Domanda:
Perché gli sportelli automatici accettano qualsiasi PIN?
Andrew Savinykh
2014-07-01 13:52:22 UTC
view on stackexchange narkive permalink

L'altro giorno ho provato a prelevare in fretta del denaro contante da un bancomat e ho inserito uno spillo sbagliato. L'ho capito solo quando ho premuto il pulsante "ok", ma con mia grande sorpresa il bancomat non si è lamentato. Mostrava il solito menu, chiedendomi di selezionare un'operazione. È solo quando ho selezionato il ritiro mi è stato chiesto che il pin non fosse corretto e mi è stato chiesto di rientrare. Cosa che ho fatto e ho ricevuto il denaro.

Perché gli sportelli automatici consentono di inserire qualsiasi immondizia per un PIN, selezionare un'operazione e solo successivamente reclamare?

MODIFICA : per aggiungere ulteriori informazioni su alcuni punti discussi nelle risposte e nei commenti: il paese in cui ciò è avvenuto è la Nuova Zelanda. La carta è una carta con chip che ha anche una banda magnetica e non ho idea se il bancomat possa leggere il chip o meno.

Dipende dal tuo paese: in alcuni paesi (USA ad esempio), il bancomat legge solo la banda magnetica della carta, mentre in altri si autentica realmente con il chip. Se usa il chip, ha bisogno del pin corretto. A volte puoi ottenere un suggerimento osservando il comportamento del bancomat: se sputa indietro la tua carta prima di chiedere il pin, allora non userà il chip.
@Verron: Sarei molto sorpreso se sputasse la carta prima di inserire il PIN (di sicuro non lo fanno qui!). Uno dei "compiti" che un bancomat deve svolgere è confiscare la carta se non si inserisce il PIN corretto per 3 volte. Cosa che, ovviamente, non può fare se ti restituisce la carta prima di chiederti.
@Damon Tutti gli sportelli automatici che ho usato qui (Chicago, USA) negli ultimi anni sono stati il ​​tipo in cui lo inserisci, quindi esegue la scansione mentre estrai la carta, quindi inserisci il PIN. Ne avevamo di quelli che contenevano la tua carta (anche se non conosco la funzione di confisca), fino a circa 4-5 anni fa, quando ricordo di aver usato per l'ultima volta il vecchio tipo.
In India si ottengono entrambi i tipi. In uno si inserisce la carta e si fanno tutte le operazioni. Con l'altro tipo inserisci, rimuovi, quindi inserisci il PIN e prosegui fino a 1 operazione. Per un'altra operazione, dovrai inserire di nuovo e ripetere il processo.
@Damon: Ho visto alcuni bancomat sputare la carta prima di richiedere il pin negli Stati Uniti. Immagino che non sia necessario confiscare la carta se tutte le verifiche avvengono da parte della banca ...
@T.Verron: Per quanto riguarda la banca e i grandi negozi, sì. Ma molti piccoli negozi (almeno in UE) hanno ancora un sistema di note di addebito in cui è necessario presentare la carta e il segno. Che ovviamente funziona perfettamente con una carta rubata e senza PIN (io uso il mio sempre in questo modo poiché non ricordavo il PIN quando la banca lo ha cambiato senza motivo e la banca addebita 15 € per l'invio della lettera del PIN di nuovo, che trovo scandaloso). Questa è una probabile ragione per cui gli sportelli automatici dovrebbero confiscarli, non _tutte_ le verifiche vengono _sempre_ svolte dalla banca.
@Damon Ah davvero, sì. Ma nulla ti impedisce di eseguire le stesse truffe se non presenti mai la carta rubata a un bancomat.
Questo sarà per l'esperienza dell'utente; l'utente ottiene il menu di primo livello senza il round trip dell'autenticazione con il mainframe. Dopo aver inserito la richiesta, l'ATM raggruppa la richiesta di autenticazione con la transazione, quindi nella maggior parte dei casi di utilizzo viene eseguito un solo round trip.
Mainframe @Gaius,? Sei sicuro che non sia qualcosa di 1970x?
Ciò solleva la domanda, perché il bancomat chiede anche il PIN prima che venga eseguita una transazione.Tutte le macchine che di solito incontro in Germania chiedono il PIN solo se vogliono accedere al mio account per qualsiasi cosa.(E questo dovrebbe essere possibile indipendentemente dal sistema utilizzato, chip, stripe o altro)
Otto risposte:
user19426
2014-07-01 14:09:53 UTC
view on stackexchange narkive permalink

Questa risposta si applica quando il bancomat utilizza la banda magnetica della carta, non quando viene utilizzato il chip della carta.

La tastiera di un bancomat è un dispositivo completamente separato con speciali caratteristiche di sicurezza hardware (come l'autodistruzione chip se qualcuno cerca di aprirlo, ecc.) perché è il collo di bottiglia dell'intera sicurezza dell'ATM.

Quando si immette un PIN, l'ATM stesso non riceverà il PIN in chiaro, ma piuttosto PIN crittografato. Quando invia una transazione al server principale, combina crittograficamente il PIN crittografato con la quantità di denaro specificata nella transazione per impedire agli aggressori di modificare tale importo.

Se l'ATM avesse verificato il PIN prima del transazione (inviandola al server), la specifica dell'importo di denaro non può essere correlata in modo sicuro alla conoscenza del PIN.

Pertanto, l'ATM non può verificare se il PIN è valido o no fino a quando non tenta di emettere una transazione ai server della banca principale (che sanno come decrittografare o altrimenti verificare il PIN crittografato).

E il caso delle carte con chip, il PIN non è verificato localmente? Inoltre, hai riferimenti per il protocollo descritto?
@domen: il pin non viene salvato sulla chip card.
Non sarebbe necessario * salvarlo * per essere verificato.
@domen: Il PIN è la chiave che sblocca i certificati digitali memorizzati sul chip, che vengono poi utilizzati per verificare che la carta sia stata correttamente sbloccata. Tuttavia, ciò non significa che la comunicazione dal PED al server di elaborazione della carta sia sicura, come il WiFi non crittografato. Inoltre, l'ultimo standard EMV presenta degli svantaggi che rendono possibili attacchi man-in-the-middle. Chip / PIN proteggono i rivenditori e le aziende ma non i consumatori. In effetti, non sarei sorpreso se respingessero la responsabilità sul consumatore. Le transazioni vengono effettuate anche in tempo reale.
@user19426 Almeno qui in Serbia, i bancomat non consentono l'uso di carte bancarie finché non viene inserito il PIN corretto. Le uniche opzioni sono riprovare un numero limitato di volte o espellere la carta.
Le chip card @reox salvano il PIN. È così che possono abilitare le transazioni offline.
@domen Con uno spazio di ricerca così piccolo (10 ^ 4 possibili PIN con la maggior parte delle banche), non c'è alcuna differenza pratica tra il salvataggio del PIN stesso e il salvataggio di qualcosa che consente la conferma ma non il recupero diretto (cioè un hash): brute-forcing 10 ^ 4 possibilità offline sono banali. (La forzatura online è protetta dal comportamento di blocco dopo tre errori.)
@Gilles il brute-forcing potrebbe essere protetto da un meccanismo simile all'interno del chip.
Una nota a margine minore, il PIN POTREBBE essere verificato in anticipo e inviato di nuovo con l'importo della transazione, ma ciò richiederebbe più comunicazioni. Non è come inviare il PIN crittografato una volta che impedisce di poter inviare il PIN + l'importo della transazione in un secondo momento. Ha ancora senso non farlo, poiché richiede più tempo per eseguire un tentativo se devono eseguire anche l'impostazione della transazione.
@domen Questo sta diventando di argomento ... ma il chip * protegge * dal brute-force in linea, bloccandosi dopo tre errori. Il chip protegge dal brute-force offline rendendo estremamente difficile scaricare la sua memoria; se questa resistenza alla manomissione fisica viene sopraffatta, dato il piccolo spazio di ricerca non importa se il PIN viene memorizzato direttamente o meno. (In realtà il PIN probabilmente non è memorizzato come un array di caratteri, ma per un motivo diverso: non per codificarlo con una funzione unidirezionale, ma per rendere il controllo del PIN più resistente agli attacchi del canale laterale.)
