Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Zelf pincode-kaartje maken

07-09-2021, 13:15 door Anoniem, 21 reacties
Hoe vaak hoor je niet dat criminelen een pinpas met de pincode weten te stelen uit een woning? Onlangs maakte security.nl hier weer melding van, zoals het verhaal hieronder:

https://www.security.nl/posting/719191/Kifid+wil+uitleg+ABN+Amro+waarom+detectiesysteem+fraude+niet+eerder+opmerkte

In mijn bijdrage wees ik op het bestaan van zogenaamde pincode-kaartjes die vroeger in omloop waren. Helaas zie je ze niet meer, maar hun functionaliteit om de pincode van bankpas, creditcard of andere pas te beveiligen mag mijns inziens niet weggelaten worden.

Hieronder vindt men de JPEG-afbeelding van het pincode-kaartje wat je gewoon in EXCEL of in NUMBERS (Apple) kan aanmaken. Bovenaan staan letters die nodig zijn om een kort woord van vier letters te kiezen. Daaronder vindt men de plaatsen voor de getallen.

https://ibb.co/wcZfJXn

Opzet.

Stel, we kiezen het woordje van vier letters: GEEF. Onder kolom G op de eerste rij (getal 1) zetten wij het eerste getal van de pincode. Zeg dat dit bijvoorbeeld 4 is. Daarna ga je naar de E en zet op de rij bij Getal 2 de tweede pincode, zeg 8. Bij de derde letter, de letter E zet je het derde pincodegetal op rij 3 (getal3), zeg 0. Bij de F zet je onder de F bij de rij waar Getal 4 staat de laatste pincode, zeg 7.

Om je pincode te verbergen vul je nu ALLE lege hokjes in met lukraak gekozen getallen. Iemand die geen weet heeft van jouw geheime codewoord (GEEF) kan ook nooit de pincode vinden. Het is dus wel belangrijk dat je dit codewoordje echt voor je zelf houdt, dus dat ook familieleden hier niets van weten.

Kans en veiligheid

Hoe groot is de kans nu dat iemand lukraak de pincode raadt als dit kaartje in verkeerde handen valt? Dat is eenvoudig te berekenen. Er zijn 52 getallen in totaal, waarbij er 4 in de juiste volgorde van die 52 moeten worden gevonden, waarin bij elke keuze steeds 1 getal minder overblijft in de totale verzameling. Die kans is dus 1/52 x 1/51 x 1/50 x 1/49 als er een bruteforce techniek gebruikt zou worden door een aanvaller. Dat is dus de kans op 1/6497400 = ongeveer 0.000000153.

Een bruteforce techniek is bij de pincodekaart dus zinloos geworden, niet alleen door de zeer lage kans op het juist raden van de pincode (waarbij ook naar de volgorde van de getallen wordt gekeken), maar ook omdat je bij de geldautomaat de pincode juist moet invoeren. Voer je na 3 keer de pincode verkeerd in, dan wordt je pas geblokkeerd en dan heeft een aanvaller hier dus ook niets aan.

Wie dus geen pincode-kaartje heeft kan hem nu zelf printen. Heb je er meer nodig? Geen probleem, dan print je er gewoon meer uit. Op het kaartje kan je dan bijvoorbeeld aangeven voor welke pas dit geldt zodat je niet zelf in de war raakt. Ook kun je twee pincode kaartjes op elkaar plakken en in je beurs houden. Nog beter is het om het te plastificeren als je een inktjet printer gebruikt waar de inkt anders zou uitlopen bij nattigheid. Heb je een printer met een toner, dan blijft de afdruk jaren goed.
Reacties (21)
07-09-2021, 13:50 door majortom - Bijgewerkt: 07-09-2021, 14:08
Door Anoniem:Die kans is dus 1/52 x 1/51 x 1/50 x 1/49
Dat klopt niet helemaal. Elke regel bevat een aantal getallen. Afhankelijk van hoe vaak je een getal op een regel hebt staan wordt de kans op goed raden van het betreffende pincode getal dat bij die regel hoort groter of kleiner, maar in geen geval 1/52. Eigenlijk blijft die kans gewoon 1 op 10 per getal in de pincode, tenzij je in het extreme geval een regel uit maar een deelverzameling van de mogelijke getallen laat bestaan, dan wordt de kans negatief beinvloed.

