Как стать автором
Обновить

Решение Signal перейти от телефонных номеров к PIN при идентификации вызвало вопросы у пользователей

Информационная безопасность *Мессенджеры *
image

Мессенджер Signal объявил, что внедряет PIN-коды для поддержки профилей, которые не привязаны к телефонным номерам. Новая функция, по утверждению компании, позволит пользователям безопасно переносить данные учетной записи между устройствами.

В долгосрочной перспективе эта функция станет первым шагом к отказу от использования телефонных номеров в качестве идентификаторов профиля.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 8.6K
Комментарии 18

RevolutionCard: первые кредитки без имени владельца

Чулан
Недавно выпущенные на рынок пластиковые карточки RevolutionCard от компании Revolution Money Inc. — это первые в Америке карточки, на которых не указано ни имя владельца, ни номер счёта, ни подпись, ни какие-либо другие идентификационные данные. Они также не закодированы на магнитной полосе. Кроме того, это первые карты в США, которые требуют обязательного ввода PIN-кода для всех без исключения транзакций. Используются одноразовые пин-коды с ограниченным сроком действия, которые нужно заказывать через интернет.

Благодаря меньшим комиссионным сборам (всего 0,5%) карточки нового типа уже приобрели определённую популярность среди мерчантов, хотя с момента запуска компании прошло всего два месяца.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 458
Комментарии 21

Хакеры научились расшифровывать PIN-коды

Информационная безопасность *
Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).
Читать дальше →
Всего голосов 67: ↑64 и ↓3 +61
Просмотры 4.3K
Комментарии 78

Безопасность конвертов с пин кодами пластиковых карт ВТБ24

Информационная безопасность *
Недавно заказывал в ВТБ24 2 пластиковые карты. Получил их через неделю и чтобы не перепутать пин-коды, сложил карточки в конвертики с последними, каждую в конверт с номером этой карты.

Когда понадобилась одна из карт, чтобы было удобнее ее извлекать, я разрезал конверт вдоль и развернув его полностью, достал карту и листок с пин-кодом.

Мое внимание привлек черный блестящий прямоугольник, нанесенный на конверт с внутренней стороны. Сначала я подумал, что это дополнительная защита от просмотра конверта на свет, с целью узнать пин-код, но позже понял — это нанесение красящего вещества идентичное, наверное, тому, что используется для изготовления копировальной бумаги (копирки) и используется для печати пин-кода на листке, вложенном в конверт при том, что конверт запечатан.

А заинтересовало меня это покрытие тем, что на нем отчетливо просматривался пин-код моей карты!
Читать дальше →
Всего голосов 100: ↑79 и ↓21 +58
Просмотры 12K
Комментарии 157

Безопасные платежи с помощью кодов ActivateTo (Часть II)

Блог компании PAYSTO
Первая часть описания сервиса ActivateTo была посвящена общим принципам его работы, тому, кто может стать его пользователем, и какие выгоды несет ActivateTo выбравшим его предпринимателям. Напомню, что благодаря этой услуге от компании PaySto продавцы веб-сервисов и товаров могут получать оплату в безопасной среде, с гарантией и максимальной выгодой для себя.
Читать дальше →
Всего голосов 5: ↑3 и ↓2 +1
Просмотры 1.3K
Комментарии 0

Сложно ли угадать PIN-код?

Информационная безопасность *
Перевод
Несмотря на важную роль PIN-кодов в мировой инфраструктуре, до сих пор не проводилось академических исследований о том, как, собственно, люди выбирают PIN-коды.

Исследователи из университета Кембриджа Sören Preibusch и Ross Anderson исправили ситуацию, опубликовав первый в мире количественный анализ сложности угадывания 4-циферного банковского PIN-кода.
Читать дальше →
Всего голосов 58: ↑55 и ↓3 +52
Просмотры 130K
Комментарии 68

Так может ли NFC Кольцо Всевластья разблокировать Android-телефон?

Блог компании i-Free Group Информационная безопасность *
Короткий ответ — да.

Летом прошлого года на кикстартере начался сбор средств на NFC-кольца (пост на хабре гиктаймс). Создатели не обещали ничего супер-инновационного, но скомпоновать известные, но не популярные штуки во что-то удобное и привычное — тоже хорошая идея. Неудивительно, что сбор, хотя и прошёл не особо заметно, но всё-таки успешно завершился. Целый год ребята писали письма про свои затруднения, про битвы и победы, про падения и взлёты.



