home *** CD-ROM | disk | FTP | other *** search
/ Simtel MSDOS 1992 June / SIMTEL_0692.cdr / msdos / database / pinmoney.arc / PINMONEY.DOC next >
Encoding:
Text File  |  1989-06-22  |  6.9 KB  |  137 lines
  1.                                   PINMONEY
  2.  
  3.           (A program to remind us about our PINs in a secure way)
  4.  
  5.                               by L. P. Levine
  6.  
  7.                          May 7, 1989  Version 1.00
  8.  
  9.      This  program generates a table filled with random characters  designed 
  10. to hide up to ten passwords or PIN numbers so they can be easily found.  The 
  11. basic  idea  for this scheme was taken from an email posting on  a  security 
  12. board,  however I have lost the document and cannot credit its author.   (If 
  13. you  are  s/he please let me know, and I will put your  name  on  subsequent 
  14. postings.)
  15.  
  16.      Basically the program generates a listing such as the following:
  17.  
  18.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
  19.       
  20.       0   7 1 4 8 6 0 9 9 2 4 3 9 1 6 1 3 6 0 5 2 6 3 5 8 4 9  foggy 
  21.       1   6 9 7 0 2 8 9 3 9 3 4 6 0 8 8 0 3 2 8 5 1 5 5 8 1 1  x-ray 
  22.       2   0 7 6 3 7 2 2 3 5 6 2 5 4 7 6 0 9 1 3 6 7 6 5 7 6 9  box3  
  23.       3   2 0 1 6 9 4 0 4 6 2 0 5 7 8 3 1 8 2 4 9 8 9 9 1 5 7  office
  24.       4   3 0 6 5 1 6 5 6 8 4 1 3 8 4 8 1 4 9 8 8 5 7 8 5 1 3  box4  
  25.       5   1 0 6 7 4 1 1 1 0 6 8 7 1 1 0 6 3 9 9 3 2 2 1 1 5 5  check 
  26.       6   0 2 9 4 5 1 4 2 9 0 1 5 9 0 7 4 5 9 1 0 9 9 3 6 1 6  bus   
  27.       7   6 4 4 7 3 9 0 9 7 3 6 0 6 9 4 2 2 8 1 7 6 9 3 9 8 4  car   
  28.       8   4 0 8 4 2 8 6 4 1 9 4 5 7 7 7 0 7 8 7 5 6 6 0 2 1 1  sport 
  29.       9   8 5 9 6 0 0 4 6 8 4 6 8 8 4 0 0 2 2 1 5 8 6 0 5 3 9  key2   
  30.  
  31. with  260 randomly chosen digits in ten lines numbered 0 through 9 and  with 
  32. each  line  labeled  with a randomly chosen label such as line  0  which  is 
  33. labeled "foggy".  The time of day is used as a seed so your initial  listing 
  34. will  be different from the above. The user is asked for a secret word  con-
  35. sisting  of  more than 4 letters with no repeated letters such as  the  word 
  36. "DEFAULTING".   It then permits the user to change any of the ten  lines  by 
  37. entering its one-digit number, change the label, and enter a password or PIN 
  38. (Personal  Identification Number) using a variety of character  sets.   When 
  39. that has been done a few times the following may appear:
  40.       
  41.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
  42.             
  43.       0   2 8 7 6 5 9 6 9 2 7 1 1 2 6 1 0 8 5 3 6 5 9 4 4 4 0  pin1  
  44.       1   9 1 4 2 9 6 4 9 3 7 3 9 6 1 4 9 8 6 7 0 1 3 5 7 9 6  pin2  
  45.       2   N A H Z K M O K N X V W U C U F K A Q P R O Z K S M  FAXkey
  46.       3   + m 8 4 V s q ) s t g t r * r b o o z X p M : m g l  VAX   
  47.       4   1 1 m w 3 j Z y o m j w b a t I m z v k m E n o { x  unix  
  48.       5   8 4 7 0 2 5 3 2 9 6 5 7 7 2 7 5 2 7 9 5 5 3 4 7 4 6  check 
  49.       6   0 2 9 4 5 1 4 2 9 0 1 5 9 0 7 4 5 9 1 0 9 9 3 6 1 6  bus   
  50.       7   6 4 4 7 3 9 0 9 7 3 6 0 6 9 4 2 2 8 1 7 6 9 3 9 8 4  car   
  51.       8   4 0 8 4 2 8 6 4 1 9 4 5 7 7 7 0 7 8 7 5 6 6 0 2 1 1  sport 
  52.       9   8 5 9 6 0 0 4 6 8 4 6 8 8 4 0 0 2 2 1 5 8 6 0 5 3 9  key2   
  53.  
