Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Kortsvindel med pin-kode

0 views
Skip to first unread message

Erik Jenssen

unread,
Sep 4, 2002, 9:27:26 AM9/4/02
to
Jeg er journalist, og har blitt kontaktet av en mann som ble frastjålet
pengeboka si i Spania. Bare en time etter tyveriet ble det hevet penger på
to av hans bankkort fra minibanker.

Og de brukte pin-koden for å gjøre det.

Han forlanger å bli trodd når han sier koden ikke ble oppbevart sammen med
kortet. Og han sier ingen kunne stått bak skuldra hans og sett hvilken kode
han brukte under minibankbesøket - fordi hans kort så langt ikke hadde vært
brukt under ferien. Det var kona som sto for finansene.

Jeg søker litt rundt på nettet etter informasjon om hvordan det er mulig å
tilegne seg pin-koden fra et magnestripekort, men finner ikke noe særlig.

Har noen av dere peiling på hvor jeg kan finne noe slikt?

Svar gjerne direkte til min adresse, ettersom jeg ikke er en fast gjest på
dette forumet.


Vennlig hilsen
Erik Jenssen
Frilansjournalist og fotograf
Sortland i Vesterålen

Oeyvind Pedersen

unread,
Sep 4, 2002, 10:23:09 AM9/4/02
to
Den Wed, 04 Sep 2002 13:27:26 GMT, tastet Erik Jenssen <er...@vol.no>:

>Jeg er journalist, og har blitt kontaktet av en mann som ble frastjålet
>pengeboka si i Spania. Bare en time etter tyveriet ble det hevet penger på
>to av hans bankkort fra minibanker.
>
>Og de brukte pin-koden for å gjøre det.

[snip]

Jeg vil foreslå at du tar en titt på tråden som startet med
Message-ID: <f5f7ebc8.02082...@posting.google.com>

Kort fortalt:
Bankene vil nekter for at det lar seg gjøre å finne eller prøve seg frem
til PIN-koden ut fra informasjonen på magnetstripa. Bankklagenemda
støtter seg til bankenes påstander om deres hemmelige system er umulig å
lure.

-oep

Harald Hanche-Olsen

unread,
Sep 4, 2002, 4:39:12 PM9/4/02
to
+ Oeyvind Pedersen <ab...@captech.no>:

| Den Wed, 04 Sep 2002 13:27:26 GMT, tastet Erik Jenssen <er...@vol.no>:
|
| >Jeg er journalist, og har blitt kontaktet av en mann som ble
| >frastjålet pengeboka si i Spania. Bare en time etter tyveriet ble
| >det hevet penger på to av hans bankkort fra minibanker.
| >
| >Og de brukte pin-koden for å gjøre det.
|

| Kort fortalt:
| Bankene vil nekter for at det lar seg gjøre å finne eller prøve seg
| frem til PIN-koden ut fra informasjonen på
| magnetstripa. Bankklagenemda støtter seg til bankenes påstander om
| deres hemmelige system er umulig å lure.

Det er jo ganske trivielt å lure systemet hvis du er i stand til å
stjele mange kort: Jeg antar at du kan prøve tre PIN-koder før
minibanken sluker kortet. Det betyr at for et gitt kort har du en
0.3% sjanse for å lykkes. Hvis du stjeler og prøver 230 kort
(ln(0.5)/ln(0.997)=230 omtrent) har du ca 50% sjanse for å lykkes med
minst ett av dem.

Men jeg vet ikke hvor vanskelig, tidkrevende og risikabelt det er å
stjele så mange kort, så jeg kan ikke si om det ville være verdt
bryderiet.

--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- Ja det virker i praksis - men virker det i teorien?

Burnie

unread,
Sep 4, 2002, 7:29:32 PM9/4/02
to
The cat of Harald Hanche-Olsen <han...@math.ntnu.no> wrote:

> Det er jo ganske trivielt å lure systemet hvis du er i stand til å
> stjele mange kort: Jeg antar at du kan prøve tre PIN-koder før
> minibanken sluker kortet. Det betyr at for et gitt kort har du en
> 0.3% sjanse for å lykkes.

0.03%, vel?

--
Bernt 'Burnie' Pettersen /// DoD#2345 NAF
<E-mail:bur...@dod.no> /// <URL:http://burnie.sh/>
- Why do it today, when you could've done it yesterday? -

Paal Chr Birkeland

unread,
Sep 5, 2002, 6:34:09 AM9/5/02
to
On Wed, 04 Sep 2002 14:23:09 GMT, Oeyvind Pedersen <ab...@captech.no>
wrote:

Det er naivt og tro at banken er alene om å kunne lese den
informasjonen. At det finnes hardware/software til å lese såvel som
omkode kort i det kriminelle miljøet er helt sikkert. At bankene
velger å tro at det ikke finnes f eks en utro tjener, i en eller annen
bank, som kan gi ut slik informasjon synes jeg er fantastisk naivt.
Klart at det kanskje finnes en mulighet for vedkommende kan ha
svindlet selv men dette er er jo nøye kalkulert rissiko for banken,
på lik linje som ved lånesøknader. Lukter mer av ansvarsfraskrivelse
og vrangvilje enn godt håndverk.

Noe som kanskje er tilfelle i denne saken er at kortet ikke er meldt
stjålet eller er sperret før det ble missbrukt?. Dersom kortet faktisk
er meldt tapt/sperret skulle innehaver kun være annsvarlig for rundt
500,00 kr.

Bankene burde kanskje understreke, i større grad, viktigheten av disse
internasjonale nummerne for sperring av Visa osv, enn hva dem gjør
idag. Husker for endel år siden så fikk jeg en plastklistrelapp med
alle disse tlf nummer på, som man da kunne feste f eks på baksiden av
klokken. Praktisk og langt bedre enn en lapp i lommeboksen som så
altfor ofte blir borte sammen med kortene. Vet ikke hvorfor det ble
slutt på slike klistrelapper men om noen her jobber i bank så lag
slike igjen.


Har desverre ingen url for dowload av software, skal jo leve av noe
jeg også :-)

-paal chr

magnus

unread,
Sep 5, 2002, 8:38:26 AM9/5/02
to

"Paal Chr Birkeland" <paa...@linuxnation.no> skrev i melding
news:hnaenu8ks74md0dsh...@4ax.com...

> On Wed, 04 Sep 2002 14:23:09 GMT, Oeyvind Pedersen <ab...@captech.no>
> wrote:
>

Jeg husker å ha snakket med banken angående en glemt pin-kode, og lurte da
på om jeg ikke kunne få samme pin-kode som jeg da hadde, eller oppgitt den
på en annen måte. Fikk da som svar at banken ikke hadde noe som helst innsyn
i pin-koder, og hadde ingen mulighet til å hente opp dette i noe slags
register el. Det eneste jeg kunne gjøre var å bestille et nytt kort, og få
en ny pin-kode. Men etter å ha mottat kortet husket jeg raskt pin-koden jeg
hadde glemt, da jeg mottok nøyaktig den samme pin-koden jeg tidligere hadde.
Dette enda banken fortalte meg at jeg ikke kunne få pin-koden jeg til nå
hadde brukt. Det får meg til å lure på om ikke pin-kode blir laget av en
algoritme basert på konto, personnummer, noe i den retning, og at det var
derfor jeg fikk samme pin-kode.

