Diskussionsforum
Menü

PIN auf Karte


12.07.2012 12:57 - Gestartet von koelli
"Alle drei Lücken erlauben einem Angreifer, die PIN auszulesen."

Dabei wurde doch immer behauptet, die PIN sei gar nicht auf der EC-Karte gespeichert! Ja was stimmt denn nun?

Manche Banken bieten mitlerweile sogar an, die PIN am Automaten in eine Wunsch-PIN zu ändern. Das spricht ja auch eher dafür, dass doch eine PIN auf der Karte gespeichert wird.
Menü
[1] HGKluge antwortet auf koelli
12.07.2012 13:00
Benutzer koelli schrieb:
"Alle drei Lücken erlauben einem Angreifer, die PIN auszulesen."


Die PIN wird wohl nicht von der Karte ausgelesen, sondern nach dem eintippen durch den Kunden erfasst.

Viele Grüße,
Hans-Georg Kluge
Menü
[1.1] HGKluge antwortet auf HGKluge
12.07.2012 13:13
Benutzer Herr Doktor schrieb:
Benutzer HGKluge schrieb:
Benutzer koelli schrieb: Die PIN wird wohl nicht von der Karte ausgelesen, sondern nach dem eintippen durch den Kunden erfasst.

Und man eine falsche Pin eintippt...?!

Der Angreifer sollte dann die falsche PIN erhalten.

Viele Grüße,
Hans-Georg Kluge
Menü
[1.2] mnemo antwortet auf HGKluge
12.07.2012 13:54
Benutzer HGKluge schrieb:
Die PIN wird wohl nicht von der Karte ausgelesen, sondern nach dem eintippen durch den Kunden erfasst.

Viele Grüße,
Hans-Georg Kluge

Das sollte im Artikel aber klarer zum Ausdruck kommen! Der Spiegel gibt das korrekt wieder: http://www.spiegel.de/netzwelt/web/sicherheitsluecke-verifone-terminals-fuer-ec-kartenzahlung-unsicher-a-844037.html
Menü
[2] handytim antwortet auf koelli
12.07.2012 13:26
Benutzer koelli schrieb:
Manche Banken bieten mitlerweile sogar an, die PIN am Automaten in eine Wunsch-PIN zu ändern. Das spricht ja auch eher dafür, dass doch eine PIN auf der Karte gespeichert wird.

Wieso denn das? Automaten haben auch eine Online-Verbindung...
Menü
[2.1] koelli antwortet auf handytim
12.07.2012 13:29
Benutzer handytim schrieb:
Benutzer koelli schrieb:
Manche Banken bieten mitlerweile sogar an, die PIN am Automaten in eine Wunsch-PIN zu ändern. Das spricht ja auch eher dafür, dass doch eine PIN auf der Karte gespeichert wird.

Wieso denn das? Automaten haben auch eine Online-Verbindung...

Ja, klar.
Aber man kann die PIN nur an den eigenen Automaten ändern lassen. Daher dachte ich, da wird dann die neue PIN auf den Magnetstreifen geschrieben.
Sonst könnte man die PIN ja an jedem deutschen Automaten ändern lassen, oder?
Menü
[2.1.1] handytim antwortet auf koelli
12.07.2012 13:40
Benutzer koelli schrieb:
Aber man kann die PIN nur an den eigenen Automaten ändern lassen. Daher dachte ich, da wird dann die neue PIN auf den Magnetstreifen geschrieben.
Sonst könnte man die PIN ja an jedem deutschen Automaten ändern lassen, oder?

Liegt vermutlich daran, dass andere Automaten einfach nicht die Software für eine solche Änderung drauf haben. Wie soll man sowas auch bankenübergreifend anbieten können, entspricht ja nicht dem normalen Datenaustausch bei der Bargeldabhebung am Geldautomat.
Menü
[2.1.1.1] Robophone antwortet auf handytim
12.07.2012 14:06
Ein Grund mehr die EC-Karten nicht einzusetzen und nur noch Bargeschäfte zu tätigen und EC-Kram zu ignorieren .

So, wie es aussieht, kann die Technik nie die Klassik(Bargeschäft) ersetzen.

Erzählen sie mir besser, was die eventuell Geschädigte tun können, um das Geld, was Ihnen dadurch durch Betrüger abgesaugt wird, wieder zurück zu bekommen.

Hat man gesetzlichen Anspruch auf Schadensersatz vom Geschäft(in dem man mit der EC-Karte kauft) oder von dem Lesegeräthersteller? Oder vielleicht von beiden, je nachdem, wer es letzendlich bezahlt?

Müssen die Geschädigten eventuell eine Sammelklage erheben gegen die Beiden?
Menü
[2.1.1.1.1] Mobilfunk-Experte antwortet auf Robophone
12.07.2012 15:31
Benutzer Robophone schrieb:

Ein Grund mehr die EC-Karten nicht einzusetzen und nur noch Bargeschäfte zu tätigen und EC-Kram zu ignorieren.

Das darfst du natürlich gerne machen, wenn du dich damit wohler fühlst.

So, wie es aussieht, kann die Technik nie die Klassik(Bargeschäft) ersetzen.

Stimmt, wenn Bargeld weg ist, ist es weg. Ohne PIN, ohne Chip und ohne irgendwelchen anderen Sicherheitselemente.

Erzählen sie mir besser, was die eventuell Geschädigte tun können, um das Geld, was Ihnen dadurch durch Betrüger abgesaugt wird, wieder zurück zu bekommen.

Als Kontoinhaber würde ich zunächst einmal bei meiner Bank der Belastungsbuchung widersprechen.

Hat man gesetzlichen Anspruch auf Schadensersatz vom Geschäft(in dem man mit der EC-Karte kauft) oder von dem Lesegeräthersteller? Oder vielleicht von beiden, je nachdem, wer es letzendlich bezahlt?
Müssen die Geschädigten eventuell eine Sammelklage erheben gegen die Beiden?

Geschädigt ist die Bank, und die kann sich überlegen, ob sie versucht, sich das Geld vom Kontoinhaber zu holen (weil der vielleicht fahrlässig gehandelt hat), oder ob sie die Betreiber der Lesegeräte in Anspruch nimmt.
Menü
[2.1.1.1.2] Christian_Wien antwortet auf Robophone
12.07.2012 20:50
Benutzer Robophone schrieb:
Ein Grund mehr die EC-Karten nicht einzusetzen und nur noch Bargeschäfte zu tätigen und EC-Kram zu ignorieren .

So, wie es aussieht, kann die Technik nie die
Klassik(Bargeschäft) ersetzen.

Erzählen sie mir besser, was die eventuell Geschädigte tun können, um das Geld, was Ihnen dadurch durch Betrüger abgesaugt wird, wieder zurück zu bekommen.



Bei Betrug durch Nutzung der korrekten PIN hast du als Kunde zunächst immer die Arschkarte - umso mehr, wenn der Betrug mit deiner Originalkarte nach Verlust/Diebstahl passiert, weil die Banken mit der behaupteten, aber unbewiesenen angeblichen Sicherheit und Unknackbarkeit bei den meisten Gerichten durchkommen, wenn es sich nicht um einen öffentlich bekannt gewordenen Massenbetrug handelt oder der Kunde seine Unschuld(!) beweisen kann.

Deshalb ist es ratsam, eben NICHT mit der EC-Karte + PIN, sondern entweder mit der EC-Karte im Lastschriftverfahren oder mit der Kreditkarte mit Unterschrift und ohne PIN zu zahlen.
Da hat man als Kunde viel weniger Risiko, denn unberechtigte Lastschriften kann man notfalls einfach zurückbuchen lassen und bei Kreditkartentransaktionen ohne PIN haftet im Zweifel der Händler, wenn er sich nicht mittels Ausweisdokuments und ggf. zustätzlicher Autorisierung bei der Kreditkartenorganisation absichert.
Zahlungen mit Kreditkarte haben nebenbei noch den netten Nebeneffekt, daß sie erst später einmal monatlich abgerechnet werden, während EC-Kartenzahlungen valutamäßig rückwirkend mit dem Zahlungsdatum dem Konto belastet werden.
Menü
[2.1.2] Mobilfunk-Experte antwortet auf koelli
12.07.2012 15:15
Benutzer koelli schrieb:

Benutzer handytim schrieb:

Benutzer koelli schrieb:

Manche Banken bieten mitlerweile sogar an, die PIN am Automaten in eine Wunsch-PIN zu ändern. Das spricht ja auch eher dafür, dass doch eine PIN auf der Karte gespeichert wird.

Wieso denn das? Automaten haben auch eine Online- Verbindung...

Aber man kann die PIN nur an den eigenen Automaten ändern lassen. Daher dachte ich, da wird dann die neue PIN auf den Magnetstreifen geschrieben.

Die PIN steht nicht auf dem Magnetstreifen, sie wird aber sehr wohl im Chip gespeichert. Aus dem Chip lässt sie sich aber nicht so einfach auslesen. Von außen kann man den Chip höchstens fragen, ob eine gegebene Zahl die korrekte PIN ist, und dabei toleriert er nur ein paar Fehlversuche.

Wenn man die PIN am Automaten ändert, muss die Änderung sowohl im Zentralrechner der Bank als auch im Chip auf der Karte gespeichert werden.
Menü
[2.1.2.1] priestorian antwortet auf Mobilfunk-Experte
12.07.2012 16:50

Manche Banken bieten mitlerweile sogar an, die PIN am Automaten in eine Wunsch-PIN zu ändern. Das spricht ja auch eher dafür, dass doch eine PIN auf der Karte gespeichert wird.

Wieso denn das? Automaten haben auch eine Online- Verbindung...

Aber man kann die PIN nur an den eigenen Automaten ändern lassen. Daher dachte ich, da wird dann die neue PIN auf den Magnetstreifen geschrieben.

Die PIN steht nicht auf dem Magnetstreifen, sie wird aber sehr wohl im Chip gespeichert. Aus dem Chip lässt sie sich aber nicht so einfach auslesen. Von außen kann man den Chip höchstens fragen, ob eine gegebene Zahl die korrekte PIN ist, und dabei toleriert er nur ein paar Fehlversuche.

Wenn man die PIN am Automaten ändert, muss die Änderung sowohl im Zentralrechner der Bank als auch im Chip auf der Karte gespeichert werden.

Ist alles Murks was ihr da schreibt. Die PIN ist im Rechner der Bank hinterlegt. Bei einer Geldautomaten Nutzung oder bei Transaktion in den meißten Geschäften wird die eingegebene PIN an den Bankrechner übermittelt. Der überprüft diese dann und gibt bei richtiger Eingabe die Transaktion frei. Nach 3 Fehlversuchen wird die PIN im Bankrechner gesperrt und man muß persönlich in der Bank vorsprechen um die Sperre wieder aufheben zu lassen. Der Magnetstreifen wird schon länger nicht mehr zur Zahlung genutzt. Alle Daten der Bankverbindung sind verschlüsselt im Chip gespeichert die der Geldautomat bzw. das Zahlungsterminal ausliest. Da ist nix mit PIN auf dem Chip gespeichert. Warum wohl wurden bei manipulierten Geldautomaten damals Kameras zur PIN Aufzeichnung genutzt? Wäre die PIN auf der Karte würde man diese gleich mitkopieren können. Wird die PIN am Geldautomaten geändert, wird erst die alte PIN abgefragt, dannach wird zwei mal nach der neuen PIN gefragt. Ist alles korrekt wird die neue PIN im Bankrechner hinterlegt. Das das nur an den Geldautomaten der eigenen Bank(engruppe bzw. Bankenverbund) möglich ist dürfte klar sein weil die Banken unterschiedliche Rechensysteme nutzen. Hebt man Geld bei einer Fremdbank ab überprüft der Geldautomat lediglich ob die Verfügung für den jeweiligen Betrag noch ausreicht. Es ist nämlich auch nicht möglich bei einer Fremdbank den Kontostand zu überprüfen, was bei der eigenen Bank(engruppe bzw. Bankenverbund) in der Regel problemlos möglich ist.
Menü
[2.1.2.1.1] Mobilfunk-Experte antwortet auf priestorian
12.07.2012 17:11
Benutzer priestorian schrieb:

Aber man kann die PIN nur an den eigenen Automaten ändern lassen. Daher dachte ich, da wird dann die neue PIN auf den Magnetstreifen geschrieben.

Die PIN steht nicht auf dem Magnetstreifen, sie wird aber sehr wohl im Chip gespeichert. [...]
Wenn man die PIN am Automaten ändert, muss die Änderung sowohl im Zentralrechner der Bank als auch im Chip auf der Karte gespeichert werden.

Ist alles Murks was ihr da schreibt.

Ach ja?

Die PIN ist im Rechner der Bank hinterlegt.

Und - von außen unzugänglich - im Kartenchip.

Bei einer [...] Transaktion [...] wird die eingegebene PIN an den Bankrechner übermittelt. Der überprüft diese dann und gibt bei richtiger Eingabe die Transaktion frei.

Oder, wenn es das Offline-Limit der Karte erlaubt, wird die PIN direkt vom Kartenchip geprüft - ohne Online-Autorisierung der Bank.

Ich empfehle dir, Google mit den Suchbegriffen "ec karte chip offline" zu füttern.

Alle Daten der Bankverbindung sind verschlüsselt im Chip gespeichert die der Geldautomat bzw. das Zahlungsterminal ausliest. Da ist nix mit PIN auf dem Chip gespeichert.

Aus einem Chip liest das Terminal nicht einfach beliebige Daten aus (wie beim Magnetstreifen), sondern es "redet" mit dem Chip, und der Chip entscheidet, welche Daten er nach außen gibt.

Warum wohl wurden bei manipulierten Geldautomaten damals Kameras zur PIN Aufzeichnung genutzt? Wäre die PIN auf der Karte würde man diese gleich mitkopieren können.

Nein, denn den Chip-Inhalt kann man nicht einfach auslesen oder kopieren.

Wird die PIN am Geldautomaten geändert, wird erst die alte PIN abgefragt, dannach wird zwei mal nach der neuen PIN gefragt. Ist alles korrekt wird die neue PIN im Bankrechner hinterlegt.

Und im Kartenchip.