[Info] Neue Attacke auf EC-Karten-PINs

Malte_4b1c84 · 7. März 2003 um 19:24

Für den interessierten Leser, die Attacke ist besonders Bankangestellten leicht möglich:

Abstract
We present an attack on hardware security modules used by retail banks for the secure storage and verification of customer PINs in ATM (cash machine) infrastructures. By using adaptive decimalisation tables and guesses, the maximum amount of information is learnt about the true PIN upon each guess. It takes an average of 15 guesses to determine a four digit PIN using this technique, instead of the 5000 guesses intended. In a single 30 minute lunch-break, an attacker can thus discover approximately 7000 PINs rather than 24 with the brute force method. With a £300 withdrawal limit per card, the potential bounty is raised from £7200 to £2.1 million and a single motivated attacker could withdraw £30-50 thousand of this each day. This attack thus presents a serious threat to bank security.

http://www.cl.cam.ac.uk/users/mkb23/research/PIN-Cra…

Gruß,

Doc.

der_halt · 13. März 2003 um 10:53

Hallo,

Für den interessierten Leser, die Attacke ist besonders
Bankangestellten leicht möglich:

Weisst Du zufällig wo es weitere Infos gibt, wie EC-Karten und Smartcards im allgemeinen funktionieren? Der Artikel war etwas zu knapp gehalten.

ciao
ralf

Malte_4b1c84 · 13. März 2003 um 11:37

Hallo,

Für den interessierten Leser, die Attacke ist besonders
Bankangestellten leicht möglich:

Weisst Du zufällig wo es weitere Infos gibt, wie EC-Karten und
Smartcards im allgemeinen funktionieren? Der Artikel war etwas
zu knapp gehalten.

Zunächst mal kann ich Dir nur sagen, daß EC-Karten und SmartCards zwei völlig unterschiedliche Dinge sind… Zu beiden hab ich akut nichts parat, zu SmartCards könnte ich allerdings reichlich Material organisieren, denke ich, das ist Hauptforschungsschwerpunkt an unserem Lehrstuhl. EC-Karten kann ich auch mal nach fragen, weiß ich aber nicht, ob das auch bei uns bearbeitet wird.

Gruß,

Doc.