Hallo,

Ich recherchiere gerade für eine Uni-Aufgabe danach, wie auf EC-/Girokarten eigentlich die PIN gespeichert wird. Bei heise.de hatte ich mal gelesen, dass die entsprechenden Informationen weder ausgelesen noch durch ein Elektronenmikroskop nach Abschleifen des Chips in Erfahrung gebracht werden können.

Kennt jemand eine Internetseite wo das verwendete Verfahren zur Speicherung der PIN genau erklärt ist?

Danke

Bist Du sicher, dass die PIN auf der Karte gespeichert wird?

Die PIN ist devinitiv NICHT auf der Karte!

Der Pin wird wahrscheinlich irgendwo im Netz des IT-Dienstleister gespeichert werden. Es ist ein Sicherheitsrisko, wenn der Pin ebenfalls sich auf der Karte befinden würde.

Bist Du sicher, dass die PIN auf der Karte gespeichert wird?

Das ist auch so eine Frage. Es gibt wohl Verfahren, da wird eine entsprechende Online-Verbindung zur Bank aufgebaut.
Allerdings hatte ich am Donnerstag die Begegnung mit einem EC-Zahlautomaten im Bürgerbüro. Als ich meine PIN falsch eingegeben habe, kam sofort die Meldung sie sei falsch. Nachdem ich sie richtig eingegeben habe, kam nach einer halben Minute Wartezeit die Meldung dass keine Verbindung aufgebaut werden konnte. Das Gleiche passierte übrigens auch mit einer Karte einer anderen Bank.

Insofern bin ich der Ansicht, dass auf der Karte selber etwas gespeichert ist, denn er konnte ja ohne Verbindung validieren, dass ich die PIN korrekt eingegeben habe.

@LovesuckZ
So ist es!

Ich zitiere mal:
'Die PIN wird dem Kunden mit der Ausgabe der Kreditkarte von dem Kreditkartenherausgeber zugestellt und ist nicht auf der Karte gespeichert. Die Pin ist aber bei dem Herausgeber der Kreditkarte in einem Verzeichnis gespeichert und wird, nachdem die Nummer bei einem Geldautomaten eingegeben wird, in Sekundenbruchteilen, elektronisch mit den Daten im Verzeichnis abgeglichen.'

Der Pin wird wahrscheinlich irgendwo im Netz des IT-Dienstleister gespeichert werden. Es ist ein Sicherheitsrisko, wenn der Pin ebenfalls sich auf der Karte befinden würde.

Da haste schon Recht, nur es wurden wirklich mal PINs auf den Karten gespeichert, aber wie das genau von statten ging, weiß ich nicht.

Da haste schon Recht, nur es wurden wirklich mal PINs auf den Karten gespeichert, aber wie das genau von statten ging, weiß ich nicht.

Das war mal ne ganze Zeit lang ne Urban Legend und hielt sich recht hartnäckig. Ich denke eher, dass du dich da irrst....

Vielen Dank euch allen, habt wohl Recht :)

Dann mach ich mich mal auf die Suche nach einem anderen Beispiel

Als ich den Threadtitel sah, dachte ich spontan: "Gar nicht."
Wäre ja auch eine derbe Sicherheitslücke, wenn der Pin mit auf der Karte wäre.

es gab früher mal EC-Automaten ohne Online/Telefonverbindung, die haben den Pin anhand eines Hashwertes o.ä. überprüft. die Dinger standen? meist im Ausland

Als ich den Threadtitel sah, dachte ich spontan: "Gar nicht."
Wäre ja auch eine derbe Sicherheitslücke, wenn der Pin mit auf der Karte wäre.

Weshalb? Wenn man die PIN so abspeichert, dass sie nicht mehr ausgelesen werden kann, sehe ich nicht die Sicherheitslücke. Da ist eine Übertragung der PIN oder ein Challenge-Response-Verfahren unsicherer.

@LovesuckZ
So ist es!

Ich zitiere mal:
'Die PIN wird dem Kunden mit der Ausgabe der Kreditkarte von dem Kreditkartenherausgeber zugestellt und ist nicht auf der Karte gespeichert. Die Pin ist aber bei dem Herausgeber der Kreditkarte in einem Verzeichnis gespeichert und wird, nachdem die Nummer bei einem Geldautomaten eingegeben wird, in Sekundenbruchteilen, elektronisch mit den Daten im Verzeichnis abgeglichen.'
Kreditkarte ≠ EC/Bankkarte

Erstere funktioniert auch ohne PIN. Die wird bei KK nur zum abheben am Automaten benötigt und wird nur auf verlangen des Kunden zugeschickt.
So ist es jedenfalls hier bei der Sparkasse der Fall.

Weshalb? Wenn man die PIN so abspeichert, dass sie nicht mehr ausgelesen werden kann, sehe ich nicht die Sicherheitslücke. Da ist eine Übertragung der PIN oder ein Challenge-Response-Verfahren unsicherer.

Ein Pin auf der Karte muss aber lesbar sein - sonst könnte der Automat diese auch nicht erkennen. ;)
Und die Übertragung ist deswegen schon nicht unsicherer, da niemand Zugang zum Automaten hat, um die Verbindung bzw. den PC manipulieren zu können.

Ein Pin auf der Karte muss aber lesbar sein - sonst könnte der Automat diese auch nicht erkennen. ;)

Mag logisch klingen, ist aber falsch ;)

Es reicht, wenn das Sicherheitsmodul der Karte eine so genannte Challenge anstößt. Dazu erzeugt das Sicherheitsmodul eine Zufallszahl. Diese wird mit der von außen eingegebenen PIN verrechnet. Intern berechnet dieses Modul mit der im Modul gespeicherten PIN dieselbe Aufgabe. Sind die Ergebnisse dann korrekt, wurde dieselbe PIN eingegeben. Es musste zudem keine PIN nach außen gegeben werden. ;-)
Das Ganze nennt sich Challenge-Response-Verfahren und danach funktionieren auch elektronische Wegfahrsperren und keyless-Entry-Systeme.


Und die Übertragung ist deswegen schon nicht unsicherer, da niemand Zugang zum Automaten hat, um die Verbindung bzw. den PC manipulieren zu können.

Da wäre ich mir nicht so sicher. In einer Abhandlung über Sicherheit dieser Verfahren wurde genau das auch als mögliches Angriffsszenario beschrieben.