De kans wordt uiteindelijk bepaald door hoe je het kaartje invult. De kans op goed raden op grond van het kaartje zal gelijk zijn aan de kans op raden zonder kaartje (1 op 10000; iets minder omdat bepaalde codes als 0000 niet voorkomen).

Oftewel het kaartje zou een goed hulpmiddel kunnen zijn om je pincode te kunnen onthouden, als je daar moeite mee hebt en zal de kans niet groter of kleiner maken dan een random geraden pincode. Vooropgesteld dat je de andere vakjes van het kaartje goed invult (en in ieder geval alle getallen 0-9 per regel gebruikt) en niet gaat denken dat je door een bepaalde manier van invullen de kans op raden kunt verkleinen.
07-09-2021, 13:50 door Anoniem
Dank! Hier kan ik mijn voordeel mee doen.
07-09-2021, 14:23 door Anoniem
Misschien makkelijker om je pincode gewoon zelf te kiezen.
Je kunt genoeg dingen bedenken die voor anderen niet te gokken zijn, maar voor jezelf makkelijk zijn. Vooral op iets dat je elke maand wel een keer gebruikt.

Denk bv. aan eerste twee getallen van je postcode + 2 getallen van je huisnummer.
Nu denk je wellicht: dat is te makkelijk, maar zolang maar niemand weet dat je dat doet kan iemand het in 3 pogingen niet gokken.

Slechte ideen zijn:
- je eigen postcode volledig (dat is toch wel poging 1)
- je eigen geboortedatum
- geboortedatum van je partner
(en daar is de pas al geblokkeerd)
07-09-2021, 14:25 door Briolet
Door majortom: [De kans wordt uiteindelijk bepaald door hoe je het kaartje invult. De kans op goed raden op grond van het kaartje zal gelijk zijn aan de kans op raden zonder kaartje (1 op 10000; iets minder omdat bepaalde codes als 0000 niet voorkomen).

idd. Bij 52 getallen komt elk getal gemiddeld 5,2x voor. De kans wordt dan eerder 5,2/52 x 5,2/51 x 5,2/50 x 5,2/49. (en dat is ongeveer 1 op 10000) Voorop gesteld dat de inbreker niet weet dat je uit elke rij 1 getal moet nemen. Uiteindelijk kom je op dezelfde kans als lukraak nummers kiezen.

Ik kan me bij de invoering van pincodes herinneren dat afgeraden werd om ronde nummers als 0 en 5 te gebruiken. Als iedereen dat doet, wordt de kans eigenlijk groter om het goed te raden omdat er dan maar 8 bruikbare getallen overblijven. Een vreemd advies dus. En hoe groot was mijn verbazing dat mijn eerste pinpasje van de postbank de code 5055 had. En de verbazing was nog groter omdat ik deze code door de enveloppe door kon lezen. Ik heb deze enveloppe dan ook nooit geopend en toch het pinpasje kunnen gebruiken.

In elk geval een goed initiatief om dit soort hulpmiddelen onder de aandacht te brengen. (Wachtwoordkluizen zijn niet iets voor de gemiddelde Nederlander)
07-09-2021, 14:32 door Anoniem
Door majortom:
Door Anoniem:Die kans is dus 1/52 x 1/51 x 1/50 x 1/49
Dat klopt niet helemaal. Elke regel bevat een aantal getallen. Afhankelijk van hoe vaak je een getal op een regel hebt staan wordt de kans op goed raden van het betreffende pincode getal dat bij die regel hoort groter of kleiner, maar in geen geval 1/52. Eigenlijk blijft die kans gewoon 1 op 10 per getal in de pincode, tenzij je in het extreme geval een regel uit maar een deelverzameling van de mogelijke getallen laat bestaan, dan wordt de kans negatief beinvloed.

