De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Un número de identificación personal enviado a su usuario en una carta. La solapa de papel oscurecida evita que se lea el número al sostener el sobre sin abrir a la luz.

Un número de identificación personal ( PIN ), o algunas veces un número de PIN redundante , es un código de acceso numérico o alfanumérico que se utiliza en el proceso de autenticación de un usuario que accede a un sistema.

El número de identificación personal ha sido la clave para el florecimiento del intercambio de datos privados entre diferentes centros de procesamiento de datos en redes informáticas para instituciones financieras, gobiernos y empresas. [1] Los PIN se pueden utilizar para autenticar sistemas bancarios con titulares de tarjetas, gobiernos con ciudadanos, empresas con empleados y computadoras con usuarios, entre otros usos.

En el uso común, los PIN se utilizan en transacciones de cajeros automáticos o puntos de venta, [2] control de acceso seguro (por ejemplo, acceso a computadora, acceso de puerta, acceso de automóvil), [3] transacciones de Internet, [4] o para iniciar sesión en un sitio web restringido.

Historia [ editar ]

El PIN se originó con la introducción del cajero automático (ATM) en 1967, como una forma eficiente para que los bancos distribuyeran efectivo a sus clientes. El primer sistema de cajeros automáticos fue el de Barclays en Londres, en 1967; aceptó cheques con codificación legible por máquina, en lugar de tarjetas, y comparó el PIN con el cheque. [5] [6] [7] 1972, Lloyds Bank emitió la primera tarjeta bancaria con una banda magnética de codificación de información, utilizando un PIN por seguridad. [8] James Goodfellow , el inventor que patentó el primer número de identificación personal, recibió un OBE en el 2006 Queen's Birthday Honors .[9] [10]

Mohamed M. Atalla inventó el primer módulo de seguridad de hardware (HSM) basado en PIN , [11] denominado "Atalla Box", un sistema de seguridad que encriptaba los mensajes de PIN y cajeros automáticos y protegía los dispositivos fuera de línea con una clave generadora de PIN imposible de adivinar. [12] En 1972, Atalla presentó la patente estadounidense 3.938.091 para su sistema de verificación de PIN, que incluía un lector de tarjetas codificado y describía un sistema que utilizaba técnicas de encriptación para garantizar la seguridad del enlace telefónico al ingresar información de identificación personal que se transmitió a una ubicación remota para su verificación. . [13]

Fundó Atalla Corporation (ahora Utimaco Atalla ) en 1972, [14] y lanzó comercialmente "Atalla Box" en 1973 ,. [12] El producto fue lanzado como Identikey. Era un lector de tarjetas y un sistema de identificación de clientes , que proporcionaba un terminal con tarjetas de plástico y capacidades de PIN. El sistema fue diseñado para permitir que los bancos y las instituciones de ahorro pasen a un entorno de tarjetas de plástico desde un programa de libretas . El sistema Identikey constaba de una consola de lectura de tarjetas, dos teclados de PIN del cliente , un controlador inteligente y un paquete de interfaz electrónico integrado. [15] El dispositivo constaba de dosteclados , uno para el cliente y otro para el cajero. Permitía al cliente escribir un código secreto, que el dispositivo transformaba, utilizando un microprocesador , en otro código para el cajero. [16] Durante una transacción , el lector de tarjetas leyó el número de cuenta del cliente . Este proceso reemplazó la entrada manual y evitó posibles errores de pulsación de tecla. Permitió a los usuarios reemplazar los métodos tradicionales de verificación de clientes, como la verificación de firmas y las preguntas de prueba, con un sistema de PIN seguro. [15] En reconocimiento a su trabajo en el sistema PIN de gestión de seguridad de la información , Atalla ha sido referido como el "Padre del PIN". [17] [18][19]

El éxito de "Atalla Box" llevó a la adopción generalizada de módulos de seguridad de hardware basados ​​en PIN. [20] Su proceso de verificación de PIN fue similar al IBM 3624 posterior . [21] En 1998, se estimaba que el 70% de todas las transacciones de cajeros automáticos en los Estados Unidos se enrutaban a través de módulos de hardware especializados de Atalla, [22] y para 2003, Atalla Box aseguraba el 80% de todos los cajeros automáticos del mundo, [17] aumentando a 85% a partir de 2006. [23] Los productos HSM de Atalla protegen 250  millones de transacciones con tarjeta todos los días a partir de 2013, [14] y aún aseguran la mayoría de las transacciones de cajeros automáticos del mundo a partir de 2014. [11]

Servicios financieros [ editar ]

Uso de PIN [ editar ]

En el contexto de una transacción financiera, normalmente se requiere tanto un "código PIN" privado como un identificador de usuario público para autenticar a un usuario en el sistema. En estas situaciones, normalmente se requiere que el usuario proporcione un identificador o token de usuario no confidencial (el ID de usuario ) y un PIN confidencial para obtener acceso al sistema. Al recibir el ID de usuario y el PIN, el sistema busca el PIN basándose en el ID de usuario y compara el PIN buscado con el PIN recibido. El usuario tiene acceso solo cuando el número ingresado coincide con el número almacenado en el sistema. Por lo tanto, a pesar del nombre, un PIN no identifica personalmente al usuario. [24] El PIN no está impreso ni incrustado en la tarjeta, pero el titular de la tarjeta lo ingresa manualmente durantetransacciones en cajeros automáticos (ATM) y puntos de venta (POS) (como los que cumplen con EMV ), y en transacciones con tarjeta no presente , como por Internet o para banca telefónica.

Longitud del PIN [ editar ]

El estándar internacional para la gestión de PIN de servicios financieros, ISO 9564-1 , permite PIN de cuatro a doce dígitos, pero recomienda que, por razones de usabilidad, el emisor de la tarjeta no asigne un PIN de más de seis dígitos. [25] El inventor del cajero automático, John Shepherd-Barron , al principio había imaginado un código numérico de seis dígitos, pero su esposa solo podía recordar cuatro dígitos, y esa se ha convertido en la longitud más utilizada en muchos lugares, [6] aunque los bancos en Suiza y muchos otros países requieren un PIN de seis dígitos.

Validación de PIN [ editar ]

Existen varios métodos principales para validar los PIN. Las operaciones que se describen a continuación se realizan generalmente dentro de un módulo de seguridad de hardware (HSM).

Método IBM 3624 [ editar ]

Uno de los primeros modelos de cajeros automáticos fue el IBM 3624 , que utilizó el método de IBM para generar lo que se denomina un PIN natural . El PIN natural se genera cifrando el número de cuenta principal (PAN), utilizando una clave de cifrado generada específicamente para ese propósito. [26] Esta clave a veces se denomina clave de generación de PIN (PGK). Este PIN está directamente relacionado con el número de cuenta principal. Para validar el PIN, el banco emisor vuelve a generar el PIN utilizando el método anterior y lo compara con el PIN introducido.

Los PIN naturales no pueden ser seleccionados por el usuario porque se derivan del PAN. Si la tarjeta se vuelve a emitir con un nuevo PAN, se debe generar un nuevo PIN.

Los PIN naturales permiten a los bancos emitir cartas recordatorias de PIN a medida que se puede generar el PIN.

IBM 3624 + método de compensación [ editar ]

Para permitir PIN seleccionables por el usuario, es posible almacenar un valor de compensación de PIN. El desplazamiento se encuentra restando el PIN natural del PIN seleccionado por el cliente usando el módulo 10. [27] Por ejemplo, si el PIN natural es 1234 y el usuario desea tener un PIN de 2345, el desplazamiento es 1111.

La compensación se puede almacenar en los datos de seguimiento de la tarjeta, [28] o en una base de datos en el emisor de la tarjeta.

Para validar el PIN, el banco emisor calcula el PIN natural como en el método anterior, luego agrega la compensación y compara este valor con el PIN ingresado.

Método VISA [ editar ]

Al usar esta terminal de tarjeta de crédito, el titular de la tarjeta VISA desliza o inserta su tarjeta de crédito e ingresa su PIN en el teclado

El método VISA es utilizado por muchos esquemas de tarjetas y no es específico de VISA. El método VISA genera un valor de verificación de PIN (PVV). Similar al valor de compensación, se puede almacenar en los datos de seguimiento de la tarjeta o en una base de datos en el emisor de la tarjeta. Esto se llama PVV de referencia.

El método VISA toma los once dígitos más a la derecha del PAN excluyendo el valor de la suma de verificación, un índice de clave de validación del PIN (PVKI, elegido de uno a seis) y el valor del PIN requerido para hacer un número de 64 bits, el PVKI selecciona una clave de validación (PVK , de 128 bits) para cifrar este número. A partir de este valor cifrado, se encuentra el PVV. [29]

Para validar el PIN, el banco emisor calcula un valor de PVV a partir del PIN y PAN ingresados ​​y compara este valor con el PVV de referencia. Si el PVV de referencia y el PVV calculado coinciden, se ingresó el PIN correcto.

A diferencia del método de IBM, el método VISA no deriva un PIN. El valor de PVV se usa para confirmar el PIN ingresado en el terminal, también se usó para generar el PVV de referencia. El PIN utilizado para generar un PVV puede generarse de forma aleatoria o seleccionarse por el usuario o incluso derivarse mediante el método de IBM.

Seguridad del PIN [ editar ]

Los PIN financieros suelen ser números de cuatro dígitos en el rango de 0000 a 9999, lo que da como resultado 10.000 combinaciones posibles. Suiza emite PIN de seis dígitos de forma predeterminada.

Algunos sistemas configuran PIN predeterminados y la mayoría permiten que el cliente configure un PIN o cambie el predeterminado, y en algunos es obligatorio un cambio de PIN en el primer acceso. Por lo general, se aconseja a los clientes que no establezcan un PIN en función de los cumpleaños de ellos o de su cónyuge, números de licencia de conducir, números consecutivos o repetitivos o algunos otros esquemas. Algunas instituciones financieras no dan ni permiten PIN en los que todos los dígitos son idénticos (como 1111, 2222, ...), consecutivos (1234, 2345, ...), números que comienzan con uno o más ceros o los últimos cuatro dígitos. del número de seguro social o fecha de nacimiento del titular de la tarjeta . [ cita requerida ]

Muchos sistemas de verificación de PIN permiten tres intentos, lo que le da al ladrón de tarjetas una probabilidad putativa del 0.03% de adivinar el PIN correcto antes de que se bloquee la tarjeta. Esto es válido solo si todos los PIN son igualmente probables y el atacante no tiene más información disponible, lo que no ha sido el caso con algunos de los muchos algoritmos de generación y verificación de PIN que las instituciones financieras y los fabricantes de cajeros automáticos han utilizado en el pasado. [30]

Se han realizado investigaciones sobre los PIN de uso común. [31] El resultado es que sin una previsión, una parte considerable de los usuarios puede encontrar su PIN vulnerable. "Armados con sólo cuatro posibilidades, los piratas informáticos pueden descifrar el 20% de todos los PIN. No les permitan más de quince números y pueden acceder a las cuentas de más de una cuarta parte de los titulares de tarjetas". [32]

Los PIN rompibles pueden empeorar con la longitud, a saber:

El problema con los PIN que se pueden adivinar empeora sorprendentemente cuando los clientes se ven obligados a utilizar dígitos adicionales, pasando de un 25% de probabilidad con quince números a más del 30% (sin contar los 7 dígitos con todos esos números de teléfono). De hecho, aproximadamente la mitad de todos los PIN de 9 dígitos se pueden reducir a dos docenas de posibilidades, en gran parte porque más del 35% de todas las personas usan el demasiado tentador 123456789. En cuanto al 64% restante, es muy probable que estén usando su número de seguro social , lo que los hace vulnerables. (Los números de seguro social contienen sus propios patrones bien conocidos). [32]

Defectos de implementación [ editar ]

En 2002, dos estudiantes de doctorado de la Universidad de Cambridge , Piotr Zieliński y Mike Bond, descubrieron una falla de seguridad en el sistema de generación de PIN del IBM 3624 , que estaba duplicado en la mayoría de hardware posterior. Conocido como el ataque de la tabla de decimalización , la falla permitiría que alguien que tenga acceso al sistema informático de un banco determine el PIN de una tarjeta de cajero automático en un promedio de 15 intentos. [33] [34]

Fraude de PIN inverso [ editar ]

Han circulado rumores por correo electrónico que afirman que en el caso de ingresar un PIN en un cajero automático al revés, la policía será alertada instantáneamente y que el dinero se emitirá normalmente como si el PIN se hubiera ingresado correctamente. [35] La intención de este plan sería proteger a las víctimas de asaltos; sin embargo, a pesar de que el sistema se propone para su uso en algunos estados de EE. UU., [36] [37] actualmente no hay cajeros automáticos [ ¿cuándo? ] en existencia que emplean este software. [38]

