Какво е пин карта?
ПИН кодът на банковата карта е идентификационен номер, който дава достъп на картодържателя за извършване на определени финансови транзакции. Това винаги е четирицифрена комбинация - паролата. При получаване на картата в ръка, кодът се предоставя в затворен плик. Присвоява се автоматично и никой освен собственика не трябва да го знае. Безопасността на пин кода на пластмасова карта от трети страни гарантира защита срещу незаконни действия на измамници.
Как да намерите идеалния ПИН за вашата карта
Пин кодът на картата не може да бъде избран предварително и продиктуван на банков служител, но може да бъде сменен. Най-често това се прави от хора, на които им е трудно да запомнят различни числа или такива, на които подобна комбинация им се струва твърде лесна.
Можете да промените този таен номер през банкомата на банката, която е издала картата, или на нейния официален уебсайт (ако сте свързани с онлайн банка). Извършването на операция по смяна на ПИН кода е разрешено само след авторизация на картата.
Когато избирате нов пин код, не можете:
- посочете 4 еднакви числа,
- изберете числата по ред (например 4567),
- използвайте дати на раждане: ваши собствени, близки или роднини.
Бъдете особено внимателни, когато избирате ПИН на кредитната си карта. Понякога банката начислява такса за промяна на ПИН кода.
В случай, че клиентът е забравил ПИН кода на картата и пликът с тази комбинация е изгубен, действията следва да бъдат както следва:
- Незабавно информирайте обслужващата банка за тази ситуация;
- При съмнение за кражба на плик с ПИН код можете да блокирате картата, за да запазите оставащите по нея средства (по телефон или в клон);
- Напишете декларация за намерение за задаване на нов ПИН код на картата, като посочите причината. Това заявление трябва да бъде адресирано до управителя на банката.
- Ако спешно трябва да получите пари и пин кодът на банковата карта все още не е наличен, тогава можете да се свържете директно с банковата каса, като предварително сте написали съответното заявление.
Същата последователност от действия трябва да се следва и в случай на загуба на самата карта. Няма опции как да възстановите пин кода на картата в предишния му вид. След като разгледате заявлението в банката, ще ви бъде издадена нова "пластмаса" и нов ПИН код. В този случай номерът на сметката няма да се промени, а останалите пари ще бъдат преведени на получената карта.
Как да отключите картата след въвеждане на грешен пин код
Ако при теглене на пари през банкомат ПИН кодът на картата е въведен неправилно 3 пъти, картата автоматично се блокира. Можете да премахнете блокирането, като се обадите в кол центъра на банката и назовете кодовата дума, която сте договорили с банковия служител по време на отваряне на картата.
Правила за използване и съхранение на пин код
За да сведете до минимум появата на проблемни ситуации и измамниците не са намерили начин да разберат ПИН кода на картата, на която се съхраняват вашите пари, трябва да използвате следните съвети:
- Съхранявайте ПИН кода в паметта или записан в кодирана форма, разбираема само за вас.
- Не пишете код на гърба на картата.
- Не оставяйте картата извън погледа, не позволявайте на сервитьора или касиера да си тръгне с нея. Запомнете: никой не трябва да знае пин кода на банкова карта.
- Не прехвърляйте данни за пластмасова карта, ПИН код по телефона.
- Винаги носете със себе си записан номер на картата и обслужващата банка.
- Когато теглите пари от банкомат, проверете за видеокамери, които могат да ви снимат отзад или отстрани. По правило банкоматът е оборудван само с една камера, разположена в същата равнина като екрана.
Токените, електронните ключове за достъп до важна информация, стават все по-популярни в Русия. Токенът вече е не само средство за удостоверяване в операционната система на компютъра, но и удобно устройство за съхраняване и представяне на лична информация: ключове за криптиране, сертификати, лицензи, сертификати. Токените са по-надеждни от стандартната двойка „влизане / парола“ поради механизма за двуфакторна идентификация: това означава, че потребителят трябва не само да разполага с носител на информация (самия токен), но и да знае ПИН кода.
Има три основни фактора на формата, в които се издават токени: USB токен, смарт карта и ключодържател. PIN сигурността най-често се намира в USB токените, въпреки че последните USB токени се предлагат с възможност за RFID етикет и LCD дисплей за генериране на еднократни пароли.