De kans wordt uiteindelijk bepaald door hoe je het kaartje invult. De kans op goed raden op grond van het kaartje zal gelijk zijn aan de kans op raden zonder kaartje (1 op 10000; iets minder omdat bepaalde codes als 0000 niet voorkomen).

Oftewel het kaartje zou een goed hulpmiddel kunnen zijn om je pincode te kunnen onthouden, als je daar moeite mee hebt en zal de kans niet groter of kleiner maken dan een random geraden pincode. Vooropgesteld dat je de andere vakjes van het kaartje goed invult (en in ieder geval alle getallen 0-9 per regel gebruikt) en niet gaat denken dat je door een bepaalde manier van invullen de kans op raden kunt verkleinen.
Het is wat u zegt dat de kansen niet overal gelijk zullen zijn bij het invullen van de getallen op het kaartje. Ga je dat uitrekenen dan is de kans op het lukraak raden van de juiste pincode alsnog behoorlijk klein. Het leuke is dat dit voor elk kaartje weer kan verschillen. Zelf ging ik uit van de kansberekening via 1 mogelijkheid, maar er zijn er duidelijk meer. Nog bedankt voor uw bijdrage!
07-09-2021, 15:20 door Anoniem
Je schijft je PIN niet op je onthoud hem en je deelt hem met niemand. Dat zijn de enige veiligheid regels die je moet aanhouden met een pincode bewaren en is ook iets wat je akkoord mee gaat zodra je een rekening opent.

In het geval iemand door medische oorzaak zijn, haar code niet kan onthouden dan bestaat er nog zo iets als notariële volmacht waarmee je iemand anders controle geeft over de bankzaken. Daarmee wordt die gene ook aansprakelijk bij diefstal van de onder hem haar toevertrouwde middelen.

Kifid is heel streng als het aankomt op diefstal van opgeschreven gegevens. Als na onderzoek ze er achter komen dat dit soort gebruikte methodes zijn toegepast dan kun je iedergeval fluiten naar volledige vergoeding en vaak alles en de controleurs die ze hebben kennen dit soort truukjes natuurlijk ook. Plus als je er ook nog bijschrijft voor welke pas het geldt dan is dat al genoeg verzameld bewijs voor nalatigheid.

De enige kans die je maakt op gedeeltelijke vergoeding in zo geval is als je verder nog fysieke maatregelen hebt getroffen of wel meerdere veiligheid lagen voor men bij de gegevens kan.
Voorbeeld uitspraak: hxxps://www.kifid.nl/kifid-schade-door-misbruik-bankpas-en-pincode-deels-vergoed/

Pinpas bruteforce is niet efficient en vergt veel meer voorbereiding dan het simpelweg clonen ervan en afkijken met camera of input onderschepping op het apparaat waar het slachtoffer de pas in stopt. Ofwel klasieke skimming.
De chip op je pas (EMV) heeft ingebouwde beveiliging tegen bruteforce daar is enigzins overnagedacht.


Dus ja leuk bedacht voor theorie en ook keurig toegelicht maar in praktijk riskeer je wel dat je kan fluiten naar je geld bij diefstal. Verder doet het niks aan het beveiligen van je invoer waar het meeste gevaar zit bij correct gebruik van een pas.

Verlaag je opname limiet indien mogelijk tot wat je regulier dagelijks nodig hebt + 20% marge. Je kan deze altijd verhogen mocht het noodzakelijk worden en het limiet aanpassen is zo gedaan vanuit je bankaccount.

Check 1 keer per dag je rekening op verdachte transacties of als je het wil rekken maximaal 1 keer per week. Dit is ook iets waar je mee akkoord gaat bij het openen van je bankrekening als de bank erachter komt dat je twee weken niet hebt gekeken op je rekening kan dat al tegen je gebruikt worden bij een lopend onderzoek.

Bij ongein met die twee maatregelen actief is dan de schade zo beperkt dat je bank eerder geneigd is snel uit te keren omdat het meer zou kosten een volledig onderzoek af te ronden voor bijvoorbeeld 100 euro schade dan deze direct af te wikkelen als coulange. Daarbij geldt wel dat je moet kunnen aantonen dat je zelf *niet* de bewuste transactie hebt gedaan.

Simpel gezegd ben je nog rendabel na enige diefstal voor een bank dan helpen ze je meestal graag snel verder zodat je hun meer opbrengt en klant blijft. En ja hoe krom het ook is de bewijslast ligt bij jouw niet de bank zodra je vergoeding aanvraagd.
07-09-2021, 15:58 door majortom
Door Anoniem:
Door majortom:
Door Anoniem:Die kans is dus 1/52 x 1/51 x 1/50 x 1/49
Dat klopt niet helemaal. Elke regel bevat een aantal getallen. Afhankelijk van hoe vaak je een getal op een regel hebt staan wordt de kans op goed raden van het betreffende pincode getal dat bij die regel hoort groter of kleiner, maar in geen geval 1/52. Eigenlijk blijft die kans gewoon 1 op 10 per getal in de pincode, tenzij je in het extreme geval een regel uit maar een deelverzameling van de mogelijke getallen laat bestaan, dan wordt de kans negatief beinvloed.

De kans wordt uiteindelijk bepaald door hoe je het kaartje invult. De kans op goed raden op grond van het kaartje zal gelijk zijn aan de kans op raden zonder kaartje (1 op 10000; iets minder omdat bepaalde codes als 0000 niet voorkomen).

Oftewel het kaartje zou een goed hulpmiddel kunnen zijn om je pincode te kunnen onthouden, als je daar moeite mee hebt en zal de kans niet groter of kleiner maken dan een random geraden pincode. Vooropgesteld dat je de andere vakjes van het kaartje goed invult (en in ieder geval alle getallen 0-9 per regel gebruikt) en niet gaat denken dat je door een bepaalde manier van invullen de kans op raden kunt verkleinen.
Het is wat u zegt dat de kansen niet overal gelijk zullen zijn bij het invullen van de getallen op het kaartje. Ga je dat uitrekenen dan is de kans op het lukraak raden van de juiste pincode alsnog behoorlijk klein. Het leuke is dat dit voor elk kaartje weer kan verschillen. Zelf ging ik uit van de kansberekening via 1 mogelijkheid, maar er zijn er duidelijk meer. Nog bedankt voor uw bijdrage!
Uiteindelijk kan de kans nooit kleiner worden dan 1 op 10000. Het enige dat kan gebeuren is dat de kans op raden dmv het kaartje groter wordt, door verkeerd invullen. In het extreme geval is de kans op raden 1, wanneer elke regel op het kaartje uit hetzelfde getal bestaat, per definitie dus het juiste getal; dat zou overigens wel erg dom invullen zijn van het hulpmiddel.

Zoals opgemerkt, een prima analoog hulpmiddel voor degenen voor wie een wachtwoordkluis oid te ingewikkeld vindt, mits goed ingevuld.
07-09-2021, 16:02 door Anoniem
Als je het op deze manier implementeert is het onveilig, omdat je met wat kritisch kijken het verschil kunt zien tussen
de pincode cijfers die doelbewust op bepaalde plekken zijn geschreven, en de "willekeurige cijfers" die je later hebt
toegevoegd.
Wat je wel zou kunnen doen is er een document van maken en daar met de computer de cijfers in te zetten en
dan dat geheel afdrukken.