@Gilles, hai affermato qualcosa che non è vero: che il PIN è memorizzato sulla carta. Ora stai entrando in una discussione contorta, dicendo "non importa se il PIN è memorizzato direttamente o meno". Perché non ti correggi?
@jwg Questa differenza è irrilevante. Non importa come la carta codifica o crittografa il PIN. Deve ancora memorizzare e proteggere qualcosa di equivalente al PIN. Se qualcuno riesce a bypassare la protezione antimanomissione del chip, può recuperare il PIN. Come ha detto Gilles, è probabile che venga utilizzata una codifica che riduce il canale laterale.
@CodesInChaos Gilles non ha detto che i numeri PIN sono sicuri anche se la memoria sulla scheda può essere letta (e non sarei certamente in disaccordo). Ha detto che * le carte con chip salvano il PIN *. Questo non è corretto.
@jwg Stai pignolo. Con questa logica, neanche un disco rigido o un cd memorizza i miei dati, poiché applica una qualche forma di codifica degli errori. Se il chip memorizza qualcosa da cui è possibile calcolare il PIN, dire "memorizza il PIN" è un'astrazione perfetta.
@CodesInChaos Se sai qualcosa sulla teoria dell'informazione, questa è un'analogia chiaramente imperfetta.
Ma perché non verificare il PIN all'inizio e inviare richieste di prelievo crittografate con PIN successivamente?
@CodesInChaos Non sto dicendo che ci sia una differenza sostanziale tra le due affermazioni. Sto dicendo che se correggete qualcuno che ha * ragione *, dicendo qualcosa che è * sbagliato *, dovreste avere la grazia di riconoscere il vostro errore, invece di darvi da fare con le definizioni e affermare che "la distinzione è irrilevante".
È un'esperienza di interfaccia utente semplice: se le carte magnetiche non verificano il PIN in anticipo, anche le carte con chip non dovrebbero farlo. Solo per preservare un'esperienza utente coerente.
Questa risposta è errata, il PIN non viene utilizzato per generare il crittogramma client che protegge l'importo http://chipnpin.blogspot.com/2012/01/what-is-arqc.html e non è necessario andare online per verificare se Il PIN è corretto, questo accade solo se il chip EMV è danneggiato o non esiste
@bbozo Questa risposta è corretta per gli sportelli automatici che utilizzano la banda magnetica (come è la norma, ad esempio, negli Stati Uniti). È sbagliato quando il bancomat utilizza il chip (come accade ad esempio in Europa per le carte europee).
Ho lavorato per Verifone alcuni anni fa e posso verificare al 100% che sia corretto negli Stati Uniti per le transazioni con banda magnetica. Non credo che abbiamo le fantasiose cose hash pin-and-amount descritte nella risposta, però, a meno che non sia qualcosa di relativamente nuovo o qualcosa che fanno i bancomat e le transazioni di addebito no. Sono passati solo pochi anni da Verifone e ai miei tempi erano solo 3des (pin + sequence_number) e spedivo il risultato al processore di pagamento. Il numero di sequenza fermerebbe gli attacchi di replay, ma d'altra parte è ancora solo 3DES ...
Questo è piuttosto un video di uno smontato e di tutte le funzionalità di sicurezza mostrate, oltre ai chip: https://www.youtube.com/watch?v=NFLdiK2-Uh0
Mark
2014-07-01 14:08:05 UTC
view on stackexchange narkive permalink

Per confermare il PIN quando viene utilizzata la banda magnetica della carta è necessario contattare il server della banca. Poiché questo richiede tempo (e richiedeva ancora più tempo ai tempi della connessione telefonica), l'ATM combina "verifica il PIN" e "ritira denaro" in un unico contatto.

