Identische PIN bei Wechsel von VISA zu Mastercard – wie geht das ?

Vor einiger Zeit hat mein Kreditkartenvertragspartner vom VISA-Kartensystem zu Mastercard umgestellt. Und nachdem man jetzt immer öfter die PIN zum Bezahlen braucht (Risiko !) statt bisher nur der Unterschrift, musste ich den PIN Brief der neuen Kreditkarte von Mastercard öffnen um die Karte weiter nutzen zu können. Mit Erstaunen stellte ich fest, daß die PIN der früheren VISA-Karte und die neue PIN der Mastercard identisch sind. Wie funktioniert das ? Es handelt sich ja um zwei unterschiedliche, noch dazu konkurrierende Kreditkartenanbieter mit angeblich unterschiedlichen Sicherheitssystemen, bei denen die PINs sicher wie in Fort Know VERSCHLÜSSELT aufbewahrt werden und niemand an  diese gelangen kann. Wenn man die PIN vergessen hat, muss man sogar eine neue Karte beantragen, da die PIN nicht extrahiert werden kann. Und bei Transaktionen wird ja auch nicht die tatsächliche PIN abgeglichen, sondern z.B. bei VISA ein sogenannter PVV (PIN Verification Value), den der Geldautomat generiert und auch der Bankenrechner von VISA generiert diesen und dann wird der PVV verglichen (deswegen gibt es auch mehrere valide PINs für eine Karte !, vgl. http://www.kreditkartendiebe.de/2011/03/lotto-mit-der-kreditkarten-pin-ziehen-die-richtige-falsche-pin/). Wie also ist es möglich, daß ich bei beiden Kreditkartenanbietern, VISA und Mastercard, die gleiche PIN habe ?

Variante 1: VISA hat die PINs aller Kunden des Kreditkartenvertragspartners aus dem supersicheren Zentralrechner extrahiert und entschlüsselt, dann wieder mit einem anderen Schlüssel verschlüsselt und an Mastercard übergeben. Separat wurde dann auch noch der Schlüssel an Mastercard transferiert.

Variante 2: VISA hat Mastercard Zugriff auf den supersicheren VISA Zentralrechner und ihnen dazu auch gleich noch den Schlüssel gegeben. Das halte ich für eher unwahrscheinlich.

Variante 3: VISA und Mastercard haben ein einziges Sicherheitssystem und es war überhaupt keine Übertragung von PINs von einem System zum anderen erforderlich. Das wäre natürlich auch ein Highlight 😉

Wahrscheinlich gibt es noch mehr Varianten und ich würde mich über Blogbeiträge / Kommentare hierzu freuen. Am naheliegendsten finde ich Variante 1. Verwunderlich ist dabei, daß die PINs als solche überhaupt extrahiert werden können, was ja angeblich nicht der Fall ist und im Normalfall auch nicht erforderlich, da ja nicht die PIN, sondern der PVV bei Transaktionen verglichen wird. Angeblich ist die PIN ja ausschließlich dem Kunden bekannt, der diese einmalig in seinem PIN Brief mitgeteilt bekommt. Aber wenn die PIN für den PIN Brief im Klartext extrahiert werden kann, dann mit Sicherheit auch für eine solche Übertragung von einem Kreditkartensystem zum anderen. Und wenn das in einem solchen Fall möglich ist, ist es sicherlich auch möglich „in anderen Fällen“ die PIN zu extrahieren (vgl. http://www.kreditkartendiebe.de/2010/12/bargeldabhebungen-vom-automaten-obwohl-pin-brief-noch-verschlossen/) – Voila !

Das ist wieder so ein Punkt, der mich an dem Sicherheitssystemen der Kreditkartenanbieter VISA und Mastercard und an deren Marketingstorys, wie sicher doch ihre Systeme sind, zweifeln lässt.

4 Kommentare

  1. Hallo,

    ich kann schon seit 2010 die ersten 3 Pin Nummern einer EC- Karte ausrechnen.Alles was ich dazu brauche ist ein Kassenzettel wo mit der Karte bezahlt wurde.Am einfachsten von Netto oder Elf-Tankstellen.Die 4 Nummer zu finden ist nur eine Frage der Zeit.Aber ich habe nach der 3 Zahl das Interesse daran verloren.Reicht ja auch zu wenn ich weiß wie es geht.Gebe da aber mal ein Tipp:Schauen Sie sich die Zahlencodes genau an.!!!

    Ich meine damit das alles berechenbar ist was auf Mathematischer Form vorhanden ist.

    MfG

  2. und wie erklärst du dann, das man sich bei diversen Banken den Pin selbst aussuchen kann?

    Gruß

  3. @Lenny: ich nehme an, daß Du Dich auf meinen ursprünglichen Post beziehst … Die PIN kann man sich insofern selbst aussuchen, als daß man eine vorgegebene PIN ändern kann. Die Bank ist da nicht involviert.

  4. Als mein Hausbank vor ca. 2 Jahren die Girocard/Maestro Karte auf die Girocard/VPay Karte umstellte blieb auch hier der PIN gleich. Telefonisch erklärte man mir, dass dieses Verfahren mit den Herausgebern Mastercard und Visa abgestimmt sei.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.