Códigos de acceso de teléfonos móviles [ editar ]

Un teléfono móvil puede estar protegido con PIN. Si está habilitado, el PIN (también llamado código de acceso) para teléfonos móviles GSM puede tener entre cuatro y ocho dígitos [39] y se registra en la tarjeta SIM . Si dicho PIN se ingresa incorrectamente tres veces, la tarjeta SIM se bloquea hasta que se ingresa un código de desbloqueo personal (PUC o PUK), proporcionado por el operador del servicio. Si el PUC se ingresa incorrectamente diez veces, la tarjeta SIM se bloquea permanentemente, lo que requiere una nueva tarjeta SIM del servicio del operador de telefonía móvil.

Los PIN también se utilizan comúnmente en los teléfonos inteligentes, como una forma de autenticación personal, de modo que solo aquellos que conocen el PIN podrán desbloquear el dispositivo. Después de varios intentos fallidos de ingresar el PIN correcto, se puede bloquear al usuario para que no vuelva a intentarlo durante un período de tiempo asignado, se pueden eliminar todos los datos almacenados en el dispositivo o se le puede pedir al usuario que ingrese información alternativa que solo se espera que el propietario sepa autenticarse. Si alguno de los fenómenos mencionados anteriormente ocurre después de intentos fallidos de ingresar el PIN depende en gran medida del dispositivo y de las preferencias elegidas por el propietario en su configuración.

Ver también [ editar ]

  • Software ATM SafetyPIN
  • Código de Seguridad de la Tarjeta
  • Número de autenticación de la transacción

Referencias [ editar ]

