Pull to refresh

Решение Signal перейти от телефонных номеров к PIN при идентификации вызвало вопросы у пользователей

Information Security *Instant Messaging *
image

Мессенджер Signal объявил, что внедряет PIN-коды для поддержки профилей, которые не привязаны к телефонным номерам. Новая функция, по утверждению компании, позволит пользователям безопасно переносить данные учетной записи между устройствами.

В долгосрочной перспективе эта функция станет первым шагом к отказу от использования телефонных номеров в качестве идентификаторов профиля.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 8.5K
Comments 18

Новая карта Visa с клавиатурой для генерации секретного кода

Information Security *Payment systems *Gadgets Finance in IT
Translation


В ответ на участившиеся случаи воровства с кредитных карт в Интернете Visa Europe анонсировала дизайн новых кредитных карт с цифровой клавиатурой и дисплеем для показа секретного кода.

Карта имеет стандартный размер и магнитную полосу, как и обычные карты. Разница в том, что владельцу карты нужно будет вводить PIN-код прямо на карте, которая сгенерирует новый случайный номер на том же дисплее. Этот секретный код будет использоваться владельцем для работы с деньгами (например, для совершения очередной транзакции).

Конечно, ввод новой технологии потребует времени. И посмотрим на реакцию первых владельцев карт, для того, чтобы решить, стоит ли ею пользоваться.
Читать дальше →
Total votes 76: ↑76 and ↓0 +76
Views 2.7K
Comments 47

Очередной баг iPhone, или как пользоваться iPhone и симкой с неизвестным PIN-кодом.

Lumber room
Как Вы думаете, можно ли выключить iPhone и при повторном включении не вводить PIN-код? Естественно, речь идет о сим-карте с защитой PIN-кодом (его можно снять). Оказалось, что можно…
Сегодня обнаружила, что при выключении iPhone длительным нажатием Home и Power при повторном включении PIN-код вводить НЕ НУЖНО!
ИМХО серьезный баг безопасности!
Total votes 17: ↑7 and ↓10 -3
Views 175
Comments 6

Хакеры научились расшифровывать PIN-коды

Information Security *
Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).
Читать дальше →
Total votes 67: ↑64 and ↓3 +61
Views 4.3K
Comments 78

Как не забыть PIN-код к пластиковой карте

E-commerce management *Lifehacks for geeks
В году N работал в городе N над стартапом N. Рекламировались через Google AdWords и для оплаты использовали банковскую карту, оформленную на меня. Уезжая в Москву, я оставил карту коллеге для использования ее в целях оплаты контекста…

На прошлой неделе звонил приятель и сообщил, что проект в ближайшее время «свернут», и он хочет получить остатки средств с карты. Звонил, чтобы спросить меня PIN-код карты, который он потерял и который я уже не помню…
Стал вопрос, как получить деньги без моего присутствия в городе N?
Никак. Придется идти в отделение банка в Москве, получать деньги и отправлять приятелю переводом.

Я задумался, а ко всем ли своим картам (их у меня 4, если добавить еще карту «Малина», то пять) я помню PIN-коды? Оказалось, что помню только к двум: зарплатной и к карте для погашения кредита. К двум другим, которые использую для оплаты товаров в Интернете, не помню, для «Малины» нашел в конверте. В общем «вспомнить» коды оказалось проблематично.
А вдруг мне срочно понадобится снять с моих карт средства в банкомате? Что делать?
Читать дальше →
Total votes 6: ↑4 and ↓2 +2
Views 1.2K
Comments 9

Самые популярные пасскоды на смартфонах

Information Security *
Автор программы Big Brother Camera Security для iPhone (программа автоматически фотографирует злоумышленника, укравшего ваш смартфон) добавил функцию защиты пасскодом. Поскольку интерфейс очень похож на стандартный интерфейс для ввода пасскода iPhone, можно логично предположить, что большинство числовых комбинаций совпадают.

В общей сложности было записано 204 508 пасскодов по числу пользователей программы, так что теперь у нас есть рейтинг самых популярных числовых комбинаций. Это хорошее дополнение к известным спискам самых популярных паролей в интернете.

Самые популярные комбинации: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998.
Читать дальше →
Total votes 50: ↑39 and ↓11 +28
Views 33K
Comments 42

Сложно ли угадать PIN-код?

Information Security *
Translation
Несмотря на важную роль PIN-кодов в мировой инфраструктуре, до сих пор не проводилось академических исследований о том, как, собственно, люди выбирают PIN-коды.

Исследователи из университета Кембриджа Sören Preibusch и Ross Anderson исправили ситуацию, опубликовав первый в мире количественный анализ сложности угадывания 4-циферного банковского PIN-кода.
Читать дальше →
Total votes 58: ↑55 and ↓3 +52
Views 130K
Comments 68

PIN-код при оплате картой — точки над i

Information Security *Payment systems *
Sandbox
Всем доброго дня!