Нека се спрем по-подробно на принципите на функциониране на токени с ПИН код. ПИН кодът е специално зададена парола, която разделя процедурата за удостоверяване на два етапа: прикачване на токен към компютър и въвеждане на действителния ПИН код.
Най-популярните модели токени на съвременния руски електронен пазар са Rutoken, eToken от компанията Aladdin и електронен ключ от компанията Aktiv. Нека разгледаме най-често задаваните въпроси относно ПИН кодовете на токени, използвайки примера на токени от тези производители.
1. Какъв е PIN кодът по подразбиране?
Таблицата по-долу предоставя информация относно ПИН кодовете по подразбиране за токени Rutoken и eToken. Паролата по подразбиране е различна за различните нива на собственик.
| Собственик | Потребител | Администратор |
| Рутокен | 12345678 | 87654321 |
| eToken |
1234567890 | По подразбиране не е зададена администраторска парола. Може да се настрои чрез контролния панел само за моделите eToken PRO, eToken NG-FLASH, eToken NG-OTP. |
| JaCarta PKI | 11111111 | 00000000 |
| JaCarta GOST | Не е зададено | 1234567890 |
| JaCarta PKI/GOST |
За PKI функционалност: 11111111
Когато използвате JaCarta PKI с опция "Обратно съвместим" - PIN - 1234567890 За GOST функционалност:ПИН кодът не е зададен |
За PKI функционалност: 00000000
При използване на JaCarta PKI с опция "Обратно съвместим" - ПИН кодът не е зададен За GOST функционалност: 1234567890 |
| JaCarta PKI/GOST/SE |
За PKI функционалност: 11111111
За GOST функционалност: 0987654321 |
За PKI функционалност: 00000000
За GOST функционалност: 1234567890 |
| JaCarta PKI/BIO | 11111111 | 00000000 |
| JaCarta PKI/Flash | 11111111 | 00000000 |
| ESMART Токен | 12345678 | 12345678 |
| IDPrime карта | 0000 | 48 нули |
2. Трябва ли да променя ПИН кода по подразбиране? Ако е така, в кой момент от работата с токена?
3. Какво трябва да направя, ако ПИН кодовете на токена са неизвестни и ПИН кодът по подразбиране вече е нулиран?
Единственият изход е напълно да изчистите (форматирате) жетона.
4. Какво трябва да направя, ако ПИН кодът на потребителя е блокиран?
Можете да отключите потребителския ПИН през контролния панел на токена. За да извършите тази операция, трябва да знаете ПИН кода на администратора.
5. Какво трябва да направя, ако ПИН кодът на администратора е блокиран?
Не можете да отключите PIN на администратора. Единственият изход е напълно да изчистите (форматирате) жетона.
6. Какви мерки за сигурност са предприели производителите, за да намалят риска от отгатване на парола?
Основните точки на политиката за сигурност за ПИН-кодове на USB-токени на компаниите Aladdin и Active са представени в таблицата по-долу. След като анализираме данните в таблицата, можем да заключим, че eToken вероятно ще има по-сигурен ПИН код. Rutoken, въпреки че ви позволява да зададете парола само от един знак, което е опасно, в други отношения не е по-нисък от продукта Aladdin.
| Параметър | eToken | Рутокен |
| Минимална дължина на ПИН кода | 4 | 1 |
|
Състав на ЕГН |
Букви, цифри, специални знаци | Цифри, букви от латинската азбука |
| По-голямо или равно на 7 | До 16 | |
|
Администриране на сигурността на PIN |
Яжте | Яжте |
| Яжте | Яжте |
Важността на запазването на ПИН кода в тайна е известна на всички, които използват токени за лични цели, съхраняват електронния си подпис върху него, доверяват на електронния ключ информация не само от лично естество, но и детайли от своите бизнес проекти. Токените на компаниите Aladdin и Active имат предварително инсталирани защитни свойства и, заедно с определена степен на предпазливост, която ще бъде взета от потребителя, намаляват до минимум риска от отгатване на парола.
Софтуерните продукти Rutoken и eToken са представени в различни конфигурации и форм фактори. Предложеният диапазон ще ви позволи да изберете точно модела на токена, който най-добре отговаря на вашите изисквания, независимо дали
Някога използването на пластмасови карти беше "ново" за руската публика. Недоверието постепенно отстъпи място на признанието за максимален комфорт. Мнозина дори отказаха да държат голяма сума в брой и предпочитат да използват пластмасови карти навсякъде. При един човек техният брой много често може да надхвърли едно или две и дори да достигне пет или дори повече. Но как да не се объркате в пин кодовете от кредитни карти и да не ги объркате един с друг? С приложението PIN Master можете безопасно да съхранявате пароли от различни карти и да не държите всички тези номера в главата си.
Средният потребител на мобилно устройство обикновено записва всички пароли от картите си в Notes. Това е най-разпространеният метод, но и най-опасният. От една страна, винаги можете да получите бърз достъп до пароли (в края на краищата, iPhone винаги е под ръка), от друга страна, попадането на мобилен телефон в неподходящи ръце може да има, знаете ли, какви последствия. Идеалният вариант е приложението PIN Master! Сега ще разберете защо...
Накратко, приложението PIN Master е надеждно, сигурно, персонализирано, красиво и най-важното - безплатно! В приложението можете да съхранявате неограничен брой пин кодове от вашите пластмасови карти и нито едно извънземно око няма да може да разбере вашата комбинация за криптиране.
Като добавите нова карта и й дадете лично име, ще видите голямо поле, изпълнено с числа в произволен ред. Първото впечатление е как да запомните и подредите паролата си сред толкова много числа? Но е измамно...
За себе си избирате определена комбинация от маркираните числа и например поставяте паролата си под тях, вътре и т.н. Като най-прост пример, можете да подредите четири подчертани числа в един ред на един от редовете и да запомните, че вашият пин код е точно под тях. Ако главата ви е в състояние да запомни по-сложни комбинации, включете въображението си и измислете. Но дори и най-простото решение ще постави вашата парола под защита.
Много е лесно да персонализирате цифровото поле. Всеки номер може да бъде маркиран или променен с просто докосване или продължително докосване. Катинарът може да блокира по-нататъшни промени. Невъзможно е да изберете комбинация, защото само вие знаете ключа към картината. В резултат на това, когато плащате с кредитна карта в магазин, теглите банкноти на банкомат, винаги имате достъп с едно щракване до паролите на вашата карта под ръка.
Значително предимство на приложението PIN Master е неговата цена. Приложението е абсолютно безплатно, не съдържа покупки в приложението и рекламни банери, като същевременно има много красив минималистичен дизайн. Примитивните аналози за съхранение на пароли като правило се заплащат или не гарантират висока степен на защита. И така, какво да очаквате… Спрете да записвате пароли навсякъде или ги пазете в главата си. Използвайте отличното решение на проблема - приложението PIN Master!
Добър ден. Измислям как сигурно да съхранявам информация в моето приложение за Android и се натъкнах на интересен момент: може ли ПИН кодът за влизане в приложение (направено от мен) да се счита за достатъчна защита?
Да предположим, че нападателят има физически достъп до устройството (добре, той го е откраднал, защо не? защо не сценарий на атака?). В най-простия случай, ако разработчикът не е помислил за сигурността на съхранението на данни, можете или просто да отворите приложението и да получите достъп до цялата информация, която е интересна за нападателя, или да обедините DB файла (например sqlite) и да извлечете всички данни, като го отворите. от това произтичат следните изводи:
1. Изисква се защита за влизане в приложението (ПИН код или парола)
2. Необходимо е всички данни да се съхраняват в криптирана форма.
Идеята е проста - потребителят има определен, даден от него, главен ключ, който криптира цялата информация (DB). Ключът е голям и дълъг и за да не се налага потребителят да го въвежда всеки път, когато влиза в приложението, въвеждаме нов обект - ПИН код за влизане в приложението (4-цифрен код). Самият главен ключ се съхранява на същото устройство в криптиран вид, а ключът е ПИН код (по-точно негова производна. Например MD5 хеш). В този случай всичко изглежда много безопасно, нали? Но ако се замислите, симулирайте ситуацията. тогава всичко става много по-тъжно.
Да приемем, че нападател е откраднал устройството на жертвата и е изтекла базата данни на криптираното приложение. Освен това нападателят може да използва банална груба сила (10 ^ 4 комбинации - дреболия), за да премине през всички възможни опции за ПИН код, докато намери правилния. За да направите това, трябва да знаете алгоритъма на приложението, което не е съществен проблем. Едно от правилата за информационна сигурност гласи: не може да се счита за сигурна система, чиято цялостна защита се крие в тайната на защитния механизъм (перефразиран със собствени думи за съответния случай). Не е трудно да научите метода на защита. Освен това, ако процедурата за дешифриране на базата данни произведе дори пълен боклук, достатъчно е атакуващият да отвори копие на базата данни с известен ПИН код (постави приложението на устройството си, зададе ПИН, попълни данните, отвори базата данни) и намери структурата за съхранение на данни или по-скоро подписа на данните (Например JSON - (_id: x, име: "xxxx") и стартира всички опции за декриптиране чрез просто търсене на подпис (дори обикновен регулярен израз ще свърши работа). И тогава получаваме :
1. Цялата "защитена" и "частна" потребителска информация
2. Съзнателно правилен ПИН за влизане в приложението.
И не знам кое е по-лошо. Да приемем, че приложението за банката-клиент е защитено по този начин. В този случай, знаейки ПИН кода за влизане в приложението и имайки физически достъп до устройството, не е трудно за нападателя да прехвърли всички средства на потребителя към себе си (ПИН кодът е известен, SMS ще дойде на това устройство).
Това води до заключението: ако цялата защита се основава на ПИН код (уязвим на груба сила) и е възможно груба сила, защитата е безполезна. Но в същото време всички банкови приложения използват този (или подобен) защитен механизъм.
Оттук и въпросът:
1. Наистина ли е толкова лошо и не можете да се доверите на подобни приложения?
2. Възможно ли е да се разработи нормална, устойчива на хакове система, използваща ПИН код за въвеждане (не графичен ключ и пръстов отпечатък, а кратък и лесно сортиран код)? Ако е така, как?
З.Й. Сигурен съм, че не знам нещо важно и това затруднява разбирането на въпроса.
Като цяло проблемът изглежда неразрешим. защото има "черна кутия" - нашето приложение, инсталирано на устройството. За да получите всички данни, трябва да знаете само четирицифрен ПИН код и той се форсира веднага. Смята се, че като има устройство под ръка, нападателят може да извлече всякакви данни от там. И оттук въпросът - вярно ли е последното твърдение? Може би има някакво супер сигурно хранилище за Android? Съхраняват се локално на устройството и са достатъчно трудни за хакване? Ако приложението ще има достъп до там - напишете ключа там и проблемът е решен. Но какво е това мистериозно място?
И така, намерих. Всичко е достатъчно ясно. Изводът е прост - трябва да съхранявате ключовете в KeyStore, но това не е спасение, ако устройството е руутнато. Трябва да проверите дали устройството е руутнато и да предупредите потребителя. НО! Доколкото разбирам, е възможно да се руутне устройството без загуба на данни, което означава, че атакуващият може да руутне устройството, като запази всички данни и избере KeyStore. неприятности.
Но ако не навлизате в проблема с руутването, тогава решението е следното: ПИН кодът се използва за влизане в приложението и приложението изтегля ключа, генериран при първото стартиране на приложението, от KeyStore и дешифрира базата данни с него. В същото време не записва декриптираните данни на несигурно място (това често се използва за увеличаване на скоростта на приложението, вид кеширане на данни), т.к. тези данни могат да бъдат изтеглени без проблеми.
Сега е ясно защо много банкови приложения не работят на руутнати устройства. Но това не решава проблема с руутването без загуба на данни. Тези. да кажем, че нападател е откраднал неруутнатото ми устройство, руутнал го е, изтеглил е ключа за приложението на банковия клиент от KeyStore и е изтеглил данните ми. В същото време, за да проверите правилността на ПИН кода, е необходимо да съхранявате неговия хеш някъде (криптиран, солиран - какво от това? И солта за криптиране и паролата са в KeyStore, вече достъпен за нападателя). Така чрез груба сила можете да изберете ПИН за влизане в приложението, да влезете в приложението и да прехвърлите всички средства. Премахнете всички банкови приложения или какво?))
Видове заеми, издадени от OTP Bank OJSC
Стабилността и надеждността на банката
Анулиране на застраховка на заем: инструкции стъпка по стъпка
Най-добрите банки, където можете да получите заем по паспорт Sovcombank - заем без сертификати и поръчители
Забравих паролата от картата на Сбербанк