home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / alt / security / 4034 < prev    next >
Encoding:
Internet Message Format  |  1992-07-29  |  2.0 KB
  1. Path: sparky!uunet!mcsun!uknet!cam-cl!cam-cl!rja14
  2. From: rja14@cl.cam.ac.uk (Ross Anderson)
  3. Newsgroups: alt.security
  4. Subject: Re: PIN Codes
  5. Message-ID: <1992Jul29.121048.29079@cl.cam.ac.uk>
  6. Date: 29 Jul 92 12:10:48 GMT
  7. References: <1992Jul28.090418.854@news.Hawaii.Edu>
  8. Sender: news@cl.cam.ac.uk (The news facility)
  9. Reply-To: rja14@cl.cam.ac.uk (Ross Anderson)
  10. Organization: U of Cambridge Computer Lab, UK
  11. Lines: 37
  12.  
  13.  
  14. In <1992Jul28.090418.854@news.Hawaii.edu>, ldoming@wiliki.eng.hawaii.edu
  15. (Lawrence Domingo) writes:
  16.  
  17.  
  18. > BUT...how do they recreate the mag strip with all the correct information
  19. > if they don't know the PVK (pin key)?  If I understand correctly, in some
  20. > systems the account number and card number are encrypted using the pin key,
  21. > and the result written to track 2 of the mag strip.
  22.  
  23. Some systems do something like this.
  24.  
  25. > Then a pin offset, also writtem on track 2, is used to determine the actual 
  26. pin from the encrypted value.
  27.  
  28. Not that I've come across. You either have an offset, or the PIN and account
  29. number encrypted, or nothing at all except the account number and expiry date. 
  30. It is this last type of system which is so vulnerable to crooks looking 
  31. over the customer's shoulder.
  32.  
  33. > In both cases, one would have to know the PVK or pin-key in order to know
  34. > what should be written to the mag strip when all you have is the account
  35. > number and PIN.
  36.  
  37. Not quite. Offsets usually have a default value of zero as that was the IBM
  38. way of doing things. A nontrivial proportion of customers may never have
  39. bothered to change their PINs and so you can just write a zero offset to
  40. the card and hope for the best.
  41.  
  42. As a result of all the posting here, I've got a fair bit of email and one
  43. item in particular should be of interest. Last month, at a market stall in
  44. High Wycombe, England, a stallholder was offering some pretty good bargains.
  45. To pay with your credit or debit card, you just swiped it in his reader,
  46. types a PIN into the portable PC to which the reader was attached, and got
  47. a beautiful printed receipt. . .
  48.  
  49. Ross
  50.