home *** CD-ROM | disk | FTP | other *** search
/ Everything For A Hacker / 19990506-[HACK].iso / CARDING / VISA-PIN.TXT < prev   
Text File  |  1995-02-26  |  3KB  |  51 lines
  1. From msuinfo!netnews.upenn.edu!news.amherst.edu!news.mtholyoke.edu!world!news.kei.com!MathWorks.Com!europa.eng.gtefsd.com!howland.reston.ans.net!EU.net!sunic!ugle.unit.no!ugle.unit.no!hanche Sat May 28 15:35:17 1994
  2. Path: msuinfo!netnews.upenn.edu!news.amherst.edu!news.mtholyoke.edu!world!news.kei.com!MathWorks.Com!europa.eng.gtefsd.com!howland.reston.ans.net!EU.net!sunic!ugle.unit.no!ugle.unit.no!hanche
  3. From: hanche@pyanfar.imf.unit.no (Harald Hanche-Olsen)
  4. Newsgroups: sci.crypt
  5. Subject: Re: Unsecure Cash machines
  6. Date: 25 May 1994 19:05:22 GMT
  7. Organization: University of Trondheim, Norway
  8. Lines: 35
  9. Message-ID: <HANCHE.94May25210522@pyanfar.imf.unit.no>
  10. References: <2rj35l$357@nef.ens.fr> <2ru55j$mhd@nntp.ucs.ubc.ca>
  11.     <2rvd9k$rvf@lyra.csx.cam.ac.uk> <CqD8Au.CuM@cogsci.ed.ac.uk>
  12. NNTP-Posting-Host: pyanfar.imf.unit.no
  13. In-reply-to: richard@cogsci.ed.ac.uk's message of Wed, 25 May 1994 15:56:54 GMT
  14.  
  15. A paper that was posted to the net a good while back has the
  16. following information about how the PIN is computed for a VISA card:
  17. (At least I think that is what he's saying...)
  18.  
  19.   PINs are calculated as follows. Take the last five significant digits of the 
  20.   account number, and prefix them by eleven digits of validation data. These 
  21.   are often the first eleven digits of the account number; they could also be a 
  22.   function of the card issue date. In any case, the resulting sixteen digit 
  23.   value is input to an encryption algorithm (which for IBM and VISA systems is 
  24.   DES, the US Data Encryption Standard algorithm), and encrypted using a sixteen 
  25.   digit key called the PIN key. The first four digits of the result are 
  26.   decimalised, and the result is called the `Natural PIN'.
  27.  
  28.   Many banks just issued the natural PIN to their customers. However, some of 
  29.   them decided that they wished to let their customers choose their own PINs, 
  30.   or to change a PIN if it became known to somebody else. There is therefore a 
  31.   four digit number, called the offset, which is added to the natural PIN to 
  32.   give the PIN which the cusomer must enter at the ATM keyboard.
  33.  
  34. Reference: Article <1992Dec8.112125.22462@infodev.cam.ac.uk> by
  35. rja14@cl.cam.ac.uk (Ross Anderson) of Tue, 8 Dec 1992 11:21:25 GMT.
  36.  
  37. This explains both how the PIN can be encrypted on the card and how
  38. the user may change it.  The paper goes on to talk about how this
  39. encryption is worthless unless good protocols are adhered to.  Of
  40. course, an interesting situation will occur if the PIN key is ever
  41. compromised...
  42.  
  43. For a while at least, I'll make my copy of that paper available at
  44.  
  45.   http://www.imf.unit.no/~hanche/atm.tex.gz
  46.  
  47. for those who may be interested in more detail.
  48.  
  49. - Harald
  50.  
  51.