Erneute Angriffe auf Banken-PIN-Verfahren

Bei Wired gibt es einen sehr aufgeregten Artikel, daß das PIN-System gebrochen sei (edit: ...und einen entsprechenden deutschen Bericht bei Golem). Laut dem Artikel gibt es wohl akut zwei Probleme: Zum einen steht die PIN während der Übertragung in der Übertragung in den Transit-Systemen für kurze Zeit im Speicher (und wird dort von einer Hintertür abgegriffen); zum anderen gibt es wohl tatsächlich Angriffe, mit Hilfe derer sich die PIN anhand der Kartendaten berechnen läßt - zumindest wenn die Hardware Security Modules (HSM) "kompatibel, aber unsicher" konfiguriert werden.

Laut dem Experten aus dem Interview ist das Ganze System offenbar so verkorxt, daß man nochmal beim Reißbrett anfangen muß:

To fix the problem, would take a redesign. But he notes that "a complete rethink of the system would just cost more than the banks were willing to make at this time."

Damit ist das PIN-System in guter Gesellschaft mit vielen anderen Banken-Procederes (siehe diese Artikelserie :-)

Daß unter Umständen auch ohne Kenntnis der PIN mit einer gestohlenen Karte Geld abgehoben werden kann, beschäftigt die deutschen Gerichte ja bereits seit mehr als zehn Jahren. Viele Gerichte urteilen zwar immer noch zu Gunsten der Banken, doch hat sich zumindest eine gewisse Skepsis breitgemacht - bis hin zu Urteilen, welche das Berechnen der PIN für möglich halten.

comments powered by Disqus