Ist das VISA Kartensystem sicher ?
Eigentlich wollte ich mit meinem
Schreiben vom 29. Februar 2004 die PIN meiner
VISA-Karte sicherheitshalber sperren
lassen, nachdem mir 2001 über 2.000 DM
von zwei VISA-Karten mit PIN Eingabe
gestohlen wurden. Auf mein Schreiben mit
der Bitte um Sperrung der PIN erhielt
ich die Antwort, daß dies
"systemtechnisch nicht möglich" sei. Als
ich weiterhin auf Sperrung der PIN
bestand, bekam ich schließlich einen
Anruf, in dem mir mitgeteilt wurde, ich
solle 3x eine falsche PIN eingeben, dann
sei diese gesperrt. Als ich dann zum
Geldautomaten ging und statt der
richtigen PIN "9298" eine falsche PIN
"5000" eingab, kamen 500 € aus dem
Automaten. Ich glaubte meinen Augen
nicht zu trauen und dachte natürlich,
daß es sich um einen einmaligen Fehler
handelt. Am nächsten Tag ging ich dann
nochmal mit einer Videokamera zum
Automaten und filmte die nächste
Abhebung mit der falschen PIN "5000" und
bekam wiederum anstandslos 500 € mit
einer falschen PIN. 2200 € konnte ich
insgesamt mit einer falschen PIN abheben
(danach hatte ich keine Lust mehr und
auch alles auf Video festgehalten). Das VISA System hat davon nichts bemerkt, d.h. es wurde keine Falscheingabe festgestellt.
Nach einiger Recherche und Austausch
mit Mike Bond von der Cambridge
University, fand ich heraus, daß bei den
Abhebungen nicht die PIN direkt mit der
im Zentralrechner gespeicherten PIN
abgeglichen wird, sondern ein
sogenannter "PIN Verification Value"
(PVV). Das heißt die 4-stellige PIN, die
am Geldautomaten eingegeben wird, wird
in einen 4-stelligen PVV umgerechnet und
dieser mit dem im Zentralrechner
gespeicherten PVV verglichen.
Mathematisch läßt sich sehr einfach und
präzise nachweisen, daß deshalb
2/3 aller Kreditkarten 2 oder mehr
gültige PINs haben. WOW ! Und
es geht noch weiter: 0,5% aller
Kreditkarten haben sogar 5 oder mehr
valide PINs. Details hierzu gibt es in
diesem Dokument von Mike Bond:
http://www.cl.cam.ac.uk/~mkb23/research/Enc-Rand-Comp.pdf
VISA ist trotzdem der Meinung, dass das System nicht unsicher ist. Die kartenausgebende Bank bezieht wie folgt Stellung: "Dennoch kann es grundsätzlich vorkommen, dass eine weitere als die dem Karteninhaber kommunizierte PIN bei der Verifizierung durch VISA das gleiche mathematische Ergebnis liefert, das auch durch die Eingabe der "richtigen" PIN erzielt worden wäre. Allerdings ist der Quotient aus der Möglichkeit einer weiteren möglichen PIN und der Chance, zufällig diese weitere PIN einzugeben, so hoch, dass dieser Umstand von der Kartenindustrie nicht als Sicherheitsrisiko eingeschätzt wird." Mir ist 2004 genau das passiert. Es ist genau der Fall eingetreten, der von der Kartenindustrie nicht als Sicherheitsrisiko eingeschätzt wird. Ich habe auf Anhieb eine "weitere mögliche PIN geraten.
Was meinen Sie dazu ? Brauchen Sie Material für einen Prozeß ?
Schreiben Sie mir: thomas.opel.home@freenet.de
