Czy PIN jest bezpieczny w systemach bankowych?

Przestępcy stosują różnorodne metody zdobywania kodów: od kamer, które podglądają wpisywany ciąg liczb, po fałszywe klawiatury bankomatów. Podstawowym sposobem obrony przed tego rodzaju przestępczością jest ukrywanie wpisywanego kodu oraz daleko posunięta ostrożność. Powinna ona zapewnić posiadaczom kart pełne bezpieczeństwo przy bankomacie.

Bankomat przerobiony przez skimmerów

Jednak bezpieczeństwo kodu PIN to nie tylko problem posiadacza karty, bowiem kod ten jest przechowywany także w systemie banku, który kartę wydał. Jest także przesyłany w zakodowanej formie za każdym razem, gdy dokonujemy transakcji naszą kartą. Warto wiec zapytać, czy jest to bezpieczne i czy jako klienci możemy mieć do banków zaufanie, że prawidłowo chronią tak ważne dla nas dane?

PIN we własnej osobie

Kod PIN jest tak naprawdę kluczem do naszych pieniędzy zdeponowanych w banku. Jego znajomość pozwala bowiem na pobieranie gotówki przy wykorzystaniu naszej karty płatniczej. Zważywszy na wady technologii paska magnetycznego i łatwość kopiowania kart, kod PIN jest obecnie główną barierą chroniącą zdeponowane przez nas w banku pieniądze.

Kod PIN w przeciągu ostatnich kilkudziesięciu lat zrobił ogromną karierę. Obecnie tego rodzaju kody są stosowane szeroko poza bankowością. Stosuje je większość usługodawców, którzy kontaktują się ze swoimi klientami na odległość. Kody tego rodzaju są także powszechnie stosowane w bankowości internetowej.

Kod PIN karty płatniczej zazwyczaj składa się z czterech cyfr. Jest to zasada stosowana w większości krajów świata i we wszystkich organizacjach płatniczych. Są jednak wyjątki od niej w miejscach, gdzie ze względów bezpieczeństwa stosuje się dłuższe kody. Należy dodać, że większość systemów organizacji płatniczych, centrów rozliczeniowych i banków jest przystosowana do korzystania w razie potrzeby z dłuższych kodów PIN. I tak, od 1 kwietnia 2004 roku wszystkie nowe karty wydawane i wznawiane w Korei Południowej będą posiadały sześciocyfrowy kod. Kod taki, według przedstawicieli koreańskich władz ma być trudniejszy do podpatrzenia przez przestępców.

Jak rodzi się PIN?

W przypadku 4 cyfr kodu istnieje 10.000 jego kombinacji, zaś w przypadku 6 cyfr już 1.000.000. Trzeba jednak pamiętać, że jeśli PIN jest generowany przez bank, to najczęściej eliminuje on jego proste kombinacje np. 1234 lub składające się tylko z jednej cyfry. Dodatkowo naukowcy oceniają, że zważywszy na losowość doboru kodu, w przypadku zgadywania większej ilości PINów, na odgadnięcie jednego potrzeba około 5.000 prób.

Wielu użytkowników kart zadaje sobie pytanie, skąd bierze się ich kod PIN. Jak jest on przez bank generowany i czy istnieje jakiś związek miedzy kodem a numerem karty czy rachunku bankowego?

Obecnie stosowane metody generowania PINu dają bardzo wysoki poziom losowości i nie ma jakiegokolwiek powiązania pomiędzy numerem rachunku czy inną liczbą, a kodem PIN. Wydaje się jednak, że najwyższy poziom bezpieczeństwa zapewniają te banki, które pozwalają na indywidualne ustalenie kodu przez klienta. To jest z punktu widzenia systemu bankowego dużo bezpieczniejsze, choć jednocześnie nakłada dodatkową odpowiedzialność na klienta. Może on bowiem wybrać łatwy do zapamiętania kod np. 1234 lub 1111, albo też posiadać jeden kod PIN do wielu kart. Jeśli jednak klient należycie chroni PIN, to daje to pełną gwarancję jego bezpieczeństwa.

Jak banki przechowują PIN?

Kod PIN nigdy nie jest przekazywany w systemach bankowych w postaci otwartej - ani w momencie swojego generowania, ani później. Także drukowanie wysyłanego klientowi kodu odbywa się z zachowaniem standardów wykluczających jego ujawnienie.

Taka konstrukcja mechanizmu przechowywania kodu PIN daje gwarancję jego pełnego bezpieczeństwa. I nie dotyczy to tylko prób ingerencji w system banku od zewnątrz, ale także ingerencji wewnętrznej, dokonywanej np. przez współpracującego z przestępcami pracownika banku.

W systemie bankowym kod zawsze pozostaje w postaci zakodowanej. Kiedy PIN zostaje wprowadzony przez klienta w bankomacie lub terminalu POS, także zostaje natychmiast zakodowany i jest porównywany z zakodowanym kodem w systemie. Bezpieczeństwo kodu w dużej mierze jest zatem zależne od algorytmów stosowanych do jego szyfrowania.

DES

Algorytm, którym bankomaty szyfrują przesyłany do banku kod PIN nazywa się Triple DES (3DES). Jest to unowocześniona wersja algorytmu DES. DES został stworzony przez firmę IBM w połowie lat 70-tych, a w 1981 roku został zaaprobowany przez American National Standards Institute (ANSI). Od tego czasu był powszechnie używany w bankomatach.

DES jest systemem kodowania symetrycznego, tzn. do zakodowania i dekodowania informacji wykorzystywany jest ten sam klucz. W przypadku DES klucz jest 56-bitowy, co oznacza występowanie aż 72,000,000,000,000,000 możliwości klucza szyfrującego. Aby złamać szyfr należy wypróbować wszystkie możliwe kombinacje tego klucza. W latach 70-tych, gdy powstawał DES wydawało się, że przez bardzo długi okres pozostanie on niemożliwy do złamania. A jednak w drugiej połowie lat 90-tych to, co miało być niemożliwe, stało się faktem. W roku 1998 grupa Electronic Frontier Foundation dokonała złamania szyfru DES w przeciągu mniej niż 72 h, przy wykorzystaniu specjalnego komputera o ogromnej mocy obliczeniowej zbudowanego za kwotę około 250 tysięcy dolarów. Rok później grupa Distributed.Net, korzystając ze stworzonej w Internecie sieci rozproszonej zbudowanej ze 100 tysięcy komputerów PC dokonała tego samego zadania w 22 h i 15 minut. W 2001 roku naukowcy Michael Bond i Richard Clayton z Cambridge University przedstawili model pozwalający na złamanie DES w czasie mniej niż 10 h.

3DES

Na informacje o możliwości łatwego złamania algorytmu DES bardzo szybko zareagowały organizacje płatnicze. MasterCard wprowadził regulację wymagającą by wszystkie bankomaty przyjmujące karty tej organizacji kodowały PIN z wykorzystaniem algorytmu Triple DES. Bankomaty musialy zostać przystosowane do korzystania z Triple DES przed 1 kwietnia 2004 roku, natomiast nowo instalowane bankomaty miały być wyposażone w obsługę 3DES od 2002 roku. Podobne regulacje, w ślad za MasterCard, wprowadziła także Visa.

Triple DES to unowocześniona wersja DES. Działa ona w ten sposób, że kodowanie następuje 3 razy z wykorzystaniem 56-bitowego klucza. Daje to taki sam efekt, jak jednorazowe zastosowanie klucza o długości 168 bitów. O ile złamanie DES może zająć obecnie około 30 h, to sprawdzenie wszystkich kombinacji Triple DES przy zastosowaniu tej samej mocy obliczeniowej zajmie 3,2 x 1018 lat. Nawet biorąc pod uwagę coraz szybszy wzrost mocy obliczeniowej komputerów wydaje się, że Triple DES będzie niemożliwy do złamania jeszcze przez bardzo wiele lat.

3DES daje całkowitą pewność tak zaszyfrowanego PINu, pod warunkiem wszakże, że włamywacze nie wejdą w posiadanie kluczy szyfrujących. W tym celu banki stosują specjalne procedury zabezpieczające, polegające na tym, że żaden pracownik nie ma dostępu do całego klucza. Najczęściej stosuje się metode, w której dwóch pracowników otrzymuje połowę klucza i dopiero zestawienie ich daje pełny klucz. W ten sposób są na przykład instalowane nowe klucze szyfrujące w bankomatach.

