Volgens mij is er een artikel van een jaar of 7 oud
geplaatst of dient dit ergens op te slaan....?

Kies geen voor de hand liggende pincode is al zo oud als de
pincode zelf, en toen kon je hem niet eens zelf kiezen :P

Ok.

Pincodes dus niet met voordehand liggende getallen.
Maar wetende dat dieven deze richtlijn kennen is een code
met JUIST die getallen veiliger.
Maar...
Als dieven nou eenmaal weten dat wij weten dat zij de
richtlijnen kennen ....
(etc etc etc)

Ach, dat maakt toch allemaal niets uit. De pincode staat nu eenmaal op je
bankpas. Die lees je uit. Je herberekent de pincode. En vervolgens roof je
de egehele rekening leeg.

Nee, pincode is zo 1880.

Pin zou uitgebreid kunnen worden met bv twee letter, verder
is het niet zo van belang.

Wat een dom geklets, je pincode staat absoluut niet op je
pas! Waarom denk je dat ze je pincode afkijken als ze je pas
kopieeren?

Nee, de pincode staat ook niet versleuteld op je pas, daar
is eoa vernuftig systeem voor, ben alleen even kwijt hoe ook
al weer...

Het kan niet door herberekenen.

Volgens mij maakt het geen moer uit of je een makkelijke of
een moeilijke pincode neemt. Na 3 keer word het kaartje toch
ingeslikt. Als een pasjesdief gaat gokken dat hij in 3 keer
de goede pincode heeft, dan doet ie er verstandig aan om een
sollicitatiebrief naar de AH te sturen oid. Al weet ie mijn
geboortedatum, dan heeft nog vele opties: ddmm, yyyy, mmdd,
mmyy.....

Ik kan me niet voorstellen dat er ook maar 1 crimineel is
die zo te werk gaat. Gewoon het keypadje afschermen als je
je pincode intoetst, want het lijkt mij dat daardoor de
meeste pincodes worden afgekeken door de boefjes.

lol... mijn moeder heeft een bankpas met pincode 0000
Dat geloofde ze eerst niet en is langs de bank geweest om te
verifieren of dat wel kon kloppen. Vervolgens heeft ze een
nieuwe aangevraagt en toen kreeg ze 4567

Tsja....

Het is heel simpel. Bij een betaalautomaat voer je je pas in
+ je pincode. Daar wordt een hash van berekend en die wordt
naar de bank verstuurd via een beveiligde verbinding
(vroeger directe lijn, tegenwoordig ook via inet volgens
mij) samen met het rekeningnummer. De bank maakt dezelfde
hash van rekeningnummer + de bij hen bekende pincode. Zijn
de hashes gelijk dan wordt de betaling geaccodeerd.

Eigenlijk heel simpel :)

Een Random Reader voor internetbankieren kan ook zeggen of een
pincode juist is of niet, dus de pincode zal vast wel te brute forcen zijn lijkt
mij. Een Random Reader blokkeert alleen na 3 foutieve pogingen, maar
daar zal een techneut toch vast wel iets mee kunnen? :-)

Duh, die doen het dus echt fout. Geen technische kennis hoe het nou
eigenlijk werkt. En ja, je pin staat weldegelijk op je pas.

Voorbeeld:

Je doet online banking via Abn Amro. Je krijgt een mooi apparaatje die voor
jouw een code berekent. Niemand typt direct zijn pincode fout op dat ding.
Doet het maar eens. Je zal zien dat het apparaat meldt dat je in gegeven
pincode fout is. Hoe weet dat ding dat? Dat kan alleen als op de pinpas
een vermelding staat. Dat mag een soort van hash zijn. De encryptie is
echter niet lastig om te doorbreken.

Hmm, echt wel. Lees eens dit artikel uit 2003: http://www.theregister.co.uk/2003/02/21/how_to_get_an_atm/

Ah, daar dient dus dat telmachientje voor dat je bij je netbanking account
krijgt? :)

Als je het rekeningnummer versleutelt met je pincode dan krijg je een
soort hash. De Random Reader c.q. e.dentifier vergelijken dus de
ingebakken hash en de berekende hash met elkaar. Om de pincode te
achterhalen zul je dus 10000 hashes moeten berekenen en kijken welke
overeenkomt met de ingebakken hash. Lijkt mij opzich allemaal wel
mogelijk als je een beetje technisch bent.

In het artikel en de PDF waarin het onderzoek staat gaat men
uit van een fraudeur aan de binnenkant van de bank.
Er wordt niets gezegd (voor zover ik heb kunnen achterhalen)
dat men de PIN van de pas weet te halen.
De ingevoerde PIN (bij de automaat) wordt vergeleken met een
hash (die gekoppeld is aan het bankrekeningnummer) in de
database.
In het geval van een random reader (Rabobank) wordt het
nummer dat gegenereerd wordt ook vergeleken. In dat geval
wordt de responds code bekeken of het gegenereerd is met een
geldige PIN code (vergelijk dit maar met de SecurID tokens
(met PIN pad) van RSA).