Wat me een zwak punt lijkt is "kies een woordje van 4 letters". Als je een woordje van 4 letters kunt onthouden dan
kun je ook wel een getal van 4 cijfers onthouden.
Dit zie je ook met die bekende "hoe maak je een goed wachtwoord" adviezen waarbij er dan staat "neem de eerste
letters van de woorden van een zin die je kunt onthouden". En dan volgt er een of andere kromme zin als voorbeeld.
Maar hoe weet je de volgende dag (of een maand later, als het een niet zo vaak gebruikt wachtwoord is) nog wat die
zin was die je gekozen had??? Ik kan dat niet hoor, zomaar een zin bedenken en die later nog weten.
07-09-2021, 17:22 door Anoniem
Door Anoniem: Als je het op deze manier implementeert is het onveilig, omdat je met wat kritisch kijken het verschil kunt zien tussen de pincode cijfers die doelbewust op bepaalde plekken zijn geschreven, en de "willekeurige cijfers" die je later hebt toegevoegd.
Ik heb niet geschreven dat je de cijfers met de hand moest invullen. Je kunt daarvoor gewoon de computer gebruiken. Bovendien vind ik dit bovenstaande bezwaar nogal vergezocht eerlijk gezegd, want er zijn mij geen gevallen bekend dat zoiets daadwerkelijk gebeurd is in het verleden.
07-09-2021, 18:40 door Anoniem
Dit systeem was van de Postbank, in de jaren tachtig gok ik. Ik heb die kaartjes toen wel eens gezien. Volgens mij waren ze blauw en ik snapte er toen niets van.

Je moet oppassen met doordrukken als je de cijfers van je pincode opschrijft. Wat ligt er onder je kaartje?

Je zou met de computer ook nog de letters kunnen husselen. Net als willekeurige decimale cijfers genereren, is dit niet triviaal. Ik heb het idee dat random numbers moeilijker zijn als crypto zelf. Er zijn tenminste geen standaard algoritmes voor zoals bij crypto.

Het is overigens zeer belangrijk om pincodes op geen enkele manier op je computer in te voeren! Dit in verband met keyloggers en het feit dat bestanden op een computer nooit helemaal te verwijderen zijn van je harddisk.

Het belangrijkste voor mij is:
1) Afschermen van je pincode bij het betalen bij een automaat. Ga helemaal om het toetsenbord staan met je lijf
2) Weet altijd waar je pinpas is en zorg dat niemand die mee kan nemen zonder dat je het weet. Bijvoorbeeld met geweld
08-09-2021, 08:52 door majortom - Bijgewerkt: 08-09-2021, 08:52
Door Anoniem: Wat me een zwak punt lijkt is "kies een woordje van 4 letters". Als je een woordje van 4 letters kunt onthouden dankun je ook wel een getal van 4 cijfers onthouden.
Dat is persoonsgebonden. Sommigen, zoals ik, vinden het gemakkelijker om cijfers te onthouden, anderen vinden een woord/zin gemakkelijker. Ezelsbruggetjes zijn bijvoorbeeld ook niet aan mij besteed: ik vind het vaak moeilijker om het ezelsbruggetje te onthouden dan om de informatie zelf te onthouden. Daar waar anderen zweren bij zo'n ezelsbruggetje.
08-09-2021, 10:05 door Anoniem
Door Anoniem:
Door Anoniem: Als je het op deze manier implementeert is het onveilig, omdat je met wat kritisch kijken het verschil kunt zien tussen de pincode cijfers die doelbewust op bepaalde plekken zijn geschreven, en de "willekeurige cijfers" die je later hebt toegevoegd.
Ik heb niet geschreven dat je de cijfers met de hand moest invullen. Je kunt daarvoor gewoon de computer gebruiken. Bovendien vind ik dit bovenstaande bezwaar nogal vergezocht eerlijk gezegd, want er zijn mij geen gevallen bekend dat zoiets daadwerkelijk gebeurd is in het verleden.
Ah kijk daar hebben we het perfecte criterium voor een veilig systeem: er zijn jou geen gevallen bekend dat zoiets daadwerkelijk gebeurd is in het verleden.
Maar die kaartjes zijn wel uit roulatie gehaald. Dus het zou kunnen dat er dingen gebeurd zijn die jou niet bekend zijn?
08-09-2021, 11:19 door Briolet
Door Anoniem: Je zou met de computer ook nog de letters kunnen husselen. Net als willekeurige decimale cijfers genereren, is dit niet triviaal. Ik heb het idee dat random numbers moeilijker zijn als crypto zelf. Er zijn tenminste geen standaard algoritmes voor zoals bij crypto.

