Op zaterdag 10 december 2005 01:04 schreef The_Terminator het volgende:
[..]
Vergeleken met de tijd hier in NL stond hij wel een uur te vroegMaar goed, de server van de Rabobank is daar waaschijnlijk ook gewoon op ingesteld.
Hebben die random readers dan een internetverbinding? Zo niet dan zal er toch een tijdmechanisme ingebouwd moeten zijn.quote:Op zaterdag 10 december 2005 01:18 schreef Yildiz het volgende:
Euhm, je kan wereldwijd bankieren. Als ik dan in Nieuw Zeeland zit, wijkt de tijd toch wel 12 uur af. Mij lijkt het dan niet praktisch dat het aan de systeemklok hangt.
Praktischer lijkt mij inderdaad dat die random readers gewoon synchroon lopen met 1 of meerdere tijdservers van de Rabobank. Denk ik hoor. Dus zonder systeemklok van de PC.
Nee, hebben geen internet verbinding. Gewoon pasje insteken, pin invoeren en je krijgt een random nummer.quote:Op zaterdag 10 december 2005 01:20 schreef Light het volgende:
[..]
Hebben die random readers dan een internetverbinding? Zo niet dan zal er toch een tijdmechanisme ingebouwd moeten zijn.
Ik zeg toch, tijdkristalletje (zoals in een digitaal horloge, maar dan dus ín de Random Reader) wat gelijk loopt met een tijdserver hier of daar, zoals iemand al zei, met General Mean Time / UTC.quote:Op zaterdag 10 december 2005 01:20 schreef Light het volgende:
[..]
Hebben die random readers dan een internetverbinding? Zo niet dan zal er toch een tijdmechanisme ingebouwd moeten zijn.
Ja, dat klinkt logischquote:Op zaterdag 10 december 2005 01:22 schreef Yildiz het volgende:
[..]
Ik zeg toch, tijdkristalletje (zoals in een digitaal horloge, maar dan dus ín de Random Reader) wat gelijk loopt met een tijdserver hier of daar,
Dat was ikquote:zoals iemand al zei, met General Mean Time / UTC.
Eensquote:Maar niet met de tijd van je PC, dat lijkt me onpraktisch. Ergens, denk ik dan.
Ik denk dat die data over de geldigheid van het pasje op de chip (die gebruikt wordt voor het chipknip gebeuren) wordt opgeslagen. Ook zullen de codes die de reader genereerd wel veranderen bij het gebruik van een ander pasje. Als er vervolgnes ook in die code een geldigheids bit verstopt zit dan is het logisch dat het pasje niet meer werkt.quote:Op zaterdag 10 december 2005 14:43 schreef the_disheaver het volgende:
Maar om de vraag door te trekken. Het apparaatje kan zelf al aflezen of de pincode juist is of niet. Wat ik best wel vreemd vond, blijkbaar is de pincode in het pasje opgeslagen (probeer maar eens opzettelijk een foutieve code in te voeren {zou ie ook ingeslikt worden als je dat 3 keer fout invoert?))
Maar wat ik erg vreemd vond: Ik kreeg een nieuw pasje, aangezien de oude bij sommige automaten het niet meer deed. Bij de Random Reader iig nog wel.
Het oude pasjes werd ongeldig wanneer je met dat nieuwe pasje een geldtransactie bij een geldautomaat zou doen. Het oude pasje zou vervolgens ongeldig zijn, maar aangezien er geen verbinding zit tussen de Random Reader/rabopasje en de Rabobank leek het me logisch dat ik het oude pasje nog kon gebruiken voor rabobankieren. Maar RR zei direct dat de oude pasje ongeldig was. (voor het moeten invoeren van mijn pincode)
Maar hoe kan hij dat nou weten? Als de site dat zou zeggen kan ik nog begrijpen, maar niet de RR, die geen contact heeft met de rabobank...
Ja, dan is het logisch. Maar het pasje was niet verlopen, het deed het bij bepaalde geldautomaten (oude kaartjesautomaat station) niet (rabo bankieren deed het wel goed).quote:Op zaterdag 10 december 2005 16:14 schreef The_Terminator het volgende:
[..]
Ik denk dat die data over de geldigheid van het pasje op de chip (die gebruikt wordt voor het chipknip gebeuren) wordt opgeslagen. Ook zullen de codes die de reader genereerd wel veranderen bij het gebruik van een ander pasje. Als er vervolgnes ook in die code een geldigheids bit verstopt zit dan is het logisch dat het pasje niet meer werkt.