Er geldt nog steeds een maximum van 3 pogingen. De random
reader zal niet locken, maar het backend zal de toegang tot
de rekening via telebankieren afsluiten (en waarschijnlijk
ook de toegang via een PIN automaat).

Ik heb geen behoefte om dit zelf even te testen, maar ik hou
je niet tegen.

Nee, men gaat juist niet uit van medewerker aan de binnenkant. Men is
gaan kijken hoe het nou eigenlijk werkt met een ATM en een pinpas. Men
vroeg zich af of men uberhaupt de pincode konden terugberekenen.

Later is Online Banking geintroduceerd. Doordat men dezelfde pincode
voor Online Banking gebruiken, is dat een achilleshiel geworden voor de
ATM.

Ik weet niet wat voor flut banken dat zijn. Bij de Rabo
Random Reader krijg je altijd een code terug, met goede of
foute pincode. Echter de code die eruit komt werkt dan dus
of wel of niet.

Maar als de pincode op de pas staat, waarom moeten die
gasten die passen kopieeren dan je pincode afkijken? Het
zijn maar 4 cijfers, dus brute force binnen een paar minuten
te kraken als je de pas eenmaal hebt.

@Tha_Duck

Vandaar mijn eerdere opmerking. De skimmers werken uit gemakzucht en
mogelijke technische onkunde.

@jachra: dat weet ik wel zeker... Een hacker wil een technologische
oplossing, een oost-europeesche mafioso heeft geen zin om dat soort
technische kennis te gebruiken (als dat al technisch mogelijk is om dat in
zo'n brein te frotten). de enige technische kennis die dat soort mensen
gebruiken is hoe de beveiligingspal op de 9mm werkt.

Zij mafioso hoeven toch ook geen technische kennis te
hebben? Die kunnen ze toch gewoon kopen op de markt? Ik heb
ze echter nog nooit op de markt gezien..

Maar goed, blijft een feit dat je moet blijven nadenken hoe
je je pas + code gebruikt..

Bij de reader van ABN-Amro geeft hij gelijk ongeldige
pincode wanneer je dat doet. Kan wel zijn dat het backend
alles dubbel controleert maar die readers moeten ook iets te
vergelijken hebben.
Verder gaat het idee dat de reader de eerste ingetypte
pincode onthoudt ook niet op aangezien we hier in huis met
meerdere mensen van dezelfde readers gebruik maken.
Abn-Amro claimt dat er niets op de magneetstrip staat, maar
ze zeggen niets over de chipknip? Verder meen ik te
herinneren dat de kaart wordt geblokkeerd in de reader. Maar
ik weet niet of hij daarmee ook ongeschikt wordt voor de ATM
of pinautomaat.

Ik heb bij een bedrijf gewerkt die pinautomaten serviced en ik kan met
zekerheid zeggen dat de pincode NIET op het pasje staat. Er vinden een
hele reeks berekeningen plaats met allerhande nummers en codes. Het
resultaat gaat via een telefoon lijn (NIET via het internet) naar de
bankcomputer. Daar wordt gekeken of het ontvangen resultaat juist is en
dan pas worden de opdrachten geaccepteerd.
Dat het "rekenmachientje" direct een foute pincode herkent komt door de
uiterst slimme en geheime berekening die er in plaats vindt. Voor die
berekening heeft het een code nodig die op het pasje staat (LET OP dit is
absoluut NIET de pincode) jouw pincode en een code die in het apparaatje
zit. Dat alles samen wordt door de processor berekend en vergelijken met
een antwoord dat in het rekenmachientje zit. Die berekening is erg
complex en uitgebreidt maar door de enorme snelheid van de moderne
processoren merk je dat niet of nauwelijks. Hij lijkt direct te reageren.
Mocht je plannen hebben om achter de geheime rekenmethode en de
overige codes zien te komen dan moet ik je teleurstellen. Wanneer je iets
met het rekenmachientje doet wat niet "normaal" is zal het zijn interne
geheugen wissen en ben je alles kwijt! Het rekenmachientje is dan direct
en definitief onbruikbaar.
Het goed geheim houden van je pincode en opletten waar en wanneer je
je pas gebruikt zijn de meest effectieve methodes om diefstal te
voorkomen. In zo ongeveer 100% van de diefstal gevallen hebben de
dieven of eerst de pincode "afgekeken" of ze vonden een papiertje in de
portomonnee of zo met daarop de pincode. De meest "geniepige"
methode van afkijken is dat ze zelf een "pinapparaatje" neerzetten dat als
twee druppels water op een echte lijkt. Alleen zit er een computertje in dat
de gegevens van de pas opslaat en als jij de pincode intypt hebben ze
direct je pincode. De ellende is dat jij dat pas in de gaten hebt als er grote
bedragen van je rekening zijn afgeschreven.
Wanneer ik het een enkele keer niet vertouw type ik opzettelijk een foute
pincode in. Als het apparaat echt is en goed werkt zal het die code niet
accepteren. Zo'n nep ding slikt hem wel en net doen alsof je betaald hebt.
Gelukkig is het mij nog nooit overkomen dat ik een vals pincode apparaat
tegen kwam.