Il comportamento potrebbe essere diverso se il la carta ha un chip e l'ATM lo supporta.

Se è presente un chip sulla scheda, può verificare il pin localmente.
Non esiste uno standard a livello di settore per eseguire solo la "verifica del PIN online" se il chip non è presente, anche quello che ha detto T Verron, molte risposte errate qui
Vale la pena ricordare che i giorni del dialup non sono finiti: i bancomat autonomi (come quelli nei negozi e nei ristoranti) spesso usano ancora i telefoni fissi (a volte i modem cellulari).
@T.Verron il chip sulla scheda generalmente non "verifica il pin". Accetta / rifiuta una transazione specifica in modalità offline oppure, in un bancomat, firma una transazione prima di inviarla alla banca: se si tratta di una transazione online, rimanda tutte le decisioni al server centrale. Entrambe le cose vengono eseguite * dopo * che hai inserito ciò che desideri fare.
@Peteris: Controllerò che la prossima volta che userò un bancomat qui (in Francia). L'ordine qui è: inserire la carta, inserire il pin, entrare nell'operazione, inserire l'importo, recuperare la carta. Sono abbastanza sicuro che se inserisci un pin sbagliato, ti viene richiesto immediatamente uno nuovo, ma vale la pena controllare.
@T.Verron il bancomat è in grado di inviare il PIN alla banca per verificarlo immediatamente; come dicono le risposte, a volte i bancomat scelgono di non farlo per risparmiare tempo. Dipenderà anche dalla tecnologia utilizzata per connettere l'ATM alla rete: in alcune aree, gli ATM sono (erano?) Collegati, in sostanza, con connessioni dialup su linee telefoniche che hanno un tempo di inizializzazione di molti secondi prima che la connessione sia attiva, quindi anche questo avrebbe potuto essere un fattore nella loro programmazione.
... oltre al fatto che probabilmente si cerca di evitare di monopolizzare tutte le linee dati dial-in lato banca con connessioni (ioni) non necessarie.
Agent_L
2014-07-01 21:05:15 UTC
view on stackexchange narkive permalink

La maggior parte degli sportelli automatici deve gestire 2 tipi di carte: vecchie, magnetiche e nuove carte con chip. Le carte magnetiche non possono verificare il PIN localmente. Le chip card hanno teoricamente questa capacità, ma non significa che questa funzionalità non sia limitata.

Il comportamento che hai descritto corrisponde perfettamente al flusso della carta magnetica. Ma - la chip card dovrebbe essere verificata utilizzando un altro percorso? Ci sono 2 ragioni per cui non dovrebbe:

1) L'implementazione di un secondo percorso nuovo di zecca costa denaro. Il produttore di bancomat vuole sicuramente mantenere bassi i costi e riutilizzare il più possibile il codice.

2) Presentare un'esperienza utente coerente. È facile immaginare qualcuno con 2 carte, una magnetica e una chip. O a un cliente che viene emessa una nuova chip card per sostituire la vecchia carta magnetica. Non è necessario confondere gli utenti fornendo loro 2 percorsi diversi. I bancomat sono abbastanza spaventosi.

/ edit: Oh, ho dimenticato una cosa molto importante:

Il PIN locale sulla carta può essere obsoleto.

In molte banche puoi cambiare il PIN della carta, ma non è possibile che il chip della carta lo sappia. Quindi, se ATM controllasse il PIN localmente, rifiuterebbe il nuovo PIN corretto, ma consentirebbe il vecchio PIN errato. Inoltre, il controllo del PIN potrebbe avere esito positivo e la transazione fallirebbe.