Ja, de pincode of een hasvorm om hem te controleren wordt opgeslagen op je pasje. Dat is de veiligste methode, ookal lijkt dat van niet. Hoe de chip op je pas beveiligd is, is 1 vd betere bewaarde geheimen. Ik heb trouwens geen idee hoe dat dus werkt, alleen dat het zo isquote:Op zaterdag 10 december 2005 14:43 schreef the_disheaver het volgende:
Maar om de vraag door te trekken. Het apparaatje kan zelf al aflezen of de pincode juist is of niet. Wat ik best wel vreemd vond, blijkbaar is de pincode in het pasje opgeslagen (probeer maar eens opzettelijk een foutieve code in te voeren {zou ie ook ingeslikt worden als je dat 3 keer fout invoert?))
Maar wat ik erg vreemd vond: Ik kreeg een nieuw pasje, aangezien de oude bij sommige automaten het niet meer deed. Bij de Random Reader iig nog wel.
Klopt, dat gebeurt idd niet. Pasje blijft werken totdat je hem door knipt!quote:Het oude pasjes werd ongeldig wanneer je met dat nieuwe pasje een geldtransactie bij een geldautomaat zou doen. Het oude pasje zou vervolgens ongeldig zijn...
De smartcard op de pas zal de hash verificatie wel doen en zichzelf blokkeren na 3 keer foutieve check achter elkaar. Als je het systeem wil kraken zal je in ieder geval deze chip moeten ontleden lijkt me (al is t maar om meer dan 3 pogingen te kunnen doen voordat het ophoudt, teneinde de goede PIN te radenquote:Op zaterdag 10 december 2005 14:43 schreef the_disheaver het volgende:
Maar om de vraag door te trekken. Het apparaatje kan zelf al aflezen of de pincode juist is of niet. Wat ik best wel vreemd vond, blijkbaar is de pincode in het pasje opgeslagen (probeer maar eens opzettelijk een foutieve code in te voeren {zou ie ook ingeslikt worden als je dat 3 keer fout invoert?))
Dat is dus niet waar, ik heb hetzelfde gehad. Na gebruik van mijn nieuwe pasje was de oude niet meer bruikbaar voor internet bankieren. Weet echter niet meer of ik wel/geen code kreeg...quote:Op zaterdag 10 december 2005 17:45 schreef existenz het volgende:
[..]
Ja, de pincode of een hasvorm om hem te controleren wordt opgeslagen op je pasje. Dat is de veiligste methode, ookal lijkt dat van niet. Hoe de chip op je pas beveiligd is, is 1 vd betere bewaarde geheimen. Ik heb trouwens geen idee hoe dat dus werkt, alleen dat het zo is
[..]
Klopt, dat gebeurt idd niet. Pasje blijft werken totdat je hem door knipt!
Bij de rabo krijg je wanneer je een nieuw pasje krijgt geen nieuwe pin. De oude blijft gewoon gelden. Wel moet je hem dus bij een geldautomaat activeren.quote:Op maandag 12 december 2005 08:43 schreef -BIERTJUH- het volgende:
[..]
Dat is dus niet waar, ik heb hetzelfde gehad. Na gebruik van mijn nieuwe pasje was de oude niet meer bruikbaar voor internet bankieren. Weet echter niet meer of ik wel/geen code kreeg...
zou dat betekenen dat de pincode niet in het pasje zit?quote:Op maandag 12 december 2005 12:20 schreef the_disheaver het volgende:
[..]
Bij de rabo krijg je wanneer je een nieuw pasje krijgt geen nieuwe pin. De oude blijft gewoon gelden. Wel moet je hem dus bij een geldautomaat activeren.
Ben benieuwd wat je met je cluster wilt doen...quote:[b]Op [url=http://forum.fok.nl/topic/788999/1/50#33010792]maandag 12 december 2005 12:09
Thuis maar eens even mijn "cluster" aanslingeren, eens even kijken wat eruit komt.
Een zooi variabelen invoeren, een eindgetal invoeren, en de computer laten berekenen hoe je aan dat eindgetal kan komen. Het zal waarschijnlijk niet lukken, maar het is altijd leuk om er mee te gaan klooienquote:Op maandag 12 december 2005 12:36 schreef slashme het volgende:
[..]
Ben benieuwd wat je met je cluster wilt doen...
En daar heb je een cluster voor nodig? Je weet niet eens wat je wilt kraken, je weet niet welke encryptie er is toegepast namelijk. Voordat je gaat "brute-forcen" (alle mogelijke sleutels proberen) zul je eerst een methode moeten weten. Beetje zinloze populaire praat terwijl je niet weet waar het over gaat.quote:Op maandag 12 december 2005 12:39 schreef Geqxon het volgende:
[..]