  54. In this listing I have chosen to change lines 0 - 4 with lines 0 and 1 (pin1 
  55. and  pin2) randomized against just numbers [0..9], line 2  (FAXkey)  against 
  56. the  set  [A..Z]  and  lines  3  and  4  (VAX  and  unix)  against  the  set 
  57. [a..z,A..Z,0..9,(+  specials)].  If the secret word had  been  "DEFAULTING", 
  58. the 4 digit code for pin1 would have been 6592 and that for pin2 2969.   The 
  59. 6  character unix password, would have been w3j1mw.  (pin1 might  have  been 
  60. used to store a bank vault combination for number 65 92 51 62 26.)  
  61.  
  62.      The tabulated list can be printed and cut along suitably printed  marks 
  63. to make a wallet sheet about the size of a dollar bill.  The tabulated  list 
  64. can be saved and then reloaded.  (Note that only the LIST is saved, not  the 
  65. secret  word so that no security is violated by that machine readable  list-
  66. ing.)   When the list has been saved, two files are actually made, one  with 
  67. a  .pin  extension and one with a .txt extension.  The .pin file  permits  a 
  68. load operation to be done, the .txt file permits word processing or emailing 
  69. of a list.
  70.  
  71. SECURITY
  72.  
  73.      Of  course  any system like this lowers the security of a  password  or 
  74. PIN.  However for PINs the decrease is small.  For example in selected lines 
  75. from the listing above:
  76.       
  77.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
  78.       
  79.       0   2 8 7 6 5 9 6 9 2 7 1 1 2 6 1 0 8 5 3 6 5 9 4 4 4 0  pin1  
  80.       1   9 1 4 2 9 6 4 9 3 7 3 9 6 1 4 9 8 6 7 0 1 3 5 7 9 6  pin2  
  81.  
  82. no clue whatsoever can be gleaned from the raw listing.  Even the  knowledge 
  83. that pin1 was 6592 would only give the clue that the first digit of pin2 was 
  84. either a 2, 4, 1 or 0 and that the second digit was either a 9, 6 or 1,  and 
  85. so  on.  With 22 randomly chosen digits and 4 significant ones,  each  digit 
  86. will  appear  randomly 2.2 times in addition to its  significant  appearance 
  87. giving only a chance of about 1 in 100 of guessing pin2.  (In the case above 
  88. there are actually 108 possible choices for pin2.)  Since the bank gives you 
  89. only  three chances to guess the PIN before it takes the card, this risk  is 
  90. quite  low, even given that the knowledge of pin1 had been compromised.   If 
  91. pin1 has not been compromised, the risk is very near zero.  
  92.  
  93.      For  the case of computer passwords, the security problem becomes  much 
  94. more severe.  Again looking at selected lines from the listing:
  95.       
  96.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
  97.       
  98.       3   + m 8 4 V s q ) s t g t r * r b o o z X p M : m g l  VAX   
  99.       4   1 1 m w 3 j Z y o m j w b a t I m z v k m E n o { x  unix  
  100.  
  101.      Just  the knowledge that my unix password was in line 4 would give  the 
  102. clever codebreaker a leg up on the problem that will allow a shortcut to the 
  103. password,  given the power of modern machines, and the ability to make  fast 
  104. repeated  attempts.   We are decreasing the potential number  of  characters 
  105. from which a guesser must choose from more than 90 to less than 26.   Clear-
  106. ly, this is no way to secure the root password on the bank's master  comput-
  107. er.  The problem is mitigated somewhat by storing the correct line buried in 
  108. several  dummy  lines.  (Is the password in unix or in  VAX?)   Putting  the 
  109. first  two characters in unix, my initials in the middle, and the  last  two 
  110. characters in VAX, such as w3LPL4V will increase the security significantly.  
  111. It is still not good.
  112.  
  113. DETAILS
  114.  
  115.      This program is submitted as freeware.  Please let me know of any bugs, 
  116. or  suggested  improvements.  I will fix and include them as  time  permits.  
  117. The program was written in Turbo Pascal version 4.
  118.  
  119. Len Levine
  120. Department of Electrical Engineering and Computer Science
  121. University of Wisconsin-Milwaukee
  122. PO Box 785
  123. Milwaukee, WI 53201
  124.  
  125. 3942 N. Oakland Avenue, Apt 241
  126. Shorewood, WI 53211
  127.  
  128. len@evax.milw.wisc.edu
  129. (414) 229-5170 work  
  130. (414) 962-4719 home
  131.  
  132.  
  133.  
  134.  
  135.  
  136.  
  137.