Volgens mij is husselen niet eens belangrijk voor de kans. Als je het noodzakelijke nummer ingevuld hebt, kun je gewoon naar rechts doornummeren tot het eind en naar links afnummeren tot het eind. Op die manier voorkom je dat je iets verraad door een verkeerde 'random' nummering.

6789012345
8901234567
2345678901

Je hebt dan nog steeds geen clou en het invullen wordt er een stuk simpeler door.
08-09-2021, 13:18 door Anoniem
Ik herinner me andere pincodekaartjes van de Postbank, waar je meerdere pincodes mee kon onthouden en je in mijn herinnering een schuifje heen en weer moest bewegen om de juiste cijfers op te roepen. Die werkten dus anders, maar ik heb niet meer paraat hoe precies, en kennelijk is dit een van die dingen van voor de algemene internettoegang die dan ook niet (of niet makkelijk) op het internet terug te vinden zijn.

Om zoiets als dit te ontwerpen zou ik geneigd zijn me te baseren op hoe een one time pad werkt. Menigeen zal dan meteen aan een XOR-operaties denken, maar het idee is dat je een sleutel hebt van evenveel tekens als je boodschap en waarden modulair optelt of aftrekt (dus bij cijfers de uitkomst modulo 10 nemen zodat je altijd op 0-9 uitkomt). Bij bits, binaire "tekens", komt dat overeen met een XOR-operatie.

Als je pincode 2841 is en je sleutel 9747, dan kan je eerst aftrekken om te coderen (aftrekken is lastiger dan optellen, en dat moet je straks uit je hoofd doen en vermoedelijk vaker). Modulo 10 rekenen komt er dan op neer dat je 10 optelt als je lager dan 0 uitkomt om weer op 0-9 te belanden:

2 - 9 = -7; -7 modulo 10 = -7 + 10 = 3
8 - 7 = 1; 1 modulo 10 = 1 = 1
4 - 4 = 0; 0 modulo 10 = 0 = 0
1 - 7 = -6; -6 modulo 10 = -6 + 10 = 4

De gecodeerde pincode is dus 3104. Terugrekenen gaat met optellen, en daar geldt dat je 10 moet aftrekken als het resultaat 10 of hoger is. Dat is hetzelfde als domweg het tiental laten vallen:

3 + 9 = 12 ; 12 modulo 10 = 2
1 + 7 = 8 ; 8 modulo 10 = 8
0 + 4 = 4 ; 4 modulo 10 = 4
4 + 7 = 11 ; 11 modulo 10 = 1

Wie een beetje kan hoofdrekenen moet geen moeite hebben met het decoderen. Het aardige van een one time pad is dat dat voor zover mij bekend de enige encryptietechniek is waarvan bewezen is dat die onkraakbaar is, mits aan een aantal voorwaarden voldaan is die niets met de manier van rekenen te maken hebben maar alles met het goed geheim houden van sleutels en ze slechts eenmalig gebruiken. Eenmalig gebruiken doe je niet als je dit toepast, maar je kan uit de sterkte van one time pads wel concluderen dat, zolang je sleutel onbekend is, de versleutelde pincode niets verraadt over wat de eigenlijke pincode is.

Dan wil je die cijfercombinaties natuurlijk nog zo noteren dat ze niet als pincodes en sleutels opvallen. Adresboeken zitten natuurlijk vol met getallen, in telefoonnummers en postcodes, dus daar valt vast wel iets leuks mee te verzinnen. Als je de gecodeerde pincode en de sleutel terug weet te vinden kan je met hoofdrekenen de pincode reconstrueren.

Let wel op dat als je meerdere pincodes met dezelfde sleutel bewerkt, het uitlekken van één pincode genoeg is om de sleutel te achterhalen en daarmee ook de andere pincodes te ontcijferen. Dat raakt aan de eis dat one time pads maar eenmalig gebruikt worden.