После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец, в меру своих знаний, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?
Читать дальше →
Total votes 144: ↑136 and ↓8 +128
Views 182K
Comments 256

Как добавить карты Bing Maps в Windows-приложение на HTML и JavaScript. Часть 1

Microsoft corporate blog JavaScript *HTML *Maps API *Geoinformation services *


Всем привет!

В этой статье мы научимся работать с Bing-картами в Windows-приложениях. В результате мы получим приложение на JavaScript с использованием Bing Maps SDK.

Помимо использования карты в приложении, мы рассмотрим дополнительные возможности SDK. Научимся изменять вид карты, добавлять метки и описания к ним.

Читать дальше →
Total votes 25: ↑17 and ↓8 +9
Views 15K
Comments 0

Как второй чип позволяет хакерам обойти процесс верификации банковской карты

Panda Security в России и СНГ corporate blog
Translation


Когда Вы выбирали или меняли PIN-коды для Вашей кредитной карты и сотового телефона, то все сделали правильно: Вы избежали соблазна использовать год Вашего рождения, при этом выбрали разные коды для карты и телефона. Впрочем, эти меры предосторожности могут оказаться бесполезными, если кибер-преступник перехватил Вашу кредитную карту в торговой точке.

Стандартный процесс верификации для оплат дебетовыми или кредитными картами требует карту с интегрированным чипом и PIN-код. Однако группа исследователей из École Normale Supérieure (ENS) в Париже недавно опубликовала отчет, в котором они объяснили, как группа хакеров нашла способ обойти
Читать дальше →
Total votes 15: ↑12 and ↓3 +9
Views 33K
Comments 22

PIN-коды банковских карт. Как современные технологии вытесняют бумажную почту

Infobip corporate blog Research and forecasts in IT *
Сегодня в банковском обслуживании ожидания клиентов, пользующихся мобильными технологиями, существенно повысились. Технологический скачок повлек за собой рост моментально доступных сервисов, что, в свою очередь, определило требования пользователей. Банки, которые активно развивают мобильные возможности, предлагают опции предоставления финансовой информации в реальном времени, а также новейшие достижения мобильных технологий.


Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 3.6K
Comments 5

Устройство для подбора pin-кодов к iPhone

Smartphones


Английские специалисты по безопасности обнаружили в продаже хитрое устройство IP-BOX для брутфорса pin-кодов iPhone. Стоит оно £200, а его особенность заключается в способности обойти ограничение в настройках на 10 попыток ввода. Если включить эту опцию, то после 10 неправильных попыток смартфон обычно затирает память. Но не в этом случае.

Хитрость заключается в необычном подключении устройства. Для ввода кодов оно включается в стандартный порт iPhone, для определения того, что код подошёл, используется фотодатчик, который прикрепляется к экрану. А для того, чтобы счётчик кодов не уменьшался, у смартфона нужно отключить аккумулятор и подавать питание с устройства. В результате, после каждого неправильного ввода PIN-кода устройство успевает оборвать цепь питания раньше, чем уменьшится счётчик оставшихся попыток.
Читать дальше →
Total votes 25: ↑23 and ↓2 +21
Views 17K
Comments 4

Что безопаснее — PIN Online или PIN Offline?

Мир Plat.Form (НСПК) corporate blog Payment systems *Reading room
Recovery mode
Tutorial

С появлением на рынке микропроцессорных платежных карт наряду с хорошо и давно знакомым к этому времени методом для верификации держателя карты PIN Online, когда значение ПИН проверяется эмитентом карты на его хосте, начал повсеместно применяться метод PIN Offline.


Суть метода PIN Offline состоит в том, что эмитент карты делегирует проверку ПИН своей карте. Сама карта проверяет значение ПИН, введенного пользователем на терминальном устройстве, сравнивая его с референсным значением, защищенным образом хранимым в платежном приложении карты.


Несмотря на то, что оба метода верификации параллельно используются вот уже 15 лет, до сих пор иногда приходится слышать вопросы: какой метод обеспечивает более высокую безопасность при обработке операции- PIN Online или PIN Offline? И вообще- можно ли эмитенту (банку, выпустившему карту) обойтись только одним из указанных методов проверки ПИН? Например, методом PIN Online. Очевидно, с точки зрения эмитента этот метод проще метода PIN Offline при реализации процедур персонализации карты, изменения ПИН держателем карты, контроля лимита на число попыток ввода неверных значений ПИН, поскольку в этом случае перечисленные процедуры выполняются только на хосте эмитента и не требуют применения дополнительных действий на стороне платежного приложения карты.


Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 4.5K
Comments 0