В итоге, долгожданное письмо, пара недель ожидания, скрашенных Почтой России и отсутствием трекинга, и вот вожделенный конверт у меня в руках.
Читать дальше →
Всего голосов 27: ↑23 и ↓4 +19
Просмотры 46K
Комментарии 18

Привязка дополнительных одноразовых паролей к окну входа Windows

Информационная безопасность *Криптография *
На хабре уже давно знают об одноразовых паролях и технологиях OTP (One Time Password). Даже Яндекс придумал собственное решение. Я же хочу поведать вам о том как прикрутил интересную реализацию OTP к окну входа в сервер терминалов Windows.

image
Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Просмотры 47K
Комментарии 21

PIN-коды банковских карт. Как современные технологии вытесняют бумажную почту

Блог компании Infobip Исследования и прогнозы в IT *
Сегодня в банковском обслуживании ожидания клиентов, пользующихся мобильными технологиями, существенно повысились. Технологический скачок повлек за собой рост моментально доступных сервисов, что, в свою очередь, определило требования пользователей. Банки, которые активно развивают мобильные возможности, предлагают опции предоставления финансовой информации в реальном времени, а также новейшие достижения мобильных технологий.


Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 3.6K
Комментарии 5

Когда запрашивается PIN-код при оплате?

Информационная безопасность *
Из песочницы
пластиковые карты

Заметил, что люди часто рассуждают о причинах не запроса PIN-кода, либо наоборот удивляются, почему вдруг он потребовался. Пытаясь объяснить, в каких ситуациях необходим PIN-код, я запутался и решил собрать данные и написать статью.
Читать дальше →
Всего голосов 40: ↑40 и ↓0 +40
Просмотры 68K
Комментарии 56

Подпись вместо пин-кода в банке ТКС считается более безопасной

Управление e-commerce *
image
Всем привет.
Недавно завел себе карту дебетовую ТКС, чиповую, все дела. И был неприятно удивлен тем, что вообще нигде в магазинах не спрашивается пин код. Вообще. Пару раз просили расписаться, при том, что на карте у меня подписи нет.
Звонок в банк прояснил ситуацию — оказывается, магазины не могут обеспечить безопасность ввода пин-кода (чтобы это ни значило) и поэтому, в приоритетах по дефолту стоит проверка подписи. Которую вообще никто не смотрит.

Приоритеты я попросил поменять, благо это возможно. Но вы тока подумайте — тыришь/находишь карту ТКС и топаешь в любой магазин с ленивыми кассирами. Отличная безопасность по умолчанию.
Всего голосов 55: ↑27 и ↓28 -1
Просмотры 14K
Комментарии 125

Что безопаснее — PIN Online или PIN Offline?

Блог компании Мир Plat.Form (НСПК) Платежные системы *Читальный зал
Recovery mode
Tutorial

С появлением на рынке микропроцессорных платежных карт наряду с хорошо и давно знакомым к этому времени методом для верификации держателя карты PIN Online, когда значение ПИН проверяется эмитентом карты на его хосте, начал повсеместно применяться метод PIN Offline.


Суть метода PIN Offline состоит в том, что эмитент карты делегирует проверку ПИН своей карте. Сама карта проверяет значение ПИН, введенного пользователем на терминальном устройстве, сравнивая его с референсным значением, защищенным образом хранимым в платежном приложении карты.


Несмотря на то, что оба метода верификации параллельно используются вот уже 15 лет, до сих пор иногда приходится слышать вопросы: какой метод обеспечивает более высокую безопасность при обработке операции- PIN Online или PIN Offline? И вообще- можно ли эмитенту (банку, выпустившему карту) обойтись только одним из указанных методов проверки ПИН? Например, методом PIN Online. Очевидно, с точки зрения эмитента этот метод проще метода PIN Offline при реализации процедур персонализации карты, изменения ПИН держателем карты, контроля лимита на число попыток ввода неверных значений ПИН, поскольку в этом случае перечисленные процедуры выполняются только на хосте эмитента и не требуют применения дополнительных действий на стороне платежного приложения карты.


Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 4.7K
Комментарии 0