Een zooi variabelen invoeren, een eindgetal invoeren, en de computer laten berekenen hoe je aan dat eindgetal kan komen. Het zal waarschijnlijk niet lukken, maar het is altijd leuk om er mee te gaan klooien
Ik heb het nog vager, ik heb een nieuw pasje gehad terwijl mijn oude ook nog werkte (deze zat echt tegen z'n eind aan). Op een dag deed mijn oude pasje het niet meer (kennelijk door Rabo gedeactiveerd), en deed de nieuwe het wel in m'n Random Reader (zonder dat hij geactiveerd was door een geldautomaat!). Dus kennelijk zit er ook een start- en einddatum van een pasje opgeslagen in de chip.quote:Op maandag 12 december 2005 12:20 schreef the_disheaver het volgende:
[..]
Bij de rabo krijg je wanneer je een nieuw pasje krijgt geen nieuwe pin. De oude blijft gewoon gelden. Wel moet je hem dus bij een geldautomaat activeren.
Ja, dat is niet zo vreemd.quote:Op maandag 12 december 2005 20:02 schreef G-Mart het volgende:
[..]
Ik heb het nog vageanr, ik heb een nieuw pasje gehad terwijl mijn oude ook nog werkte (deze zat echt tegen z'n eind aan). Op een dag deed mijn oude pasje het niet meer (kennelijk door Rabo gedeactiveerd), en deed de nieuwe het wel in m'n Random Reader (zonder dat hij geactiveerd was door een geldautomaat!). Dus kennelijk zit er ook een start- en einddatum van een pasje opgeslagen in de chip.
Dit geldt alleen als je vorige pas niet kwijt is uiteraard.quote:Op maandag 12 december 2005 12:20 schreef the_disheaver het volgende:
[..]
Bij de rabo krijg je wanneer je een nieuw pasje krijgt geen nieuwe pin. De oude blijft gewoon gelden. Wel moet je hem dus bij een geldautomaat activeren.
Kan het niet gewoon zijn dat je pasje zo brak werd dat de RR hem niet meer herkende?quote:Op maandag 12 december 2005 23:54 schreef the_disheaver het volgende:
[..]
Ja, dat is niet zo vreemd.
Het activeren zal alleen gedaan moeten worden bij de server van (is naam kwijt van het bedrijf wat pinverkeer regelt). Dat kan door middel van de geldautomaat (hij werkt voor de rabobankautomaten dus ook al, alleen wordt ie direct geactiveerd) Dat er een einddatum aan zit is ook niet erg vreemd, ze zetten er ook niet niet voor niets een 'geldig tot' datum op. Dus ze zullen direct ook de datum 'in' het pasje zetten en laten controleren bij een pintransactie, dus ook bij de randomreader.
Het vreemde bij mij is dat het pasje wat nog lang geldig is (alleen doordat hij het bij bepaalde auotmaten niet deed heb ik een nieuwe aangevraagd) deed het na activeren opeens niet meer in mijn random reader. Terwijl mijn oude pasje en de random reader niet kunnen weten dat ik a) een nieuwer pasje heb (geldig tot datum is nog lang niet verlopen) en b) dat ik dat nieuwe pasje heb vernieuwd omdat ze gewoon weg geen contact met de rabobank.
Dat zou kunnen, maar wel heel erg toevallig. Want hij deed het alleen bij de NS automaat niet (De oude automaat) en daar hadden meer mensen last van. Dus niet 'slijtage' maar gewoon een productie-fout pasje.quote:Op dinsdag 13 december 2005 00:05 schreef gday het volgende:
[..]
Kan het niet gewoon zijn dat je pasje zo brak werd dat de RR hem niet meer herkende?
Die hash gaat dan wel over meer dan alleen je pincode, het bruteforcen van zo'n 10.000 hashes van alle pincodes is niet zo heel moeilijk. Echter zal er wel meer omheen zitten, zoals je rekeningnummer en een zooi mathematische eigenschappen van de hash waarmee het één en het ander gecontroleerd kan worden.quote:Op dinsdag 13 december 2005 00:26 schreef existenz het volgende:
- Je pincode staat NIET fysiek op je pasje, maar in de vorm van een hash die idd op 1 of andere manier berekend wordt, maar geloof ik dat er een algortime voor gebruikt wordt waar zelfs de grootste Blue Genes (supercomputers) minimaal 10 jaar per pincode over doen om het brute forcen.
Jezus wat voor kick is ditquote:Op donderdag 3 augustus 2006 11:15 schreef Enroc het volgende:
Het heeft wel degelijk met datum en tijd te maken van je p.c.
De tijd mag niet meer of minder dan 15 minuten voor of achter lopen dan de atoom tijd klok
Het heeft ook te maken met het totale bedrag wat je overboekt naar een andere rekening.
Boven een bepaald bedrag (¤ 3.000 of ¤ 5.000 euro) moet je een tweede code invoeren.
en deze code is exact en totaal bedrag wat je wil overboeken.
Code's zitten niet opgeslagen in de random reader zelf, want een pasje van een ander kan je ook in de random reader stoppen en werkt ook.
lol, nuttige info :-) Wou bijna de chip er uit halen...quote:Op donderdag 3 augustus 2006 11:56 schreef Tony_Teletext het volgende:
en als je dat chipknip geval uit de pinpas haalt werkt het ook niet meer
Maar dan kan je nog wel pinnen.
Bij het pinnen gebruikt hij de magnetische strip en valideert ie je pincode met de centrale database. De Random Reader heeft de chip nodig om die te valideren, want die kan de database niet raadplegenquote:Op donderdag 3 augustus 2006 12:01 schreef the_disheaver het volgende:
Maar waarom doet ie het niet. Omdat hij info uit de chip echt nodig heeft, of omdat hij de chip nodig heeft om te kijken of het een echte en juiste pas is, en bv niet verkeerd om zit.?
Dus je zou voor je RR de magneetstrip 'eruit kunnen slopen' van je pas?quote:Op donderdag 3 augustus 2006 15:32 schreef JeRa het volgende:
[..]
Bij het pinnen gebruikt hij de magnetische strip en valideert ie je pincode met de centrale database. De Random Reader heeft de chip nodig om die te valideren, want die kan de database niet raadplegen
Natuurlijk, hij doet niets met die magneetstripquote:Op donderdag 3 augustus 2006 16:48 schreef the_disheaver het volgende:
[..]
Dus je zou voor je RR de magneetstrip 'eruit kunnen slopen' van je pas?
Lees eens de eerste pagina....quote:Op vrijdag 4 augustus 2006 15:35 schreef QuoRocks het volgende:
Die Random Reader hoeft toch helemaal niet je pincode te kunnen controleren?
2 partijen weten je pin: jij en de bank. de random reader codeert 'iets' met behulp van je ingevoerde pincode. je krijgt dan een hash waarde die je invult op de site. die decodeert dat met je pin om te checken.
zo'n hash is wel te kraken, maar dat duurt op zn minst weken, dus het lijkt me logisch dat het op tijd gebaseerd is.
het is ook logisch dat de random reader iets van je pasje nodig heeft, om te verificeren dat je het pasje in bezit hebt en de pincode weet van dat pasje.
De vraag is alleen altijd:quote:Op vrijdag 4 augustus 2006 15:39 schreef mschol het volgende:
[..]
alles wat door de mens is gemaakt kan gekraakt worden. punt.
Als mijn random reader mijn pincode kan valideren aan de hand van mijn bankpas, dan kan ik dat met enig geknutsel ook wel.quote:Op vrijdag 4 augustus 2006 15:45 schreef __Saviour__ het volgende:
In de Quest stond daar laatst een diagram van. Die pincode is nog een heel ingewikkeld verhaal. Hij staat namelijk helemaal nergens opgeslagen. Niet op je pasje en niet bij de bank. De pincode is een resultaat van een ingewikkelde berekening waarvan niemand de volledige sleutel heeft.
er is een verschil tussen valideren en zelf weten.quote:Op vrijdag 4 augustus 2006 15:47 schreef JeRa het volgende:
[..]
Als mijn random reader mijn pincode kan valideren aan de hand van mijn bankpas, dan kan ik dat met enig geknutsel ook wel.
