Pincode op de pinpas

Een opmerking die altijd terugkeert in discussies over skimmen, is dat er mensen zijn die beweren dat je pincode gewoon op de magnetische strip van de pas zelf staat. En dan zijn er ook altijd mensen die beweren dat dit niet waar is.

Over dit onderwerp is erg weinig publiekelijk bekend. Voor zover ik weet geeft alleen de uitzending „ARD Ratgeber: Technik” van 26 maart 2000 het juiste antwoord. De informatie uit die uitzending is bijna van internet verwijderd – maar bijna is niet helemaal.

Black Box

In de uitzending werd uitgelegd dat in de beginjaren van de pinpas de datacommunicatie bepaald nog niet op het huidige niveau was. En banken waren er bepaald niet aan gewend om in het weekend geopend te zijn. Daarom werd besloten om in elke geldautomaat een zogeheten „black box” in te bouwen, die kon zorgen voor het controleren van een pincode puur op basis van de gegevens die van de pinpas zelf gelezen werden. Dit voor het geval er geen communicatie met de bank van de pashouder mogelijk was, bijvoorbeeld bij gastgebruik in het weekend.

Drie keer

Daarom werd de pincode dus in de magneetstrip op de kaart zelf gezet.

Wel in versleutelde vorm natuurlijk. Maar de banken waren bang dat de versleuteling „gekraakt” zou worden. Want in dat geval zouden ze misschien wel alle pinpassen in Europa moeten vervangen. Voor de zekerheid kozen ze er daarom voor om de pincode 3 keer op de pas te schrijven, met 3 verschillende sleutels.

De redenering daarachter was dat in het geval criminelen één sleutel zouden achterhalen, bijvoorbeeld door hem te isoleren uit een buitgemaakte black box, de banken snel op de volgende versleuteling konden overschakelen. Meteen als iemand zijn pas in de geldautomaat stopt, wordt de pincode met de gekraakte versleuteling door de automaat gewist en zo zouden heel snel alle passen weer veilig zijn.

Slordigheidsfout

Dat idee was een cruciale fout. Want juist door deze redundantie, in combinatie met een andere beslissingsfout, was uit de gegevens die op de kaart zelf staan redelijk gemakkelijk (zelfs met de computers van die tijd) te berekenen wat de 3 meest waarschijnlijke pincodes van die pas zijn.

Die andere fout was dat in de door de bank verzonnen pincodes niet alle cijfers even vaak gebruikt worden. Zo begint bijvoorbeeld ongeveer een kwart van alle destijds uitgegeven pincodes met het cijfer „1”.

Artikel

Zie de Duitstalige korte samenvatting van het item in de uitzending (met dank aan archive.org).

In het document Probability Theory for Pickpockets–ec-PIN Guessing beschrijft Markus G. Kuhn hoe de methode die tussen 1981 en 1997 werd toegepast door Duitse banken wiskundig gezien werkt.

Nu

Tegenwoordig moeten criminelen weten welke pincode je intoetst, als ze de magneetstrook van je pasje geskimd hebben. De gemakkelijkste oplossing die ze daarvoor hebben is door een filmpje te maken van je handen: videocamera’s zijn tegenwoordig ontzettend klein. Maar hier kan je je gemakkelijk tegen beschermen door je andere hand boven de toetsen te houden.

Een meer geavanceerde manier is door betaalautomaten te manipuleren; de echte automaten worden ‘s nachts omwisseld door gemanipuleerde apparaten. Dit gebeurt in bouwmarkten en tuincentra. Verder worden er speciale toetsenbordjes gemaakt die skimmers op een bestaand toetsenbord plakken speciaal om de pincode „af te luisteren”.

– updates –

Vertel jouw mening

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s