M


Arne Volleng

unread,
Sep 5, 2002, 1:59:26 PM9/5/02
to
> Jeg husker å ha snakket med banken angående en glemt pin-kode, og lurte da
> på om jeg ikke kunne få samme pin-kode som jeg da hadde, eller oppgitt den
> på en annen måte. Fikk da som svar at banken ikke hadde noe som helst
innsyn
> i pin-koder, og hadde ingen mulighet til å hente opp dette i noe slags
> register el. Det eneste jeg kunne gjøre var å bestille et nytt kort, og få
> en ny pin-kode. Men etter å ha mottat kortet husket jeg raskt pin-koden
jeg
> hadde glemt, da jeg mottok nøyaktig den samme pin-koden jeg tidligere
hadde.
> Dette enda banken fortalte meg at jeg ikke kunne få pin-koden jeg til nå
> hadde brukt. Det får meg til å lure på om ikke pin-kode blir laget av en
> algoritme basert på konto, personnummer, noe i den retning, og at det var
> derfor jeg fikk samme pin-kode.
>
> M

Glemte PIN koden nå forleden dag - fikk ny (samme) kode i posten nå i dag,
så det er ikke tvil om at koden enten genereres ut fra en fast algoritme,
eller at banken oppbevarer koden min et sted i systemet.

Har reagert på dette før, i DNB fikk jeg altid samme kode når jeg fikk nytt
kort, det var den gang man måtte hente kort og kode i banken. En gang klarte
jeg å få frøkna bak disken til å tro at jeg var synsk. Jeg nektet å ta i mot
den forseglede konvolutten med koden, og sa at jeg kunne "se" hva koden
var. -Lurte henne med ut i minibanken og tok ut noen kroner med det nye
kortet bare for å bevise mine evner....

Arne


Jan Vidar Krey

unread,
Sep 5, 2002, 2:05:41 PM9/5/02
to
Harald Hanche-Olsen wrote:

> + Oeyvind Pedersen <ab...@captech.no>:
> (...)


>
> Men jeg vet ikke hvor vanskelig, tidkrevende og risikabelt det er å
> stjele så mange kort, så jeg kan ikke si om det ville være verdt
> bryderiet.
>

Noen nevnte dette med utro tjenere... Hva om noen har en "modifisert"
minibank som prøver f.eks. alle firesiffrede varianter?
Hvis dette er teknisk mulig burde dette sperres i bankenes
autentiseringsservere!


--

-janvidar-


Svein Johansen

unread,
Sep 5, 2002, 4:02:59 PM9/5/02
to
> Harald Hanche-Olsen wrote:

> Det er jo ganske trivielt å lure systemet hvis du er i stand til å
> stjele mange kort: Jeg antar at du kan prøve tre PIN-koder før
> minibanken sluker kortet. Det betyr at for et gitt kort har du en
> 0.3% sjanse for å lykkes. Hvis du stjeler og prøver 230 kort
> (ln(0.5)/ln(0.997)=230 omtrent) har du ca 50% sjanse for å lykkes med
> minst ett av dem.

Stemmer dette?

I første forsøk er sannsynligheten for å feile 9999/10000, i andre forsøk
9998/9999 og i tredje 9997/9998. Dette er uavhengige forsøk og produktet
blir 0.99970. Altså 99.97% sjanse for å feile med ett kort.

Med 230 kort blir sjansen for å feile 0.99970^230 = 0.93332.

Altså det er litt over 6 % sjanse for å lykkes med 230 kort.


Mvh
Svein

Harald Hanche-Olsen

unread,
Sep 5, 2002, 5:52:15 PM9/5/02
to
+ "magnus" <n...@one.com>:

| Men etter å ha mottat kortet husket jeg raskt pin-koden jeg hadde
| glemt, da jeg mottok nøyaktig den samme pin-koden jeg tidligere
| hadde. Dette enda banken fortalte meg at jeg ikke kunne få
| pin-koden jeg til nå hadde brukt. Det får meg til å lure på om ikke
| pin-kode blir laget av en algoritme basert på konto, personnummer,
| noe i den retning, og at det var derfor jeg fikk samme pin-kode.

Det er ikke usannsynlig. Uansett må det være mulig å rekonstruere
PIN-koden, siden banken jo trenger å være i stand til å sjekke disse
PIN-kodene når du bruker kortet ditt. Dette er ikke så ille som det
kan høres ut, men det viktige her er at nøkkelmaterialet som skal til
for å få til dette må beskyttes ekstremt godt, vanligvis i dertil
egnet hardware som beskytter mot forsøk på å bryte seg inn. Og så må
opplegget være slik at kritiske operasjoner som det å generere
konvolutter med PIN-koder til å sendes i posten ikke kan utføres av
noen enkeltperson, men krever flere tilstede, hvor hver enkelt så er
ansvarlig for å se til at de andre ikke jukser og stikker unna en
konvolutt eller noe. Hvis de opererer med mindre sikkerhet enn det,
så er det jo egentlig kriminelt.

Til syvende og sist er det nok postkassen din som er det svakeste
leddet i kjeden. Det hjelper nok at kort og kode kommer separat og
gjerne med flere dagers mellomrom, men helt sikkert kan et slikt
system aldri bli.

Harald Hanche-Olsen

unread,
Sep 5, 2002, 5:29:12 PM9/5/02
to
+ Burnie <bur...@dod.no>:

| The cat of Harald Hanche-Olsen <han...@math.ntnu.no> wrote:
|
| > Det er jo ganske trivielt å lure systemet hvis du er i stand til å
| > stjele mange kort: Jeg antar at du kan prøve tre PIN-koder før
| > minibanken sluker kortet. Det betyr at for et gitt kort har du en
| > 0.3% sjanse for å lykkes.
|
| 0.03%, vel?

Oops. Ja. (Stol aldri på en matematiker når det gjelder virkelige
tall - vi jobber best med abstrakte begreper.) Da må du stjele 2310
minibankkort for å ha 50% sjanse for å lykkes i å gjette PIN-koden,
med tre forsøk per kort. Det er vanskelig å tro at det lønner seg.

Det er et viktig poeng at kredittkortselskaper, og formodentlig banker
og, ikke tenker absolutt sikkerhet, men i stedet fokuserer på å holde
tapene ved svindel innenfor det forsvarlige. Kortene skal jo også
være brukbare, og da kan man ikke kreve at kundene skal lære
16-sifrede PIN-koder utenat, selv om det sikkert ville vært mye
sikrere. Kombinasjonen fire siffer og maksimalt tre forsøk, sammen
med maksimumsgrenser på noen tusenlapper i kortet per uke, gjør at
forventet gevinst for tyvene blir for liten, og dermed blir ikke
massetyverier av kort etterfulgt av PIN-kodegjetteleker en alvorlig
trussel. Det er derimot kikking over skulderen, falske
minibankautomater og uærlige brukersteder med utstyr som registrerer
PIN-koden når du taster den inn. Og siden kortselskapene anser denne
risikoen som akseptabel og ikke gjør så mye for å finne tekniske
løsninger på problemet (selv om de nok gjør en betydelig innsats for å
avsløre slike banditter og få satt dem fast), er det egentlig ikke
holdbart hvis de alltid velter ansvaret over på den enkelte kunden når
det skjer svindel. Det tror jeg også den nye bankloven skal gi dem
adskillig mindre muligheter til, men det kan hende det må noen
rettskraftige dommer til før vi kan føle oss rimelig trygge på det.