Kluczowe klawiatury

Ważne jest także, który element bankomatu szyfruje PIN i czy w urządzaniu jest on przekazywany w formie niezaszyfrowanej. Przez wiele lat sytuacja wyglądała tak, że kod wprowadzany na klawiaturze był przekazywany do innego modułu, który dopiero zajmował się jego zaszyfrowaniem i wysłaniem. Niosło to jednak bardzo duże zagrożenie bezpieczeństwa, z czego nie omieszkali skorzystać przestępcy, którzy umieszczali urządzenia odczytujące PIN wewnątrz bankomatu. Te doświadczenia skłoniły banki, organizacje płatnicze oraz producentów bankomatów do zmiany miejsca szyfrowania kodu PIN. Postanowiono, że powinien on być szyfrowany od razu w klawiaturze służącej do jego wprowadzania, zwanej PIN-padem. W ten sposób stworzono EPP (Encrypting PIN Pad), czyli klawiaturę, która jednocześnie dokonywała szyfrowania PINu i wyeliminowała przekazywanie PINu w formie niezaszyfrowanej. Dodatkowo EPP zostały wyposażone w specjalne zabezpieczenia. W sytuacji, gdyby ktoś próbował dostać się do ich wnętrza albo próbował wydobyć znajdujące się w nich klucze szyfrujące, to urządzenia natychmiast niszczą klucze i nie nadają się więcej do użytku.

Obecnie w EPP są wyposażone wszystkie nowe bankomaty. Są one także sukcesywnie wprowadzane w starszych urządzeniach.

Luki w systemie

Jednak kod PIN nie tylko jest kodowany, ale jest także przetwarzany w obrębie urządzania dokonującego jego szyfrowania. Jednym z rodzajów tego przetwarzania jest decymalizacja, czyli przetworzenie wprowadzonego kodu PIN z wartości szesnastkowych na dziesiętne. Jest to proces, w którym odpowiednie wartości w systemie szesnastkowym zastępują liczby dziesiętne. Poprzedza on zakodowanie PINu.

Naukowcy z Cambridge wykazali w 2003 roku, że w przypadku jednego z bardzo starych systemów kodowania PINu - IBM 3624 - możliwe jest odgadniecie PINu w przypadku dokonania średnio 23 prób jego wprowadzenia. Dzieje się tak, ponieważ dzięki właściwościom procesu decymalizacji możliwe jest najpierw sprawdzanie, z jakich cyfr składa się PIN klienta, a później sprawdzenie wszystkich kombinacji tych cyfr. Oczywiście, aby tego dokonać konieczna jest fizyczna ingerencja do systemu danego banku. Oczywiście jest to model teoretyczny, a ingerencja taka wymagałaby ogromnej wiedzy i możliwości technicznych. Pokazuje jednak, że nawet w epicznym systemie kodowania kodów PIN morgą znaleźć się luki, które mogą być wykorzystywane przez przestępców.

Podsumowanie

Pytanie o bezpieczeństwo kodu PIN jest tak naprawdę pytaniem o bezpieczeństwo naszych pieniędzy przechowywanych w bankach. Czy są one tam należycie chronione?

Na to pytanie należy udzielić zdecydowanie pozytywnej odpowiedzi. Wydaje się, że systemy bankowe chronią w należyty sposób kody PIN, a co za tym idzie nasze pieniądze. Banki na świecie posiadają ponad 30-letnie doświadczenie w ochronie kodu PIN i z tych doświadczeń czerpią także polskie banki. Nawet, jeśli czasem w systemach zdarzają się luki, to są one szybko eliminowane i nie niosą one żadnych zagrożeń dla klientów.

Niestety, nadal "najsłabszym ogniwem" w łańcuchu ochrony kodu pozostają sami klienci. Wielu z nich nie potrafi zapamiętać kodu i przechowują go zapisanego w niezakodowanej formie. Inni zaś padają ofiarą skimmmerów, którzy podglądają wprowadzany przez nich kod. Warto jednak pamiętać, że jeśli zachowamy należytą ostrożność i we właściwy sposób będziemy chronić przed ujawnieniem kody PIN, to nasze pieniądze będą całkowicie bezpieczne.

Karol Żwiruk