Questa è l'unica risposta finora che non è difettosa in qualche modo, +1
Dipende davvero dal paese. Ci sono paesi in cui il controllo del pin è quasi obbligatorio, almeno nei negozi. In questi casi, se la banca ti offre di cambiare il tuo pin, ciò dovrebbe implicare che ti danno una nuova carta con un nuovo chip che accetta il nuovo pin (ma non credo che il numero della carta debba essere cambiato).
@T.Verron Penso che sia un malinteso. La domanda originale era "perché il PIN viene controllato durante la transazione ma non durante l'inserimento della carta (offline)". Il PIN Ofc viene sempre controllato durante la transazione.
Spiacenti, era un commento su "Il PIN locale sulla carta potrebbe non essere aggiornato".
Si. Il PIN locale sulla chip card viene aggiornato solo durante la transazione (che implica la comunicazione con il server centrale). Perché la carta non ha modo di comunicazione diverso dal terminale di transazione. Anche le carte con LCD (che pretendono di visualizzare il saldo del tuo conto) si aggiornano solo durante le transazioni. Le transazioni nei negozi controllano il PIN sul server, non localmente sulla carta. (in alcune banche ho ricevuto una carta con chip di debito senza PIN, ho dovuto impostarla tramite WWW. La banca ha avvertito che la prima transazione potrebbe non riuscire, ma successivamente il PIN verrà aggiornato sulla carta.)
tylerl
2014-07-01 22:11:55 UTC
view on stackexchange narkive permalink

Questa è una questione di politica nel software ATM. Molti sportelli automatici verificano di fatto il PIN con la banca prima di consentirti di continuare.

Ma lo sportello stesso non sa se il tuo PIN è corretto. Deve chiedere alla banca e questo richiede tempo. Quanto tempo ci vuole spesso determinerà se il bancomat salterà o meno questo passaggio.

Ogni transazione tra l'ATM e la banca è separata, quindi ciascuna deve essere autenticata separatamente e quindi il PIN viene convalidato con ogni transazione. Ciò significa che da un punto di vista pratico, l'ATM non ha bisogno tecnicamente di convalidare il PIN in anticipo. Sa che un PIN errato causerà il fallimento di qualsiasi altra transazione.

Quindi c'è un saldo che deve essere raggiunto e ogni bancomat può farlo in modo diverso. La convalida anticipata del PIN potrebbe essere più semplice per l'utente, ma potrebbe richiedere più tempo se l'ATM non ha una linea dedicata aperta alla banca. Quindi immagina di digitare il tuo pin e di aspettare 20 secondi affinché il bancomat ti dica se l'hai fatto correttamente. Per ridurre il tempo totale richiesto, possono scegliere di saltare questo passaggio.

L'unica vera risposta. Tutto il resto è solo speculazione basata sulla potenziale conoscenza della programmazione di un singolo ATM, o peggio. Perché la gente pensa che funzionino tutti allo stesso modo?
Jegsar
2014-07-04 16:35:40 UTC
view on stackexchange narkive permalink

Non vi è alcun motivo per verificare il pin in questa fase, semmai sarebbe dannoso.

  1. Spreco di larghezza di banda / tempo per il controllo poiché molto probabilmente deve essere inviato di nuovo con la chiamata di transazione comunque.

  2. Se qualcuno sta tentando di indovinare il pin, impiega molto più tempo per scoprire se è il pin corretto. Più a lungo restano davanti alla macchinetta c'è una maggiore possibilità di mettere la loro faccia davanti alla macchina.

