Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Занимательные факты из биографии ПИН-кода, или Теория вероятностей в индустрии платежных карт

(Нет голосов)

15.06.2009 Количество просмотров 1043 просмотра

Игорь Голдовский, генеральный директор ЗАО "Платежные технологии"

Предлагаемая вашему вниманию статья написана в жанре эссе – свободного размышления на заданную тему. Тема в данном случае – персональный идентификационный номер держателя карты, или ПИН-код. Статья построена в форме ответов на вопросы, представляющиеся интересными как для ее автора, так и, надеемся, для читателей журнала «ПЛАС». Интересными хотя бы потому, что ответы на них, как вы сами убедитесь по прочтении данного эссе, далеко не всегда тривиальны, а иногда просто неожиданны.

Каждому держателю карты, не говоря уже о специалистах в области карточного бизнеса, известно, что такое ПИН-код. Держатель карты знает, что ПИН-код требуется вводить на клавиатуре банковского терминала при выполнении некоторых карточных операций (например, всегда при снятии наличных в банкоматах) и что ПИН-код является величайшим в мире секретом, который необходимо держать в строжайшей тайне и лучше всего – просто хранить в памяти, нигде не записывая.

Специалисту, кроме того, известно, что до сегодняшнего дня ПИН-код остается самым надежным и эффективным среди наиболее распространенных на практике методов верификации держателя карты (учитывая, что массового внедрения биометрических технологий следует ожидать не раньше, чем через десятилетие). ПИНкод – это секрет, определенный для держателя конкретной карты и известный только держателю этой карты и, в некоторых случаях, о которых будет рассказано ниже, ее эмитенту. При выполнении ряда так называемых PIN-based транзакций эмитент должен иметь возможность проверить соответствие ПИН-кода используемой при проведении транзакции карте (точнее, номеру карты). Другими словами, между номером карты и значением ПИН-кода должно существовать соответствие, наличие которого, собственно, и проверяется эмитентом карты. Именно в проверке этого соответствия и заключается верификация держателя карты, являющегося владельцем соответствующего карте ПИН-кода.

Какие же требования предъявляются к проверяемому эмитентом соответствию между ПИН-кодом и номером карты? Должно ли, например, соответствие быть взаимно однозначным? Здесь ответ очевиден – нет! Действительно, в соответствии со стандартом ISO 9564-1 ПИН-код – это последовательность десятичных цифр длиной от 4 до 12 цифр, в подавляющем большинстве случаев – длиной 4 цифры. Количество же десятичных цифр в номере карты обычно равно 16. Так что говорить о взаимно однозначном соответствии ПИН-кода и номера карты не приходится. Тогда возникает другой вопрос: определяется ли ПИН-код однозначно по номеру карты, т.е. является ли он функцией от номера карты? В общем случае ответ также отрицательный – одному номеру карты могут соответствовать разные значения ПИН-кода.

В таком случае, в чем же, собственно, состоит требование к соответствию между номером карты и ПИН-кодом? Требование заключается в следующем: для любого заданного номера карты количество значений ПИН-кода, соответствующих этому номеру карты, должно быть «небольшим», т.е. вероятность угадать соответствующее номеру карты значение ПИН-кода должна быть невысокой. Что подразумевается под «небольшим» и «невысокой», мы поясним ниже, после рассмотрения двух наиболее широко используемых видов соответствия ПИН-кода и номера карты.

Вопрос 1. Наиболее распространенные методы генерации/верификации ПИН-кода: в чем заключаются их принципиальные различия и какое отражение они находят на практике? Какой из этих методов надежнее с точки зрения обеспечения безопасности?

Полный текст статьи читайте в журнале "ПЛАС" 5 (145) ’2009 сс. 3 - 11


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… каури были не только «туземным» средством расчета, но также в ходу в Средней Азии, Европе и даже Руси? На Руси в XII-XIV веках, в так называемый безмонетный период, каури были деньгами под названием ужовок, жерновков или змеиных головок. Их до сих пор находят при раскопках в Новгородских и Псковских землях в виде кладов и в погребениях. Только в XIX веке в Западную Африку ввезли не менее 75 млрд раковин каури общим весом 115 тысяч тонн?