Het zou me niets verbazen als dat pincodehulpje van de Postbank dat ik me half herinner ook op de gedachte van one time pads was gebaseerd, en dat men ermee gestopt is omdat je er meerdere pincodes mee kon onthouden, waarbij mensen hoogstwaarschijnlijk dezelfde sleutel zouden gebruiken, zodat een uitgelekte pincode de andere pincodes zou verraden.
10-09-2021, 14:34 door Anoniem
Door Anoniem:
Check 1 keer per dag je rekening op verdachte transacties of als je het wil rekken maximaal 1 keer per week. Dit is ook iets waar je mee akkoord gaat bij het openen van je bankrekening als de bank erachter komt dat je twee weken niet hebt gekeken op je rekening kan dat al tegen je gebruikt worden bij een lopend onderzoek.

Met alleen een pinpas krijg je niet veel informatie,
je ziet wel een bedrag als je bij de juiste bank pint, verder niets.
Mensen die hun pincode opschrijven hebben meestal geen internet-bankieren.
13-09-2021, 23:54 door Vicktor - Bijgewerkt: 13-09-2021, 23:59
Ik onthou mijn pincode(s) wel gewoon, mag dat ook?
14-09-2021, 00:16 door Anoniem
Door Vicktor: Ik onthou mijn pincode(s) wel gewoon, mag dat ook?
Dat mag ook.
14-09-2021, 11:01 door Anoniem
PIN code's zijn niets anders als een toegangs code.

Dus zet gewoon je pin codes in je password manager, die eea encrypted opslaat en enkel met je vingerprint of een door jou wel te onthouden wachtwoord zin te openen is.

De postbank en overige banken zijn niet voor niets gestopt met het uitgeven van dit handige kaartje.
14-09-2021, 11:38 door Anoniem
Maar wat nu als ik mijn PIN achterstevoren in bijv. "GEEF" zet? En de attacker mijn woord nog steeds niet weet.
Hoe groot is dan de kans dat mijn rekening gekraakt wordt?

Mand!
14-09-2021, 14:22 door Anoniem
Ik zal het wel niet snappen, maar als er 4 rijen zijn van 13 getallen en in de eerste rij staat het eerste getal van de pincode, in de tweede rij het tweede getal enz, dan is de kans toch nog steeds 1/10 x 1/10 x 1/10 x 1/10 = 1/10000 aangezien je niet meer dan 10 logische getallen kan invullen in een rij van 13?
17-09-2021, 16:14 door Anoniem
14-09-2021, 14:22 door Anoniem:
Ik zal het wel niet snappen, maar als er 4 rijen zijn van 13 getallen en in de eerste rij staat het eerste getal van de pincode, in de tweede rij het tweede getal enz, dan is de kans toch nog steeds 1/10 x 1/10 x 1/10 x 1/10 = 1/10000 aangezien je niet meer dan 10 logische getallen kan invullen in een rij van 13?

Volgens mij heb je gelijk. En deze stelling is eerder in deze draad ook verwoord:
07-09-2021, 13:50 door majortom
"Elke regel bevat een aantal getallen. Afhankelijk van hoe vaak je een getal op een regel hebt staan wordt de kans op goed raden van het betreffende pincode getal dat bij die regel hoort groter of kleiner (..). Eigenlijk blijft die kans gewoon 1 op 10 per getal in de pincode, tenzij je in het extreme geval een regel uit maar een deelverzameling van de mogelijke getallen laat bestaan, dan wordt de kans negatief beinvloed.
De kans wordt uiteindelijk bepaald door hoe je het kaartje invult. De kans op goed raden op grond van het kaartje zal gelijk zijn aan de kans op raden zonder kaartje (1 op 10000; iets minder omdat bepaalde codes als 0000 niet voorkomen)."

Om de kans dat je het getal van de pincode goed raadt (per rij is dat 1/10) inderdaad maximaal laag te houden moeten alle cijfers van 0-9 minimaal 1x op de rij aanwezig zijn. Een elegante methode om dat te bereiken is:
08-09-2021, 11:19 door Briolet
"Volgens mij is husselen niet eens belangrijk voor de kans. Als je het noodzakelijke nummer ingevuld hebt, kun je gewoon naar rechts doornummeren tot het eind en naar links afnummeren tot het eind. Op die manier voorkom je dat je iets verraad door een verkeerde 'random' nummering.
6789012345
8901234567
2345678901
Je hebt dan nog steeds geen clou en het invullen wordt er een stuk simpeler door."