Bjoern Frantzen

unread,
Sep 5, 2002, 7:17:16 PM9/5/02
to
On Thu, 05 Sep 2002 17:59:26 GMT, Arne Volleng wrote:
> Glemte PIN koden nå forleden dag - fikk ny (samme) kode i posten nå i dag,
> så det er ikke tvil om at koden enten genereres ut fra en fast algoritme,
> eller at banken oppbevarer koden min et sted i systemet.

Om koden oppbevares noe sted i klartekst vet jeg ikke noe om, men når jeg
fikk mitt første kort i Fana Sparebank fikk jeg taste inn en selvvalgt kode
på en terminal i banklokalet, dette gjorde jeg etter at kortet var produsert.

Såvidt jeg vet ble både minibank- og VISA-delen endret ettersom jeg alltid
bare har brukt denne ene koden både her hjemme og i minibanker/
betalingsautometer i utlandet.

I Skandiabanken fikk jeg derimot bare utlevert en kode, og dett var dett.

--
Bjørn Frantzen

magnus

unread,
Sep 5, 2002, 7:52:16 PM9/5/02
to

"Arne Volleng" <arne.v...@mtv.no> skrev i melding
news:2YMd9.18182$sR2.3...@news4.ulv.nextra.no...

>
> Glemte PIN koden nå forleden dag - fikk ny (samme) kode i posten nå i dag,
> så det er ikke tvil om at koden enten genereres ut fra en fast algoritme,
> eller at banken oppbevarer koden min et sted i systemet.
>
> Har reagert på dette før, i DNB fikk jeg altid samme kode når jeg fikk
nytt
> kort, det var den gang man måtte hente kort og kode i banken. En gang
klarte
> jeg å få frøkna bak disken til å tro at jeg var synsk. Jeg nektet å ta i
mot
> den forseglede konvolutten med koden, og sa at jeg kunne "se" hva koden
> var. -Lurte henne med ut i minibanken og tok ut noen kroner med det nye
> kortet bare for å bevise mine evner....
>
> Arne

Slik jeg forsto det var dette med pin-koder en ekstern "enhet" som visstnok
ikke banken hadde noe med å gjøre. Det virker også sannsynlig, iogmed at
alle kort virker "alle" steder, må det vel være en sentral lokasjon/system
hvor kode blir verifisert. Spørsmålet blir som du sier, når pin-kode blir
generert for tilhørende bankkort, kunde, konto, om denne pin-kontoen
vedvarer ved utstedelse av nye kort (samme konto, kunde, bank), eller om
pin-kode blir generert pånytt for gang et bankkort som blir utstedt.

Synes jeg ser "frøkna" mens hun forteller sin fantastiske historie for sine
kolleger under firmafesten.

M


magnus

unread,
Sep 5, 2002, 8:17:13 PM9/5/02
to

"Harald Hanche-Olsen" <han...@math.ntnu.no> skrev i melding
news:pcou1l4...@thoth.math.ntnu.no...
> + "magnus" <n...@one.com>:

>
>
> Det er ikke usannsynlig. Uansett må det være mulig å rekonstruere
> PIN-koden, siden banken jo trenger å være i stand til å sjekke disse
> PIN-kodene når du bruker kortet ditt. Dette er ikke så ille som det
> kan høres ut, men det viktige her er at nøkkelmaterialet som skal til
> for å få til dette må beskyttes ekstremt godt, vanligvis i dertil
> egnet hardware som beskytter mot forsøk på å bryte seg inn. Og så må
> opplegget være slik at kritiske operasjoner som det å generere
> konvolutter med PIN-koder til å sendes i posten ikke kan utføres av
> noen enkeltperson, men krever flere tilstede, hvor hver enkelt så er
> ansvarlig for å se til at de andre ikke jukser og stikker unna en
> konvolutt eller noe. Hvis de opererer med mindre sikkerhet enn det,
> så er det jo egentlig kriminelt.
>
> Til syvende og sist er det nok postkassen din som er det svakeste
> leddet i kjeden. Det hjelper nok at kort og kode kommer separat og
> gjerne med flere dagers mellomrom, men helt sikkert kan et slikt
> system aldri bli.
>

Jeg tror ikke pin-kode trenger å rekonstrueres på noen måte ovenfor banken.
Det eneste som strengt tatt må være på plass, er et system som sjekker om
koden er korrekt, og returnerer ja/nei til terminalen som ønsker å
verifisere pin-koden. Jeg forsto det slik fra kunde behandler at pin-koder
var noe ikke banken hadde noe å gjøre med, at det var en ekstern
enhet/system til dette. Dette får meg til å lure på om det finnes en sentral
lokasjon/system for denne verifiseringen. Det gjør kansje den uhyre viktige
jobben med å sikre disse systemene enklere ved å samle det noe ?

Når det kommer til utsending av bankkort, og medfølgende pin-konde, kan jeg
tenke meg at dette skjer helt adskilt, banken sender kansje kortet, mens "X
sentralen" sender ut pin kode, på denne måten, i og med at de hver for seg
ikke er verdt særlig, elimineres noen problemstillinger.

Feilfritt system skal man vel lete lenge etter, men det jeg ser som en
viktig funksjon er muligheten til raskt å kunne frembringe informasjon som
gir en god indikasjon på hvor og hva som er skjedd, og dermed kunne
korrigere feil/henrette involverte.

M


Kristian Gjųsteen

unread,
Sep 6, 2002, 3:39:25 AM9/6/02
to
In article <3d77...@news.broadpark.no>, magnus <n...@one.com> wrote:
>Jeg husker å ha snakket med banken angående en glemt pin-kode, og lurte da
>på om jeg ikke kunne få samme pin-kode som jeg da hadde, eller oppgitt den
>på en annen måte. Fikk da som svar at banken ikke hadde noe som helst innsyn
>i pin-koder, og hadde ingen mulighet til å hente opp dette i noe slags
>register el.

Kan det f.eks. være slik at denne _personen/filialen_ du snakket med
ikke hadde mulighet til å finne koden?

Dermed kan banken fortsatt ha lagret pin-koden din, men den er
utilgjengelig for omtrent alle ansatte i banken. Det er jo ikke helt
ufornuftig med hensyn på utro tjenere.

Å bruke en slags deterministisk algoritme til å generere pin-koden
forekommer meg å være helt idiotisk. Da trengs ikke mer enn én liten
glipp før alle pin-kodene i systemet er usikre. Og fordelen med å ha
en deterministisk algoritme kan da umulig være særlig stor i forhold
til ganske enkelt å lagre pin-koden til hvert kort.

Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er ikke
uendelig mange av dem, vet du.

--
Kristian Gjøsteen

Lasse G. Dahl

unread,
Sep 6, 2002, 3:58:50 AM9/6/02
to
* Kristian Gjøsteen:

> Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
> er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er ikke
> uendelig mange av dem, vet du.

Ah - nå skjønner jeg hvorfor små, lokale banker med få kunder ble så
veldig populære for noen år siden - de hadde så mange PIN-koder å
velge blant!

;-)

--
Lasse G. Dahl <URL: http://www.lassedahl.com/ >

Hvorfor poste med fullt navn?
http://www.loken.no/Usenet/fulltnavn.html

Johan Ur Riise

unread,
Sep 6, 2002, 4:42:03 AM9/6/02
to
Kristian Gjøsteen <kristi...@math.ntnu.no> writes:

> Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
> er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er
> ikke uendelig mange av dem, vet du.

De trenger ikke være unike. De ville forresten vært mindre sikre
dersom de var det.

magnus

unread,
Sep 6, 2002, 6:23:36 AM9/6/02
to

"Kristian Gjøsteen" <kristi...@math.ntnu.no> skrev i melding
news:al9m3d$rfe$1...@tyfon.itea.ntnu.no...

> In article <3d77...@news.broadpark.no>, magnus <n...@one.com> wrote:
>
> Kan det f.eks. være slik at denne _personen/filialen_ du snakket med
> ikke hadde mulighet til å finne koden?
>
> Dermed kan banken fortsatt ha lagret pin-koden din, men den er
> utilgjengelig for omtrent alle ansatte i banken. Det er jo ikke helt
> ufornuftig med hensyn på utro tjenere.

Selvfølgelig, det var ikke det som var poenget. Poenget var at banken ikke
hadde noe å gjøre med dette.. visstnok. Tar det som en selvfølge at ikke
bankens ansatte har en hendig database der de kan søke opp bankkort og
tilhørende pin-koder.

>
> Å bruke en slags deterministisk algoritme til å generere pin-koden
> forekommer meg å være helt idiotisk. Da trengs ikke mer enn én liten
> glipp før alle pin-kodene i systemet er usikre. Og fordelen med å ha
> en deterministisk algoritme kan da umulig være særlig stor i forhold
> til ganske enkelt å lagre pin-koden til hvert kort.
>

Nettopp..

> Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
> er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er ikke
> uendelig mange av dem, vet du.

Festlig.. om du tror vi alle har vår unike pin-kode, tar du skammelig feil.

Vanlig skikk her på njus, er å ta med teksten du direkte kommenterer til,
kansje du kan følge samme rettningslinjer ?

M


magnus

unread,
Sep 6, 2002, 6:34:48 AM9/6/02
to
>
> Vanlig skikk her på njus, er å ta med teksten du direkte kommenterer til,
> kansje du kan følge samme rettningslinjer ?
>
> M

Litt tidlig med alzheimer føler jeg men, denne kan du stryke.

M


Harald Hanche-Olsen

unread,
Sep 6, 2002, 5:49:35 PM9/6/02
to
+ Bjoern Frantzen <bj...@bjoff.net>:

| Om koden oppbevares noe sted i klartekst vet jeg ikke noe om, men
| når jeg fikk mitt første kort i Fana Sparebank fikk jeg taste inn en
| selvvalgt kode på en terminal i banklokalet, dette gjorde jeg etter
| at kortet var produsert.

En vanlig måte å ordne dette på har vært at kortet har en «naturlig»
pin-kode basert på kortnummeret, og så lagres forskjellen men den
selvvalgte koden og den naturlige i magnetstripen. Så lenge den
«naturlige» koden er sikker mot rekonstruksjon og den selvvalgte koden
er godt valgt, er ikke dette noe mindre sikkert enn å tvinge deg til å
lære den «naturlige» koden.

En morsom historie jeg leste på usenet for noen år siden: En gang ble
det holdt et seminar om bankkort og sikkerhet for litt høyerestående
bankfunksjonærer (filialsjefer og slikt). Foredragsholderen kunne
fortelle at svært mange bankkunder valgte fødselsdatoen sin (eller
ektefellens) eller fire siffer fra bilnummeret sitt som pin-kode, og
forklarte hvorfor det ikke var så lurt. Etter foredraget viste
statistikken et uvanlig høyt antall transaksjoner på minibankene i
nabolaget, der kunder endret pin-kode på kortene sine.

Harald Hanche-Olsen

unread,
Sep 6, 2002, 5:41:06 PM9/6/02
to
+ Kristian Gjøsteen <kristi...@math.ntnu.no>:

| Å bruke en slags deterministisk algoritme til å generere pin-koden
| forekommer meg å være helt idiotisk. Da trengs ikke mer enn én liten
| glipp før alle pin-kodene i systemet er usikre. Og fordelen med å ha
| en deterministisk algoritme kan da umulig være særlig stor i forhold
| til ganske enkelt å lagre pin-koden til hvert kort.

Næmen Kristian, da. Jeg vet at du skjønner mer enn du gir uttrykk for
her. Jeg vet for eksempel at du har hørt om enveisfunksjoner og
kryptering og slikt.¹ Det er ikke vanskelig å lage et system som
genererer en pin-kode som funksjon av et kontonummer og en hemmelig
nøkkel, og gjøre det rimelig sikkert så lenge man kan holde nøkkelen
hemmelig. Selve funksjonen kan i prinsipp godt være offentlig kjent.
Nøkkelen, på den annen side, behøver ingen noensinne å se. Den må
selvfølgelig beskyttes meget nøye, men det finnes tekniske løsninger
på det problemet.² Jeg er sikker på at den nøkkelen ikke står på en
gul post-it på skjermen til en eller annen IT-ansatt i bankvesenet,
for å si det sånn.

Lagrer du i stedet alle pin-kodene på disk er det plutselig mye
vanskeligere å sørge for at ikke uvedkommende får tak i noen av dem.
Du har også backup å bekymre deg om.

--------
¹ For de utenforstående: Kristian holder på med en doktorgrad innen
kryptografi, så ikke bare kan han dette, han bør kunne det mye bedre
enn jeg, som bare diller litt med slikt på fritiden. Men det betyr
ikke at jeg ikke kan arrestere ham når han ikke har tenkt seg om.

² Jeg ser for meg svarte, solide kasser med en prosessor inni, hvor
all kryptografi foregår og nøkkelen aldri slippes ut. Og disse
kassene er selvsagt laget slik at nøkkelen ødelegges om noen forsøker
å bryte seg inn. Slikt utstyr finnes til militært bruk, og jeg kan
vanskelig forestille meg at ikke bankene har tilgang på tilsvarende
teknologi.

Tor Rustad

unread,
Sep 7, 2002, 9:04:30 AM9/7/02
to
"Harald Hanche-Olsen" <han...@math.ntnu.no> wrote in message

> + Burnie <bur...@dod.no>:
>
> | The cat of Harald Hanche-Olsen <han...@math.ntnu.no> wrote:
> |
> | > Det er jo ganske trivielt å lure systemet hvis du er i stand til å
> | > stjele mange kort: Jeg antar at du kan prøve tre PIN-koder før
> | > minibanken sluker kortet. Det betyr at for et gitt kort har du en
> | > 0.3% sjanse for å lykkes.
> |
> | 0.03%, vel?
>
> Oops. Ja. (Stol aldri på en matematiker når det gjelder virkelige
> tall - vi jobber best med abstrakte begreper.)

LOL ... hvem veileder alle studentene innen numerikk?

Analyse og algebra folk ...nei de vil jeg ikke stole på hvis det kreves
et tall svar! ;-)

> Det er derimot kikking over skulderen, falske
> minibankautomater og uærlige brukersteder med utstyr som registrerer
> PIN-koden når du taster den inn.

Det er en påstand, som du neppe kan underbygge...i Norge er det praktisk
talt 0 svindel på debetkort.

> Og siden kortselskapene anser denne
> risikoen som akseptabel og ikke gjør så mye for å finne tekniske
> løsninger på problemet (selv om de nok gjør en betydelig innsats for å
> avsløre slike banditter og få satt dem fast),

Hæ???

Du har tydligvis ikke hørt om EMV, det har man i bankverden. Prosessen
er forlengs igang med å klargjøre for chip baserte bankkort kort her på
berget og ellers i verden, innen 2005 så skal EMV kort aksepteres verden
rundt. Det tar lang tid å implementere en slik internasjonal sikkerhets
standard, store HW investeringer som taes over år, infrastruktur
endringer,
osv. osv.

> er det egentlig ikke
> holdbart hvis de alltid velter ansvaret over på den enkelte kunden når
> det skjer svindel. Det tror jeg også den nye bankloven skal gi dem
> adskillig mindre muligheter til, men det kan hende det må noen
> rettskraftige dommer til før vi kan føle oss rimelig trygge på det.

Har man et bankkort (ikke PIN), så er det et forbanna vanskelig
problem å finne PIN, selv en numeriker vil være sjangseløs på det. :)

--
Tor <torust AT online DOT no>


Tor Rustad

unread,
Sep 7, 2002, 9:04:43 AM9/7/02
to
"Kristian Gjøsteen" <kristi...@math.ntnu.no> wrote in message

> Dermed kan banken fortsatt ha lagret pin-koden din, men den er
> utilgjengelig for omtrent alle ansatte i banken. Det er jo ikke helt
> ufornuftig med hensyn på utro tjenere.

Nei, ingen i Norge har tilgang på PIN koder. Det eksisterer
forskjellige metoder for PIN generering, disse er ikke offentlige,
men ingen involverer at klartekst PIN lagres på et lesbart medium
(untatt via sikker print).

> Å bruke en slags deterministisk algoritme til å generere pin-koden
> forekommer meg å være helt idiotisk. Da trengs ikke mer enn én liten
> glipp før alle pin-kodene i systemet er usikre. Og fordelen med å ha
> en deterministisk algoritme kan da umulig være særlig stor i forhold
> til ganske enkelt å lagre pin-koden til hvert kort.

Det å ikke bruke en deterministisk algoritme, forekommer meg komplett
idiotisk. PIN må verifiseres...i sikker HW.

Sikkerhet ligger ikke i hemmelig algoritme, man velger algoritmer med
god kryptoanalyse bak seg, sikkerheten består i beskyttelse og kvalitet
på nøkler.

PIN koder lagres selfølgelig ikke i klar tekst, der hvor den er i
klartekst,
så er man innenfor sikker sone i TRSM.

> Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
> er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er ikke
> uendelig mange av dem, vet du.

???

Harald Hanche-Olsen

unread,
Sep 7, 2002, 4:00:46 PM9/7/02
to
+ "Tor Rustad" <tor...@online.no.spam>:

| "Kristian Gjøsteen" <kristi...@math.ntnu.no> wrote in message
|

| > Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
| > er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er ikke
| > uendelig mange av dem, vet du.
|
| ???

Det var noe som kalles en spøk. Du har hørt om det, har du ikke?

Harald Hanche-Olsen

unread,
Sep 7, 2002, 4:17:23 PM9/7/02
to
+ "Tor Rustad" <tor...@online.no.spam>:

| "Harald Hanche-Olsen" <han...@math.ntnu.no> wrote in message

| > Oops. Ja. (Stol aldri på en matematiker når det gjelder virkelige
| > tall - vi jobber best med abstrakte begreper.)
|
| LOL ... hvem veileder alle studentene innen numerikk?

Numerikere, som også er en slags matematikere, og like mye (eller
lite) til å stole på når det gjelder tall. Men spøk til side, vi
matematikere kan gjøre det riktig vi og, bare vi konsentrerer oss.

| > Det er derimot kikking over skulderen, falske
| > minibankautomater og uærlige brukersteder med utstyr som registrerer
| > PIN-koden når du taster den inn.
|
| Det er en påstand, som du neppe kan underbygge...i Norge er det praktisk
| talt 0 svindel på debetkort.

Det er godt å høre, men jeg snakket ikke om Norge spesielt. I
utlandet derimot har det skjedd. Men jeg tror neppe at de som har
stilt opp falske minibankautomater har klart å holde det gående lenge
nok til å tjene noe på det. Å få tak i noens pin-kode ved å kikke dem
over skulderen er jo trivielt, det har blant annet
forbrukerinspektørene klart demonstrert. Men det skal kombineres med
å stjele eller klone kortet, og det gjør det jo straks litt mer
innviklet. Hovedpoenget mitt er dog at de farene jeg nevnte nok er
adskillig mer realistiske enn faren for at noen innenfor bankvesenet
skal klare å få tak i PIN-koder og misbruke dem. Det er du vel enig i?

| Du har tydligvis ikke hørt om EMV, det har man i bankverden.

Nei. Hva står bokstavene for? Elektromagnetisk virkning? 8-)

| Prosessen er forlengs igang med å klargjøre for chip baserte
| bankkort kort her på berget og ellers i verden, innen 2005 så skal
| EMV kort aksepteres verden rundt.

Hmm. Ikke det samme som smartkort antar jeg, det er jo prøvd og ble
en gigantisk flopp. Jeg hadde selv et sånt i et par år.

| Har man et bankkort (ikke PIN), så er det et forbanna vanskelig
| problem å finne PIN, selv en numeriker vil være sjangseløs på det. :)

Selv en numeriker? Hva er det en numeriker vet som gjør ham spesielt
kvalifisert for å finne PIN-koden? En kryptolog ville nok ha en bedre
sjanse, men hovedpoenget her er at bankene er så lite villig til å
dokumentere hvor godt beskyttet PIN-koden er at vi ikke kan ha noen
begrunnet mening om det. Og dét er helt greit, så lenge bankene påtar
seg ansvaret for misbruk. Det er ikke like greit når de begynner å
skylde på kundene.

Jon Haugsand

unread,
Sep 7, 2002, 8:18:07 PM9/7/02
to
* Harald Hanche-Olsen

> ² Jeg ser for meg svarte, solide kasser med en prosessor inni, hvor
> all kryptografi foregår og nøkkelen aldri slippes ut. Og disse
> kassene er selvsagt laget slik at nøkkelen ødelegges om noen forsøker
> å bryte seg inn. Slikt utstyr finnes til militært bruk, og jeg kan
> vanskelig forestille meg at ikke bankene har tilgang på tilsvarende
> teknologi.

Eller f.eks. "smartkort" (selv om mange av disse også er "knekt").

--
Jon Haugsand
Dept. of Informatics, Univ. of Oslo, Norway, mailto:jon...@ifi.uio.no
http://www.ifi.uio.no/~jonhaug/, Phone: +47 22 95 21 52

Vegard Skjefstad

unread,
Sep 8, 2002, 6:17:38 AM9/8/02
to
Tor Rustad wrote:
> > Dermed kan banken fortsatt ha lagret pin-koden din, men den er
> > utilgjengelig for omtrent alle ansatte i banken. Det er jo ikke helt
> > ufornuftig med hensyn på utro tjenere.
> Nei, ingen i Norge har tilgang på PIN koder. Det eksisterer
> forskjellige metoder for PIN generering, disse er ikke offentlige,
> men ingen involverer at klartekst PIN lagres på et lesbart medium
> (untatt via sikker print).
Problemet her at alle utgår automatisk fra at du kun har 3 forsøk.

Koden er i og for seg sikker med 3 forsøk av 10000 mulig (faktisk
finnes det komplementær koder som gir 'riktig' resultat blandt
disse også). Kryptoalgoritmen(e) i bruk er sikre nok for dette, det
anser også jeg hevet over enhver tvil.

Tilgangen på lese og kopieringsutstyr er ikke noe problem.
Det koster deg mellom 1500-2000 kroner for en lese og skriver som
skriver til alle sporene.
At bank/visa kort lar seg kopiere i et hvilket som helst antall
er vist tidligere og derfor etablert som et faktum for dagens kort.
Jeg kan ta en backup av mitt kort og bruke dette like så enkelt
som orginal kortet.

Og det finnes rutiner som tillater deg å lese inn alle sporene og
kjøre verifisering uten å bry seg om 3 forsøksregelen på din egen
maskin. Kall det evig liv/trainer om du vil.

At du på norske atm-kort har visa del med samme kode gjør jobben
enklere for de som jobber mot slike norske kort å finne det
rette svaret.

> > Og grunnen til at bankene ikke gir deg en ny pin-kode til hvert kort
> > er selvfølgelig at de ikke vil bruke opp pin-kodene sine. Det er ikke
> > uendelig mange av dem, vet du.

Og du fritt velge pinkode (men noen få hederlige unntak av hva du
hvilke du ikke kan bruke).

Kjetil Torgrim Homme

unread,
Sep 8, 2002, 7:03:45 AM9/8/02
to
[Vegard Skjefstad]:

>
> At bank/visa kort lar seg kopiere i et hvilket som helst antall
> er vist tidligere og derfor etablert som et faktum for dagens kort.
> Jeg kan ta en backup av mitt kort og bruke dette like så enkelt
> som orginal kortet.

etter bruk av kopien i minibank vil ikkje originalkortet kunne brukast
lenger.

> Og det finnes rutiner som tillater deg å lese inn alle sporene og
> kjøre verifisering uten å bry seg om 3 forsøksregelen på din egen
> maskin. Kall det evig liv/trainer om du vil.

referanse?

--
Kjetil T. ==. ,,==. ,,==. ,,==. ,,==. ,,==
::://:::://:::://:::://:::://::::
=='' `=='' `=='' `=='' `=='' `== http://folding.stanford.edu

Kyrre Baker

unread,
Sep 8, 2002, 11:12:34 AM9/8/02
to
Kjetil Torgrim Homme <kjet...@haey.ifi.uio.no> writes:

> etter bruk av kopien i minibank vil ikkje originalkortet kunne brukast
> lenger.

referanse?

--
... Hva er vel en signatur fra eller til?

Kjetil Torgrim Homme

unread,
Sep 8, 2002, 8:41:56 AM9/8/02
to
[Kyrre Baker]:

>
> Kjetil Torgrim Homme <kjet...@haey.ifi.uio.no> writes:
>
> > etter bruk av kopien i minibank vil ikkje originalkortet kunne brukast
> > lenger.
>
> referanse?

tidlegare diskusjon her på denne gruppa. stadfesta av fleire.

Tor Rustad

unread,
Sep 8, 2002, 10:56:29 AM9/8/02
to
"Harald Hanche-Olsen" <han...@math.ntnu.no> wrote in message
> + "Tor Rustad" <tor...@online.no.spam>:

> Hovedpoenget mitt er dog at de farene jeg nevnte nok er
> adskillig mer realistiske enn faren for at noen innenfor bankvesenet
> skal klare å få tak i PIN-koder og misbruke dem. Det er du vel enig
> i?

Vel, at insidere kan greie å få tak i PIN-koder, har nok ikke en
interessant sannsynlighet engang, man er litt for paranoid med
PIN til det.

> | Du har tydligvis ikke hørt om EMV, det har man i bankverden.
>
> Nei. Hva står bokstavene for? Elektromagnetisk virkning? 8-)

Europay Mastercard Visa. EMV 96' standard er offentlig og kan
lastes ned gratis. "Protection Profile" er også offentlig og gratis,
se SCUG (Smartcard User Group).

Selv om hele verden gjøres "EMV ready", så blir det spennende
å se når de norske bankene velger å gå bort fra å utstede
magnetstripe kort, nå så er nok svindelen for lav i Norge til at de
kan forvente at den blir lavere med det...

> | Har man et bankkort (ikke PIN), så er det et forbanna vanskelig
> | problem å finne PIN, selv en numeriker vil være sjangseløs på det.
> | :)
>
> Selv en numeriker? Hva er det en numeriker vet som gjør ham spesielt
> kvalifisert for å finne PIN-koden?

Dette var en (ufin) spøk...hørt om det? ;-)

> hovedpoenget her er at bankene er så lite villig til å
> dokumentere hvor godt beskyttet PIN-koden er at vi ikke kan ha noen
> begrunnet mening om det.

De som _trenger_ slik informasjon, får nok den. At denne informasjon
ikke er lett tilgjengelig, betyr ikke at bankene i enhver sammenheng vil
holde kortene tett til brystet. Vil tro at bankklagenemnda har blitt
forelagt tilstrekkelig og overbevisende dokumentasjon.

Tor Rustad

unread,
Sep 8, 2002, 10:56:30 AM9/8/02
to
"Vegard Skjefstad" <sh...@crusaders.no> wrote in message

<snip>

Vennligst ikke send kopi av dine post til min private
e-post konto!

Dine påstander gidder jeg ikke å kommentere likevel,
det var rett og slett for mye tull.

Tor Rustad

unread,
Sep 8, 2002, 10:56:36 AM9/8/02
to
"Vegard Skjefstad" <sh...@crusaders.no> wrote in message

<snip>

Vennligst ikke send kopi av dine post til min private
e-post konto!

Dine påstander gidder jeg ikke å kommentere likevel,
det var rett og slett for mye tull.

--

Kyrre Baker

unread,
Sep 8, 2002, 6:47:08 PM9/8/02
to
Kjetil Torgrim Homme <kjet...@haey.ifi.uio.no> writes:

> > referanse?
>
> tidlegare diskusjon her på denne gruppa. stadfesta av fleire.

Jeg finner ikke noen slik som er god nok. Så jeg spør
igjen. Referanse? Gjerne noen som er holdbare.

(Og jeg har en god grunn til å spørre om holdbare referanser her. Den
kommer senere.)

Harald Hanche-Olsen

unread,
Sep 8, 2002, 3:59:54 PM9/8/02
to
+ "Tor Rustad" <tor...@online.no.spam>:

| Dette var en (ufin) spøk...hørt om det? ;-)

Nei, jeg har bare hørt om fine spøker.

Arvid Grųtting

unread,
Sep 9, 2002, 4:19:15 AM9/9/02
to
Harald Hanche-Olsen <han...@math.ntnu.no> writes:

> Hmm. Ikke det samme som smartkort antar jeg, det er jo prøvd og ble
> en gigantisk flopp.

Det synes jeg du skal fortelle franskmennene, som har brukt smartkort
siden det kom. (Terskelen for å ta det i bruk var sikkert litt mindre
der, siden det var en franskmann som fant dem opp.)

Den svindelen franskmenn har med bankkortene sine, har de på Visa-
eller Mastercard-delen, i utlandet.

> Jeg hadde selv et sånt i et par år.

Jeg hadde også et sånt i et par år, før de norske bankene sluttet med
det. (Noen kom aldri igang.)

--
Arvid

Microsoft forbedrer standarder
som stokkmaur forbedrer treverk.

Jostein Tveit

unread,
Sep 9, 2002, 8:37:43 AM9/9/02
to
Kyrre Baker <ky...@kyrres.net> writes:

> Jeg finner ikke noen slik som er god nok. Så jeg spør
> igjen. Referanse? Gjerne noen som er holdbare.

<iozg7.3795$hc7....@news1.oke.nextra.no>

Se forøvrig også hele tråden.

--
Jostein Tveit (Jostei...@idi.ntnu.no)

Kristian Gjųsteen

unread,
Sep 9, 2002, 10:10:22 AM9/9/02
to
In article <pcod6rq...@thoth.math.ntnu.no>,

Harald Hanche-Olsen <han...@math.ntnu.no> wrote:
>+ Kristian Gjøsteen <kristi...@math.ntnu.no>:
>
>| Å bruke en slags deterministisk algoritme til å generere pin-koden
>| forekommer meg å være helt idiotisk. Da trengs ikke mer enn én liten
>| glipp før alle pin-kodene i systemet er usikre. Og fordelen med å ha
>| en deterministisk algoritme kan da umulig være særlig stor i forhold
>| til ganske enkelt å lagre pin-koden til hvert kort.
>
>Næmen Kristian, da. Jeg vet at du skjønner mer enn du gir uttrykk for
>her. Jeg vet for eksempel at du har hørt om enveisfunksjoner og
>kryptering og slikt.¹

Du har helt rett, det ville ikke nødvendigvis være idiotisk, og man kan
helt sikkert beskytte maskinvaren som dette går på mot utro tjenere.
Så langt tenkte jeg ikke før jeg lot meg forekomme.

Men jeg ser fortsatt ikke helt _hvorfor_ man skal gjøre dette?

Hvis jeg kommer med følgende (hastverksarbeide, basert på fullstendig
manglende kjennskap til hvordan ting faktisk gjøres, dette er kun for
diskusjonens skyld):

Man har en funksjon C_k som skal er motstandsdyktig mot et
angrep der motstanderen bare ønsker å vite om en gitt melding
hører til en bestemt chiffertekst. Denne funksjonen (det vil
si, nøkkelen k) er hemmelig.

Når banken skal lage et kort, lager de en melding m som
inneholder kortnummer (og evnt. ymse) samt pin-koden. Deretter
regner de ut c = C_k(m). På kortet lagrer de kortnummer (og
evnt. ymse) og c.

Når en terminal skal sjekke pin-koden, sender den kortnummer
(og evnt. ymse), c og pin-kode til banken, banken setter
sammen kortnummer (og evnt. ymse) og pin-kode til m2, regner
ut c2 = C_k(m2) og sjekker c2 mot c.

Kjenner man C_k er det trivielt å finne pin-koden. Pr.
antagelse er det bare banken som kjenner C_k.

Å finne pin-koden fra kortnummeret og c (og evnt. ymse), er
pr. antagelse umulig.

Hvis du ønsker at flere skal kunne verifisere kortet, kan du
lagre flere c_i = C_k_i(m1) på kortet. (Dette kan endre på
kravene til C_k.)

I dette systemet er det er ikke nødvendig å kjenne pin-koden, altså
heller ikke noe behov for å lagre pin-koden i klartekst. Det sier Tor
Rustad at de ikke gjør. Men det er heller ikke nødvendig å generere
pin-koder på en systematisk måte for at dette skulle virke.

Konklusjon: Jeg sier ikke at bankene _ikke_ bruker en eller annen måte
å beregne pin-kode på bare fra kontonummer og skostørrelse, men jeg
lurer på hvorfor de eventuelt skulle ha behov for/ønske om å gjøre det
slik? Hva er galt med tilfeldige pin-koder?

(Forøvrig driver jeg stort sett ikke med anvendt kryptografi, men mer
med geometri og tilliggende herligheter. Ikke ta noe jeg måtte si om
anvendt kryptografi for sannhet uten en klype salt.)

--
Kristian Gjøsteen

Harald Hanche-Olsen

unread,
Sep 9, 2002, 4:42:24 PM9/9/02
to
+ Kristian Gjøsteen <kristi...@math.ntnu.no>:

| Du har helt rett, det ville ikke nødvendigvis være idiotisk, og man kan
| helt sikkert beskytte maskinvaren som dette går på mot utro tjenere.
| Så langt tenkte jeg ikke før jeg lot meg forekomme.
|
| Men jeg ser fortsatt ikke helt _hvorfor_ man skal gjøre dette?
|

| [...]


|
| I dette systemet er det er ikke nødvendig å kjenne pin-koden, altså
| heller ikke noe behov for å lagre pin-koden i klartekst. Det sier Tor
| Rustad at de ikke gjør. Men det er heller ikke nødvendig å generere
| pin-koder på en systematisk måte for at dette skulle virke.

Jeg tror systemet ditt (utelatt her) vil lide litt under begrensninger
på hvor mye informasjon det er mulig å lagre i magnetstripen på et
bankkort (som jeg tror er veldig begrenset). Ellers ville det sikkert
fungere utmerket.

Kristian Tjessem

unread,
Sep 10, 2002, 8:15:25 AM9/10/02
to
Tor Rustad wrote:

Jeg fikk for endel år siden MasterCard, jeg fikk da en PIN som lød tre like
tall og et ulikt (XXXY). Jeg (trodde jeg) mistet kortet, fikk tilsendt nytt
og deretter ny PIN. Nok en gang med tre like tall, bare at denne gangen var
det på formen XXYX. Så fikk jeg også et VISA-kort, og gufaen var det tre
like tall i den også.

For meg virker det litt for tilfeldig. Kan det være en 'hickup' i
PIN-generatoren. Dette var også to forskjellige kort-typer, men fra samme
bank, så de bruker vel samme generator?


For the record så er ingen av disse PIN-kodene aktive lenger :-)


.: Kristian Tjessem

Kyrre Baker

unread,
Sep 10, 2002, 10:49:39 AM9/10/02
to
Jostein Tveit <Jostei...@idi.ntnu.no> writes:

> <iozg7.3795$hc7....@news1.oke.nextra.no>
>
> Se forøvrig også hele tråden.

Jeg overrasker meg selv hele tiden med å være uklar. Altså: Kan noen
gi meg en _relevant_ referanse på dette? _Relevant_ som i "dette vet
jeg" eller "dette er fakta"; men helst "du har ikke kopi av kortet
ditt".

Franklin Eekhout

unread,
Sep 10, 2002, 2:15:31 PM9/10/02
to
Kristian Tjessem wrote:
> Jeg fikk for endel år siden MasterCard, jeg fikk da en PIN som lød
> tre like tall og et ulikt (XXXY). Jeg (trodde jeg) mistet kortet,
> fikk tilsendt nytt og deretter ny PIN. Nok en gang med tre like tall,
> bare at denne gangen var det på formen XXYX. Så fikk jeg også et
> VISA-kort, og gufaen var det tre like tall i den også.

Jeg får si: jeg og!

Jeg syns det er litt rart, jeg har opplevd det samme med 3 like tall i
pinkoden for noen år siden, men antok at det var tilfeldig. Det er kanskje
ikke det allikevel?

Jeg har ikke greie på slikt, men kan det ha noe med personnr eller navn å
gjøre? Det er omtrent det eneste som er uforandelig i motsetning til
tid/adresse/alder/utsteder har jeg følelsen av, for jeg sysns å huske at jeg
byttet adresse/postnr og datoen var forskjellige mellom utsendelse av de to
pinkodene. Kunne man finne formelen ved å ta en knippe personnr og pinkoder
fra samme utsteder? Kanskje førstegangskoden er algoritme-generert? Jeg syns
å huske at før så møtte man opp i banken og fikk velge kode, men nå så får
man en tilsendt. Jeg har ikke sjekket, lenge siden jeg tok ut penger fra en
minibank, men går det an å forandre pinkode i dag?

Ikke noe nytt eller relevant fra meg, dessverre, men det er en artig tråd...
:-)

vh

Franklin


Trond Sagerup

unread,
Sep 10, 2002, 2:57:07 PM9/10/02
to
"Franklin Eekhout" <fran...@online.no> writes:

| Jeg har ikke sjekket, lenge siden jeg tok ut penger fra en minibank,
| men går det an å forandre pinkode i dag?

ja, det går an å skifte kode i minibanker.

--
* Trond Sagerup <URL:http://www.sagerup.net>
///
Iron Law of Distribution:
Them that has, gets.

Karl Erik Birkeland

unread,
Sep 10, 2002, 4:12:00 PM9/10/02
to
Trond Sagerup wrote:
> ja, det går an å skifte kode i minibanker.

Dette er ikke noe alle kan, i alle fall ikke på eget initiativ. (For
alt jeg vet kunne jeg kanskje ha byttet kode om en bankansatt brukte
bankens "spesialkort" som åpner spesielle menyvalg - endring av
beløpsgrencer etc.) Jeg har i løpet av de siste 5-6 årene hatt
minibankkort i Postbanken, K-bank, DnB og Skandiabanken. Jeg har aldri
fått tilbud om å skifte kode i noen minibank. Kona hadde tidligere kort
i NOR, hun kunne bytte kode når hun brukte kortet i NORs minibanker.

--
Karl Erik Birkeland, MDNV

http://home.no/blazius/


Karl Erik Birkeland

unread,
Sep 10, 2002, 4:12:01 PM9/10/02
to
Kristian Tjessem wrote:
> For meg virker det litt for tilfeldig. Kan det være en 'hickup' i
> PIN-generatoren. Dette var også to forskjellige kort-typer, men fra samme
> bank, så de bruker vel samme generator?

Jeg hadde for noen år siden Postbankkort. Dette hadde PIN som var
identisk med et bestemt siffersegment i kortnummeret som var trykket
bakpå kortet (kortnummeret bestod av kontonummer med et prefiks og et
suffiks). Dette syntes jeg var pussig, og ba om å få bytte kode. Men
nei da, den nye koden jeg fikk tilsendt var den samme, og den kunne ikke
endres. Jeg fikk etterhvert bestilt nytt kort med nytt kortnummer og ny
PIN. Også her var det samsvar mellom PIN og de bestemte sifrene i
kortnummeret.

Dessverre var jeg på dette tidspunktet så ung og uvitende at jeg ikke
tok saken lenger enn å spørre mannen på postkontoret om dette kunne være
riktig. Han skjønte ikke problemstillingen... Kortet ble for øvrig
sagt opp kort tid senere, men PIN-saken hadde ikke noe særlig med det å
gjøre.

Trond Sagerup

unread,
Sep 10, 2002, 5:09:36 PM9/10/02
to
Karl Erik Birkeland <k...@e-vet.com> writes:

| Trond Sagerup wrote:
| > ja, det går an å skifte kode i minibanker.
|
| Dette er ikke noe alle kan, i alle fall ikke på eget initiativ.

Ok. Det går ihvertfall i Sparebank1 Nord-Norge sine minibanker om en
har kort i fra Sparebank1 Nord-Norge (og det burde ikke være noe i
veien for at det ikke skal virke i andre banker også, så lenge en bruker en
minbank fra samme bank som en har kort (en får ikke noe gratis hos
andre banker)).

| (For alt jeg vet kunne jeg kanskje ha byttet kode om en bankansatt
| brukte bankens "spesialkort" som åpner spesielle menyvalg - endring
| av beløpsgrencer etc.)

Beløpsgrenser endres uten at det gjøres noe fysisk med kortet. Men
dette er ganske så langt utenfor n.i.sikkerhet sitt område.

--
* Trond Sagerup <URL:http://www.sagerup.net>
///

"One planet is all you get."

Tor Rustad

unread,
Sep 10, 2002, 5:19:46 PM9/10/02
to
"Kristian Tjessem" <kris...@airways.noYOU.KNOW.WHAT.TO.DO> wrote in
message

> For meg virker det litt for tilfeldig. Kan det være en 'hickup' i
> PIN-generatoren.

12 siffer er for lite til å si noe fornuftig om en RNG generator.

Tor Rustad

unread,
Sep 10, 2002, 5:20:08 PM9/10/02
to
"Harald Hanche-Olsen" <han...@math.ntnu.no> wrote in message
> + "Tor Rustad" <tor...@online.no.spam>:
>
> | Dette var en (ufin) spøk...hørt om det? ;-)
>
> Nei, jeg har bare hørt om fine spøker.

Hmm...denne har jeg faktisk hørt fra en analyse kollega av deg.

En gruppe på ballong tur, var kommet ut av kurs, mens de forsøkte å
få kartet til å stemme med terrenget, så oppdaget de en mann
som satt nede på bakken.

Da ropte de ned til mannen "Hvor er vi?"

Mannen på bakken kikket opp, senket blikket, tenkte seg lenge om.
Til slutt svarte han "Dere er ute av kurs".

En av de i ballongen ristet oppgitt på hodet og sa, "Å n