курс цб на 25.03:
57.4247
61.8636
Лента новостей

Занимательные факты из биографии ПИН-кода, или Теория вероятностей в индустрии платежных карт

Количество просмотров9 просмотров
Want create site? Find Free WordPress Themes and plugins.

генеральный директор ЗАО «Платежные технологии»

Предлагаемая вашему вниманию статья написана в жанре эссе – свободного размышления на заданную тему. Тема в данном случае – персональный идентификационный номер держателя карты, или ПИН-код. Статья построена в форме ответов на вопросы, представляющиеся интересными как для ее автора, так и, надеемся, для читателей журнала «ПЛАС». Интересными хотя бы потому, что ответы на них, как вы сами убедитесь по прочтении данного эссе, далеко не всегда тривиальны, а иногда просто неожиданны.

Каждому держателю карты, не говоря уже о специалистах в области карточного бизнеса, известно, что такое ПИН-код. Держатель карты знает, что ПИН-код требуется вводить на клавиатуре банковского терминала при выполнении некоторых карточных операций (например, всегда при снятии наличных в банкоматах) и что ПИН-код является величайшим в мире секретом, который необходимо держать в строжайшей тайне и лучше всего – просто хранить в памяти, нигде не записывая.

Специалисту, кроме того, известно, что до сегодняшнего дня ПИН-код остается самым надежным и эффективным среди наиболее распространенных на практике методов верификации держателя карты (учитывая, что массового внедрения биометрических технологий следует ожидать не раньше, чем через десятилетие). ПИНкод – это секрет, определенный для держателя конкретной карты и известный только держателю этой карты и, в некоторых случаях, о которых будет рассказано ниже, ее эмитенту. При выполнении ряда так называемых PIN-based транзакций эмитент должен иметь возможность проверить соответствие ПИН-кода используемой при проведении транзакции карте (точнее, номеру карты). Другими словами, между номером карты и значением ПИН-кода должно существовать соответствие, наличие которого, собственно, и проверяется эмитентом карты. Именно в проверке этого соответствия и заключается верификация держателя карты, являющегося владельцем соответствующего карте ПИН-кода.

Какие же требования предъявляются к проверяемому эмитентом соответствию между ПИН-кодом и номером карты? Должно ли, например, соответствие быть взаимно однозначным? Здесь ответ очевиден – нет! Действительно, в соответствии со стандартом ISO 9564-1 ПИН-код – это последовательность десятичных цифр длиной от 4 до 12 цифр, в подавляющем большинстве случаев – длиной 4 цифры. Количество же десятичных цифр в номере карты обычно равно 16. Так что говорить о взаимно однозначном соответствии ПИН-кода и номера карты не приходится. Тогда возникает другой вопрос: определяется ли ПИН-код однозначно по номеру карты, т.е. является ли он функцией от номера карты? В общем случае ответ также отрицательный – одному номеру карты могут соответствовать разные значения ПИН-кода.

В таком случае, в чем же, собственно, состоит требование к соответствию между номером карты и ПИН-кодом? Требование заключается в следующем: для любого заданного номера карты количество значений ПИН-кода, соответствующих этому номеру карты, должно быть «небольшим», т.е. вероятность угадать соответствующее номеру карты значение ПИН-кода должна быть невысокой. Что подразумевается под «небольшим» и «невысокой», мы поясним ниже, после рассмотрения двух наиболее широко используемых видов соответствия ПИН-кода и номера карты.

Вопрос 1. Наиболее распространенные методы генерации/верификации ПИН-кода: в чем заключаются их принципиальные различия и какое отражение они находят на практике? Какой из этих методов надежнее с точки зрения обеспечения безопасности?

Полный текст статьи читайте в журнале «ПЛАС» 5 (145) ’2009 сс. 3 — 11

Did you find apk for android? You can find new Free Android Games and apps.




В рубриках:
Журнал ПЛАС № 5 (145) 2009

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *