[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: VISA PIN Verfahren unsicher?

To: Christian Kahlo <C.Kahlo@intershop.de>
Subject: Re: VISA PIN Verfahren unsicher?
From: Sebastian <sebastian@expires1203.datenknoten.de>
Date: 06 Feb 2003 11:01:21 +0100
Cc: "'debate@lists.fitug.de'" <debate@lists.fitug.de>
Delivered-to: mailing list debate@lists.fitug.de
Delivered-to: moderator for debate@lists.fitug.de
In-reply-to: <3131FF8CD6C9784C9E895BC1131223FBF57DD6@jena01.net.j.ad.intershop.net>
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <3131FF8CD6C9784C9E895BC1131223FBF57DD6@jena01.net.j.ad.intershop.net>
Sender: Sebastian Zimmermann <sz@antares.et6.tu-harburg.de>

Am Mit, 2003-02-05 um 23.00 schrieb Christian Kahlo:
> Mit Hilfe der VISA-Karte und der Karten-Pin wurden an Bankautomaten
> Betraege bis zur maximalen Belastungsgrenze abgehoben, binnen
> kuerzester Zeit.
> 
> Die Pin stand nicht auf der Karte und war auch nicht im Portmonaie
> oder anderswo fuer den Dieb erreichbar/sichtbar.
> 
> Die betroffene Person ist als glaubwuerdig zu betrachten.

Wurde die PIN aktiv genutzt? Wenn der PIN-Umschlag noch verschlossen
ist, kann dies als Nachweis verwendet werden. War die PIN jedoch im
regelmäßigen Einsatz, wäre ein Ausspähen der PIN möglich.

> Abgesehen, davon dass diese Behauptung sehr frech ist, scheint
> damit ein Beweis zu existieren, dass das PIN Verfahren zumindest
> der VISA Karten vom Typ der der BBG geknackt ist.

Ein Beweis ist das leider nicht.

> Wer weiss mehr?
> Es waere zu vermuten, dass die PIN-Verfahren von diesem
> VISA-Kartentyp und der ec-Karte auf Grund der prinzipiell
> aehnlichen Aufgaben sehr aehnlich bis identisch sein koennen.

Die PIN der EC-Karte läßt sich seit 1997 nicht mehr aus den Kartendaten
rekonstruieren. Erst mit Verwendung der EC-Chipkarten wird wieder eine
Offline-Autorisierung, also eine Prüfung der PIN nur bei Vorliegen der
Karte, wieder möglich. Wie das bei der Kreditkarte nur mit
Magnetstreifen heute ist, weiß ich leider nicht. Die Systeme sind
prinzipiell unterschiedlich.

> Da Kreditkarten i.A. eine laengere Lebensdauer als ec-Karten
> haben waere es weiterhin moeglich, dass auf dieser Karte ein
> aelteres PIN-Verifikationsverfahren zum Einsatz kam.

Bei der Kreditkarte ist es so, daß einige Geräte die PIN in einem
internen Speicher speichern und erst im Batch übertragen, um so
Wählversuche zu sparen. Solche Geräte könnten natürlich manipuliert
werden.

> Nun gilt es zu beweisen, dass die Bank luegt und eine Beweis-
> lastumkehr zu erreichen, sprich die Bank muss Ihr Verfahren
> offenlegen und beweisen, dass es sicher ist.

Zur Kreditkarte kann ich nicht viel sagen. Aber zur EC-Karte: wenn Du
vor Gericht damit argumentierst, daß die PIN unsicher sei, stehen die
Chancen relativ schlecht. Denn Du kennst das Verfahren nicht. Die Bank
wird aber einen Experten schicken, der sofort alles widerlegt, was du
zur Technik sagst. Greife das Verfahren als Ganzes an. Es gibt unzählige
Beispiele von Betrügereien, auch in den Zeitungen.

Letztlich geht es darum, ob der Kunde seine Sorgfaltspflicht (PIN
geheimhalten etc.) verletzt hat.

Sebastian

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

Follow-Ups:
- Re: VISA PIN Verfahren unsicher?
  - From: Rigo Wenning <rigo@fitug.de>

References:
- VISA PIN Verfahren unsicher?
  - From: Christian Kahlo <C.Kahlo@intershop.de>

Prev by Date: Re: VISA PIN Verfahren unsicher?
Next by Date: Re: VISA PIN Verfahren unsicher?
Previous by thread: Re: VISA PIN Verfahren unsicher?
Next by thread: Re: VISA PIN Verfahren unsicher?
Index(es):
- Date
- Thread