1 |
ik weet niet waar je je pincode in wilt vullen, maar op de RR kan dat maar 3 keerquote:Op vrijdag 4 augustus 2006 16:06 schreef JeRa het volgende:
Stel dat je de kennis hebt dat het hashing algoritme SHA-1 is en het hashing scheme er zo uit ziet:
[ code verwijderd ]
Verschrikkelijk lastig om te bruteforcen, maar zodra je dit schema wéét hoef je alleen maar 10.000 verschillende pincodes in te vullenhet enige wat ze nog kunnen doen (lijkt mij) is dat schema zo ingewikkeld mogelijk maken.
grappig...ik sluit net Rabo Telebankieren af, nav dit topic wat ik net geopend heb: Geuheugen kopenquote:Op vrijdag 9 december 2005 23:43 schreef The_Terminator het volgende:
Ok, een simpele vraag die waarschijnlijk niet zo simpel te beantwoorden isIk ben benieuwd hoe een Random Reader (zo'n ding van de Rabobank) eigenlijk werkt. Je moet dus je pin-code opgeven en het apparaat gegenereerd dan met een toevalsgenerator een code die dan op de website ingevoerd moet worden. Maar hoe weet de website nu dat de code juist is? Ik heb zelf een vermoeden dat de pin-code als een seed voor de toevalsgenerator gebruikt wordt, en aan de hand daarvan een code gegenereerd.
Als je geld over wilt maken naar een andere rekening dan komt er een code op de pagina te staan die je dan op de Random Reader moet invoeren, daarvan wordt dan een nieuwe code gegenereerd die je dan op de pagina moet invoeren. Maar ook hierbij is de gegenereerde code ook elke keer anders, maar werkt wel gewoon na een aantal keer opnieuw gegenereerd te zijn.
Dus mijn vraag is of iemand weet hoe die codes gegenereerd worden, zijn ze echt zo 'random' of is dat maar een fabeltje![]()
De Random Reader kan de chip uitlezen en kennelijk aan die hash komen om het zo te vergelijken met wat je invult. Als die Random Reader de chip kan uitlezen, waarom kan een ander (zelfgemaakt) apparaat dat dan niet?quote:Op vrijdag 4 augustus 2006 16:07 schreef the_disheaver het volgende:
[..]
ik weet niet waar je je pincode in wilt vullen, maar op de RR kan dat maar 3 keer
quote:Op donderdag 3 augustus 2006 11:17 schreef RandomReader het volgende:
[..]
Jezus wat voor kick is ditI'm back alive
quote:Op donderdag 3 augustus 2006 11:56 schreef Tony_Teletext het volgende:
en als je dat chipknip geval uit de pinpas haalt werkt het ook niet meer
Maar dan kan je nog wel pinnen.
Ik heb ergens gelezen (weet niet meer waar) dat de Random Reader (en elk ander apparaat) de hash niet kan uitlezen. Wat hij wel kan is aan de chip in je pas een hash geven en goed/fout terugkrijgen. Na 3x fout blokkeert de chip zichzelf.quote:Op vrijdag 4 augustus 2006 16:10 schreef JeRa het volgende:
[..]
De Random Reader kan de chip uitlezen en kennelijk aan die hash komen om het zo te vergelijken met wat je invult. Als die Random Reader de chip kan uitlezen, waarom kan een ander (zelfgemaakt) apparaat dat dan niet?
Dit is prima te verklaren. Jij pint bij het NS automaat. Het NS automaat krijgt van de bank terug dat de pas niet meer geldig is, schrijft een bepaalde waarde weg op je pasje (dawel in de chipknip, danwel de magneetzijde. Doet er even niet toe). Jij wil gaan telebankieren, stopt je pasje in de random reader en de reader ziet dat het pasje niet meer geldig is (wat dus is weggeschreven door een pinautomaat op je pasje).quote:Op dinsdag 13 december 2005 00:13 schreef the_disheaver het volgende:
[..]
Dat zou kunnen, maar wel heel erg toevallig. Want hij deed het alleen bij de NS automaat niet (De oude automaat) en daar hadden meer mensen last van. Dus niet 'slijtage' maar gewoon een productie-fout pasje.
En erg toevallig als hij opeens het niet meer deed bij mijn randomreader toen ik mijn nieuwe had geactiveerd... Maar het kan... (daarom ben ik wel benieuwd of iemand het ook heeft gehad)
Misschien moet ik nog wel eens een nieuw pasje aanvragen... :S
Het lijkt me inderdaad logisch als je als reden 'kwijtraken' opgeeft dat hij ook geblokkeerd wordt.
Chaos Computer Club in Duitsland heeft jaren geleden al laten zien dat pincodes vrij eenvoudig te kraken zijn.quote:Op dinsdag 13 december 2005 00:26 schreef existenz het volgende:
- Je pincode staat NIET fysiek op je pasje, maar in de vorm van een hash die idd op 1 of andere manier berekend wordt, maar geloof ik dat er een algortime voor gebruikt wordt waar zelfs de grootste Blue Genes (supercomputers) minimaal 10 jaar per pincode over doen om het brute forcen.
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |