Hi,

hab folgendes in der Zeitung gelesen:

"...Die Betrüger kommen mit Hilfe eines selbst gebauten Lesegerätes, das sie vor den Geldautomaten installieren, an die PIN-Nummer und die Karten-Daten. Ohne es zu ahnen, schiebt der Bankkunde seine Karte also durch 2 Lesegeräte: das der Betrüger und das des Automaten. Einen Unterschied bemerke er in der Regel nicht, weil das zusätzliche Gerät meist sehr unauffällig sei..."

Ist die PIN also auf der Karte gespeichert???
Wenn ja, wäre das ganze System total unsicher!

Original geschrieben von Matti
Hi,

hab folgendes in der Zeitung gelesen:

"...Die Betrüger kommen mit Hilfe eines selbst gebauten Lesegerätes, das sie vor den Geldautomaten installieren, an die PIN-Nummer und die Karten-Daten. Ohne es zu ahnen, schiebt der Bankkunde seine Karte also durch 2 Lesegeräte: das der Betrüger und das des Automaten. Einen Unterschied bemerke er in der Regel nicht, weil das zusätzliche Gerät meist sehr unauffällig sei..."

Ist die PIN also auf der Karte gespeichert???
Wenn ja, wäre das ganze System total unsicher!

Natürlich ist die PIN auf der Karte gesaved... wie sollte denn das System denn sonst funzen?

ich kenn mich damit eigentlich nicht aus, aber wieso muss den die pin auf der karte gespeichert sein?

auf der karte kann auch eine xbeliebige ziffern/buchstabenfolge gespeichert sein, und mit der pin eingabe wird in einer datenbank der bank geprüft, ob du berechtigt bist, diese karte zu nutzen....


ob das so ist, weiss ich nicht, wäre imo aber sicherer als die pin auf der karte direkt zu speichern.

Original geschrieben von Sir Integral Wingate Hellsing
Natürlich ist die PIN auf der Karte gesaved... wie sollte denn das System denn sonst funzen?

Es könnte online beim Zentralrechner Fragen wie die PIN zu der Karte ist.

Wer nicht merkt, dass ein Lesegerät vor dem normalen Kartenschlitz klebt, verdient Strafe.

Meistens kriegen die die PIN durch über-die-Schulter-gucken raus.

So wie ich das verstanden habe läuft das folgendermaßen ab:

Kunde schiebt seine Karte in den Geldautomaten,
anhand irgendeiner Nummer die auf der Karte gespeichert ist, fragt der Geldautoamt bei irgendeiner Zentrale die PIN ab, und vergleicht diese mit der eingetippten. Wenn die beiden überein stimmen gibts Geld/Kontostand etc.

Was die bösen Buben gemacht haben, ich denke nen Gerät vor den Schlitz des Automaten geklemmt, Kunde schiebt die Karte durch, das böse Gerät erkennt welche Karte/welcher Besitzer, und der Kunde tippt seine Nummer auf das Tastenfeld der "bösen Maschine". vielleicht :D

Die PIN ist auf der Karte und nirgends sonst. Auch die kartenausstellende Bank hat die PIN nicht mehr.

Original geschrieben von Xmas
Die PIN ist auf der Karte und nirgends sonst.

falsch.
die pin ist definitiv NICHT auf der karte gespeichert.

das o.g. system funktioniert wie karl krake es beschrieben hat

Original geschrieben von m/\d
falsch.
die pin ist definitiv NICHT auf der karte gespeichert.

das o.g. system funktioniert wie karl krake es beschrieben hat

Das ist DEFINITIV so nicht richtig!
Die PIN tippt der Ahnungslose Benutzer ja in das "falsche" Tastenfeld. Ein bißchen "Wald-und-Wiesen-Elektronik", und Du speicherst die eingetippte PIN dann auf nem EEprom. Das Magnetband liest Du innerhalb des "falschen" Geräts ebenso aus, speicherst die Daten ab und kopierst es später auf nen Kartenrohling. Ganz einfach.

Das ist zwar die Masche der PIN-Räuber, aber die PIN ist TROTZDEM auf der Karte.
Nicht im Klartext, versteht sich, aber sie ist drauf.

LordVein

Original geschrieben von LordVein
Das ist zwar die Masche der PIN-Räuber, aber die PIN ist TROTZDEM auf der Karte.
Nicht im Klartext, versteht sich, aber sie ist drauf.

nein.
auf der karte befinden sich allgemeine daten wie kontonummer, bankleitzahl etc.

allein durch diese daten kann die pin nicht ermittelt werden. es wird ein geheimer schlüssel benötigt, der sich aber NICHT auf der karte befindet sondern nur im automaten oder im angeschlossenen rechenzentrum (und an den kein normalsterblicher räuber kommt)
-> pin besteht aus daten aus der karte und schlüssel
-> pin nicht auf der karte.
man kann mit hohem technischen aufwand die wahrscheinlichkeit, die richtige pin einzugeben, auf etwa 1:150 reduzieren. aber auf die eindeutige pin kommt kein dieb.

Original geschrieben von m/\d
nein.
auf der karte befinden sich allgemeine daten wie kontonummer, bankleitzahl etc.

allein durch diese daten kann die pin nicht ermittelt werden. es wird ein geheimer schlüssel benötigt, der sich aber NICHT auf der karte befindet sondern nur im automaten oder im angeschlossenen rechenzentrum (und an den kein normalsterblicher räuber kommt)
-> pin besteht aus daten aus der karte und schlüssel
-> pin nicht auf der karte.
man kann mit hohem technischen aufwand die wahrscheinlichkeit, die richtige pin einzugeben, auf etwa 1:150 reduzieren. aber auf die eindeutige pin kommt kein dieb.

Eben!
Das wollte ich mit dem Kommentar "nicht im Klartext" ausdrücken. Ich dachte, die technischen Details interessieren nicht so...
Aber : Die Wahrscheinlichkeit, von der Du sprichst lässt sich noch weiter senken...

LordVein

Original geschrieben von m/\d
falsch.
die pin ist definitiv NICHT auf der karte gespeichert.

das o.g. system funktioniert wie karl krake es beschrieben hat
Nun gut, es ist wohl so dass die PIN nicht als solche auf der Karte ist. Aber was an der Beschreibung von Karl|Krake falsch ist, ist dass die PIN bei einer Zentrale abgefragt wird. Es gibt keine Zentrale, die PINs speichert, die PIN ist auch den Banken nicht bekannt.

Original geschrieben von LordVein
Eben!
Das wollte ich mit dem Kommentar "nicht im Klartext" ausdrücken. Ich dachte, die technischen Details interessieren nicht so...
Aber : Die Wahrscheinlichkeit, von der Du sprichst lässt sich noch weiter senken...

LordVein

jo, war wohl kleines missverständnis... aber nur mit der karte lässt sich die pin einfach nicht berechnen, daher "nicht auf der karte" ;)
natürlich lässt sich die wahrscheinlichkeit noch weiter senken - inwiefern das ganze dann noch im verhältnis zum ertrag steht ist die frage

Original geschrieben von Xmas
Aber was an der Beschreibung von Karl|Krake falsch ist, ist dass die PIN bei einer Zentrale abgefragt wird. Es gibt keine Zentrale, die PINs speichert, die PIN ist auch den Banken nicht bekannt.


ich denke, er meint das rechenzentrum bzw. im offline-fall den gaa, wo die pin im bedarfsfall mit hilfe des schlüssels berechnet wird. die pin ist natürlich nirgendwo gespeichert, bei den banken sowieso nicht, da diese in aller regel ein wertdruck-unternehmen mit der herstellung der karte und pin beauftragen, und nichtmal diesem ist die pin bekannt.

Alles Müll :D
Das haben die anders gemacht:
das mit dem 2 Lesegerät stimmt schon,
aber das mitm PIN nicht.
Die haben einfach oben hinter die Verkleidung eine kleine Kamera gebaut und in einem Wagen nicht weit von der Postbank die PINs notiert. So einfach :)

Original geschrieben von Mr.B
Alles Müll :D
Das haben die anders gemacht:
das mit dem 2 Lesegerät stimmt schon,
aber das mitm PIN nicht.
Die haben einfach oben hinter die Verkleidung eine kleine Kamera gebaut und in einem Wagen nicht weit von der Postbank die PINs notiert. So einfach :)

da spricht der kenner :D

im ernst: eine kamera zu installieren bzw. einfach hinter den kunden zu stellen und beim pin eingeben beobachten ist sicherlich um welten effektiver als ominöse pin-eingabe-vorrichtungen zu bauen oder die richtige pin durch rumrechnen wahrscheinlicher zu machen

Original geschrieben von Karl|Krake
So wie ich das verstanden habe läuft das folgendermaßen ab:

Kunde schiebt seine Karte in den Geldautomaten,
anhand irgendeiner Nummer die auf der Karte gespeichert ist, fragt der Geldautoamt bei irgendeiner Zentrale die PIN ab, und vergleicht diese mit der eingetippten. Wenn die beiden überein stimmen gibts Geld/Kontostand etc.

Was die bösen Buben gemacht haben, ich denke nen Gerät vor den Schlitz des Automaten geklemmt, Kunde schiebt die Karte durch, das böse Gerät erkennt welche Karte/welcher Besitzer, und der Kunde tippt seine Nummer auf das Tastenfeld der "bösen Maschine". vielleicht :D

die haben ne minicamera noch beim automaten eingebaut, so sehen die welche nummer du eintippst und die karte wird durch das gerät ausgelesen, dann auf nen rohling geschrieben

Es gab sogar Fälle wo "Diebe" Geldautomaten nachgebaut und vor einer Bank gestellt haben, in diesem Fall wurde die Karte kopiert und der PIN freundlicherweise vom ahnungslosen Opfer am Gerät eingetippt.

könnte so sein, wie m/\d geschrieben hat. Die PIN ist mit einem Schlüssel auf der Karte gespeichert, den nur die Bank kennt. Also kann man die Pin nicht direkt auslesen.

...da ist mein Vertrauen in die EC-Karte wiederhergestellt :D Hab schon befürchtet, daß die PIN direkt ausgelesen werden kann.

Im Prinzip funktioniert der PIN bei einer EC-Karte ähnlich wie bei einer ISO-Karte einfach ausgedrückt, die Daten des MK-Streifens und die dazu verwendete PIN schaltet erst die Richtigkeit frei.

Im Detail wird das ganz gut hier -> http://www.cl.cam.ac.uk/~mgk25/ec-pin-prob.pdf erklärt, bitte aber darum das Dokument für nichts zu missbrauchen.

Der "Unnutzen" sprich Missbrauchswert wird aber auch dort erklärt.