  3. Non c'è modo di verificare il pin rispetto alla carta, deve coinvolgere la banca per verificare altrimenti potresti fare la verifica offline.
  4. Questo vale sia per le carte strip che per quelle con chip, il pin non verrebbe mai conservato in nessuno di questi posti in nessuna forma.
Il tuo ultimo punto è sbagliato, molte carte con chip memorizzano il PIN per supportare transazioni offline con chip e pin presso i commercianti.
bobtato
2014-07-01 20:37:52 UTC
view on stackexchange narkive permalink

La risposta di user19426 è interessante - non sapevo che le tastiere ATM fossero implementate in questo modo - ma non sembra che possa essere l'intera spiegazione perché non c'è ancora alcun motivo per cui non potresti t verificare inizialmente il PIN (senza esporre il suo valore di testo normale), quindi utilizzare successivamente l'hash del PIN per firmare la transazione effettiva. Nel caso delle carte con chip, ciò non richiederebbe nemmeno alcuna comunicazione aggiuntiva con la banca.

Chiunque può verificare privatamente il PIN di una carta con chip in qualsiasi momento, ad esempio utilizzando i tastierini di autenticazione portatili Banche europee spedire regolarmente la posta ai propri clienti (immagino che le carte possano disabilitarsi da sole dopo un certo numero di tentativi sbagliati). Un bancomat che rifiuta un PIN sbagliato in anticipo non fornisce alcun vettore di attacco che non sia disponibile da un bancomat che richiede anche di tentare una transazione. La forza bruta non è un problema poiché un ritardo di 30 secondi significa semplicemente che ci vogliono 90 secondi in più per raggiungere il punto in cui la macchina confisca la carta.

Per quanto ne so, c'è solo un'implicazione sulla sicurezza a non verificare il PIN in anticipo. Se metto la tua carta rubata in un bancomat e inserisco quello che penso sia il tuo PIN e mi dice che il PIN è sbagliato, allora me ne vado e la CCTV mostra che sono colpevole di aver tentato di accedere al tuo account. Se inserisco il PIN e poi chiedo £ 200, la CCTV mostra che sono colpevole di aver tentato di accedere al tuo account e di rubare £ 200 da esso.

Il controllo del PIN locale è sempre un vettore di attacco. Se non riesci a controllare il PIN sul server, il conteggio dei tentativi diminuisce sul server centrale. Dopo X tentativi, la carta viene bloccata in tutto il mondo. Anche se un metodo per clonare i chip o bypassare la disabilitazione locale non è noto al momento, potrebbe apparire in futuro.
È un buon punto. Tuttavia, il comportamento in questione non influisce sulla misura in cui gli sportelli automatici possono essere utilizzati come macchine per il test del PIN. Non influisce nemmeno sulla difficoltà di creare un falso bancomat per acquisire i PIN, perché nessun bancomat verifica le proprie credenziali (ad esempio mostrando il saldo del conto) fino a quando non viene inserito correttamente il PIN.
Forse le carte con chip non rispondono a nessuna richiesta di controllo del PIN. È ragionevole richiedere un qualche tipo di certificato. È possibile che questa funzione sia configurata dalla banca, quindi una carta può e l'altra non può verificare il PIN.
L'hash del PIN non viene utilizzato per generare il crittogramma del client
Se si dispone di un lettore di carte, chip e pin card nel Regno Unito, verificherà immediatamente il PIN localmente prima di passare alla funzione successiva. Non so come funziona con i bancomat. Alcuni distributori automatici di carte che non richiedono una transazione online accettano la transazione immediatamente. Questo è abbastanza comune con i treni nel Regno Unito.
Roy
2014-07-02 07:34:58 UTC
view on stackexchange narkive permalink

Ciò si verifica per due motivi:

  1. È più sicuro e le banche vogliono risparmiare sulla larghezza di banda .

    La banca di solito archivia il tuo PIN sotto forma di hash nel suo database. Per poter verificare il PIN che hai inserito allo sportello automatico, lo sportello automatico deve inviare al server della banca l'hash del PIN che hai inserito. Questi due hash vengono poi confrontati per verificare se il PIN che hai inserito è corretto e solo allora, puoi eseguire transazioni. Ovviamente è un approccio rudimentale alla sicurezza. Ci sono cose come replay e attacchi man-in-middle da considerare (per maggiori informazioni, leggi autenticazione Challenge-response).