Overigens staan er per rij niet tien maar dertien cijfers op het pincode-kaartje, en er zijn vier rijen. Dus dan zou een ingevuld pincode-kaartje er bijvoorbeeld als volgt uit zien:
3456789012345
5678901234567
9012345678901
(Vierde rij volgens hetzelfde principe).
Je pincode is nu ingebed in een nietszeggend oplopend rijtje 0-9.

07-09-2021, 13:50 door majortom
"De kans op goed raden op grond van het kaartje zal gelijk zijn aan de kans op raden zonder kaartje (1 op 10000; iets minder omdat bepaalde codes als 0000 niet voorkomen"
En dat stelde jij ook in jouw bijdrage van 14:22. Ik kan er geen speld tussen krijgen.

Wat wel grappig is als je in bovenstaand voorbeeld van de 3 rijen van 10 cijfers in het voorbeeld van Briolet, deze rij aan de rechterkant aanvult tot 13:
6789012345678
8901234567890
2345678901234
(Vierde rij volgens hetzelfde principe).
Dan valt extra duidelijk op dat steeds de eerste drie en de laatste drie cijfers van een rij aan elkaar gelijk zijn. Dat ligt aan de methode "naar rechts doornummeren tot het eind en naar links afnummeren tot het eind", in een rij van 13 cijfers.
De ingevulde rij van 13 cijfers, min 10 (beschikbare cijfers 0-9) resulteert in 3 cijfers als overloop.
Je kan er geen aanwijzing uit aflezen over de pincode, want die is nog steeds ingebed in een nietszeggend netjes oplopend rijtje 0-9.

Stel nu dat gebruikers het pincode kaartje gaan gebruiken en met een zelfgekozen vierletterig codewoord en hun pincode gaan invullen in het pincode-kaartje. Maar de instructie:
"vul de overblijvende lege vakjes in volgens de methode naar rechts doornummeren tot het eind, en naar links afnummeren tot het eind"
wordt iets afwijkend opgevolgd omdat afnummeren misschien als lastiger uitvoerbaar ervaren wordt.
Afnummeren 9-8-7-6-5-4-3-2-1-0 en dan ook nog opschrijven van rechts naar links, tegen de normale schrijfrichting in.
Vanwege het gemak gaat men daarom ook oplopend doornummeren vanaf het begin van de rij (en niet zoals gevraagd naar links afnummeren vanaf het te verbergen pincijfer):

5678908901234
Dan kan je het cijfer van de pincode wel aflezen want er zit nu een onlogische overgang in de rij 0-9. De overloop van drie nummers verraadt namelijk de positie van het (nu niet meer effectief) verborgen pincijfer. Dat is in dit voorbeeld de tweede acht in het rijtje, cursief weergegeven:
567890 8901234

Dus een ogenschijnlijk kleine aanpassing in de uitvoering, vanwege het gemak, maakt deze methode onbruikbaar. Bij een correct gebruik staat de overloop netjes aan het begin en eind van de regel. Het pincode-kaartje kent alleen deze overloop als het is opgebouwd met 13 kolommen, waar het de letters van het alfabet A-Z over worden verdeeld.

De overloop is verdwenen als je een pincode-kaartje maakt met 10 kolommen. De 26 letters van het alfabet laten dan 4 lege vakjes over (3 rijen van 10 vakjes = 30 vakjes, daarin passen 26 letters, => 4 lege vakjes). Deze lege vakken moeten dan leeg blijven, of desnoods worden opgevuld met streepjes. Nooit opvullen met letters, want die moeten een unieke positie behouden. Letters mogen niet op meerdere plaatsen staan, anders wordt het een chaos.

Dus zo kom je op de vraag: is een pincode-kaartje met 3x10 vakjes voor de letters beter dan een pincode-kaartje van 2x13 vakjes voor de letters? Waarom hebben de ontwerpers deze keuze gemaakt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.