    Invece di farlo, la banca può inviare il tuo PIN insieme alla transazione stessa, verificando contemporaneamente il PIN e la transazione. Ciò consente di risparmiare larghezza di banda ed è potenzialmente più sicuro poiché la finestra di attacco è ridotta. Ad esempio, se la banca autentica la tua sessione dal momento in cui hai inserito il PIN, concede a qualsiasi potenziale aggressore il tempo di intercettare la connessione ed effettuare le proprie transazioni.

    D'altra parte, una connessione sicura adeguata è difficile da implementare e si verificano dei bug. Una verifica una tantum quando effettui una transazione consente alla banca di identificarti in modo sicuro e di risparmiare larghezza di banda. In definitiva, dipende ancora dal bancomat in questione, poiché la banca può sempre verificare il tuo PIN all'inizio di ogni sessione e per ogni transazione successiva.

  2. Carte bancomat non memorizzare il tuo PIN nella banda magnetica. (Le carte chip lo fanno.)

    Contrariamente ad alcune risposte, le carte bancomat non possono e non memorizzeranno il tuo PIN. Lo scopo della carta ATM è quello di ottenere l'autenticazione a due fattori: qualcosa che hai (la carta) e qualcosa che conosci (il PIN). Ci sono stati casi in cui la carta bancomat è stata violata da aggressori.

    Il bancomat deve connettersi ai server della banca per verificare che tu sia chi dici di essere. Le carte bancomat possono e sono state duplicate prima (scrematura). Se il PIN potesse essere verificato off-line utilizzando solo i dati sulla banda magnetica sulla carta ATM, gli aggressori potrebbero attaccare con la forza bruta tutti i 9999 possibili PIN abbastanza rapidamente con un attacco off-line. Quindi il sistema è progettato per richiedere di contattare la banca per ogni ipotesi, rendendo più difficile per gli aggressori rubare la tua carta bancomat e prelevare tutti i tuoi soldi.

Il tuo secondo punto è falso. Le schede con chip e pin standard EMV memorizzano il PIN e sono in grado di verificarlo offline, sebbene ci siano restrizioni sui casi in cui dovrebbero farlo; di solito la carta sarebbe impostata per rifiutare qualsiasi transazione bancomat offline (cioè, se l'ATM "dice" che non può / non può contattare la banca ma vuole comunque un prelievo) indipendentemente da qualsiasi cosa.
Le carte chip e pin bloccheranno le transazioni dopo 3 tentativi falliti.
Penso che siano 10000 possibili PIN. 0000 - 9999
SajjadHashmi
2014-07-07 21:55:24 UTC
view on stackexchange narkive permalink

Uno scenario comune in cui questo di solito accade è quando la carta che stai utilizzando proviene da una banca diversa e il bancomat è di un'altra banca.

Perché ?:

Diverse banche si connettono tra loro tramite un interruttore nazionale a livello di paese che collega diverse banche tra loro. Proprio come VISA è uno switch internazionale, ci sono switch nazionali per transazioni all'interno del paese.

Durante l'esecuzione di una tale transazione, oltre alla larghezza di banda c'è anche un importo particolare che viene dedotto per l'utilizzo di tale switch nazionale, questo importo è basato su transazione.

Quindi, invece di inviare due transazioni a tale switch e alla fine a quella banca. Viene utilizzata solo una transazione in cui vengono inviati il ​​PIN immesso ei dettagli della transazione. Se il PIN è corretto, la transazione viene eseguita altrimenti viene rifiutata.

Lo scenario sopra può essere utilizzato anche per le stesse transazioni bancarie ma non ci saranno vantaggi finanziari in quanto non viene salvato qualsiasi costo ma solo una piccola larghezza di banda.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...