  1. ^ Higgs, Edward (1998). Historia y artefactos electrónicos . Prensa de la Universidad de Oxford. ISBN 0198236336.
  2. ^ Martin, Keith (2012). Criptografía cotidiana: principios y aplicaciones fundamentales . Prensa de la Universidad de Oxford. ISBN 9780199695591.
  3. ^ Cale, Stephane (2013). Seguridad del acceso móvil: más allá de BYOD . Wiley Publishing. ISBN 978-1-84821-435-4.
  4. ^ "Comercio electrónico: una Web enredada para débito PIN" . Transacciones digitales . 1 de febrero de 2013 - vía Associated Press.
  5. ^ Jarunee Wonglimpiyara, Estrategias de competencia en el negocio de tarjetas bancarias (2005), p. 1-3.
  6. ^ a b "El hombre que inventó el cajero automático" . BBC. 2007-06-25 . Consultado el 15 de junio de 2014 .
  7. ^ "El inventor de cajeros automáticos John Shepherd-Barron muere a los 84" . Los Angeles Times . 19 de mayo de 2010 - vía Associated Press.
  8. ^ Jarunee Wonglimpiyara, Estrategias de competencia en el negocio de tarjetas bancarias (2005), p. 5.
  9. ^ "Honor real para el inventor de Pin" . BBC. 2006-06-16 . Consultado el 5 de noviembre de 2007 .
  10. ^ GB 1197183  "Mejoras en o en relación con los sistemas de dispensación operados por el cliente" - Ivan Oliveira, Anthony Davies, James Goodfellow
  11. ↑ a b Stiennon, Richard (17 de junio de 2014). "Gestión de claves un espacio de rápido crecimiento" . SecurityCurrent . IT-Harvest . Consultado el 21 de agosto de 2019 .
  12. ↑ a b Bátiz-Lazo, Bernardo (2018). Cash and Dash: Cómo los cajeros automáticos y las computadoras cambiaron la banca . Prensa de la Universidad de Oxford . págs. 284 y 311. ISBN 9780191085574.
  13. ^ "Los impactos económicos del programa estándar de cifrado de datos (DES) del NIST" (PDF) . Instituto Nacional de Estándares y Tecnología . Departamento de Comercio de los Estados Unidos . Octubre de 2001 . Consultado el 21 de agosto de 2019 .
  14. ↑ a b Langford, Susan (2013). "Ataques de retiro de efectivo en cajeros automáticos" (PDF) . Hewlett Packard Enterprise . Hewlett-Packard . Consultado el 21 de agosto de 2019 .
  15. ^ a b "Sistema de identificación diseñado como actualización NCR 270" . Computerworld . IDG Enterprise. 12 (7): 49. 13 de febrero de 1978.
  16. ^ "Se dieron a conocer cuatro productos para transacciones en línea" . Computerworld . IDG Enterprise. 10 (4): 3. 26 de enero de 1976.
  17. ^ a b "Martin M. (John) Atalla" . Universidad de Purdue . 2003 . Consultado el 2 de octubre de 2013 .
  18. ^ "El gurú de la seguridad aborda Net: padre de PIN 'unretires' para lanzar TriStrata" . Los diarios comerciales . Revistas de negocios de la ciudad estadounidense . 2 de mayo de 1999 . Consultado el 23 de julio de 2019 .
  19. ^ "Escuelas de ingeniería de Purdue honran a 10 alumnos distinguidos" . Diario y mensajería . 5 de mayo de 2002. p. 33.
  20. ^ Bátiz-Lazo, Bernardo (2018). Cash and Dash: Cómo los cajeros automáticos y las computadoras cambiaron la banca . Prensa de la Universidad de Oxford . pag. 311. ISBN 9780191085574.
  21. ^ Konheim, Alan G. (1 de abril de 2016). "Cajeros automáticos: su historial y protocolos de autenticación" . Revista de Ingeniería Criptográfica . 6 (1): 1–29. doi : 10.1007 / s13389-015-0104-3 . ISSN 2190-8516 . Archivado desde el original el 22 de julio de 2019 . Consultado el 22 de julio de 2019 . 
  22. ^ Grant, Gail L. (1998). Comprensión de las firmas digitales: establecimiento de confianza en Internet y otras redes . McGraw-Hill . pag. 163. ISBN 9780070125544. De hecho, se estima que el 70 por ciento de todas las transacciones bancarias en cajeros automáticos en los EE.UU. se enrutan a través de módulos de seguridad de hardware especializados de Atalla.
  23. ^ "Descripción general de la cartera para pagos y GP HSM" (PDF) . Utimaco . Consultado el 22 de julio de 2019 .
  24. ^ Su número de identificación no es una contraseña , Webb-site.com, 8 de noviembre de 2010
  25. ^ ISO 9564-1: 2011 Servicios financieros - Gestión y seguridad del número de identificación personal (PIN) - Parte 1: Principios y requisitos básicos para los PIN en sistemas basados ​​en tarjetas , cláusula 8.1 Longitud del PIN
  26. ^ "Algoritmo de generación de PIN 3624" . IBM.
  27. ^ "Algoritmo de generación de compensación de PIN" . IBM.
  28. ^ "Formato de seguimiento de tarjetas de banda magnética" . Gae.ucm.es.
  29. ^ "Algoritmo de generación de PVV" . IBM.
  30. ^ Kuhn, Markus (julio de 1997). "Teoría de la probabilidad para carteristas - adivinar ec-PIN" (PDF) . Consultado el 24 de noviembre de 2006 . Cite journal requiere |journal=( ayuda )
  31. ^ Nick Berry (28 de septiembre de 2012). "Los PIN más comunes: ¿su cuenta bancaria es vulnerable?" . Sitio web del periódico Guardian . Consultado el 25 de febrero de 2013 .
  32. ↑ a b Lundin, Leigh (4 de agosto de 2013). "PIN y contraseñas, parte 1" . Contraseñas . Orlando : SleuthSayers. Armados con solo cuatro posibilidades, los piratas informáticos pueden descifrar el 20% de todos los PIN.
  33. ^ Zieliński, P & Bond, M (febrero de 2003). "Ataques de tabla de decimalización para el descifrado de PIN" (PDF) . 02453. Laboratorio de Computación de la Universidad de Cambridge . Consultado el 24 de noviembre de 2006 . Cite journal requiere |journal=( ayuda )
  34. ^ "Cobertura de los medios" . Laboratorio de Computación de la Universidad de Cambridge . Consultado el 24 de noviembre de 2006 .
  35. ^ "Código de pánico PIN inverso" . Consultado el 2 de marzo de 2007 .
  36. ^ Texto completo de la Asamblea General de Illinois SB0562 , consultado el 20 de julio de 2011
  37. ^ sb379_SB_379_PF_2.html Proyecto de ley del Senado 379 Archivado el 23 de marzo de 2012 en laAsamblea General de Wayback Machine Georgia, publicado en 2006, consultado el 20 de julio de 2011
  38. ^ "¿Ingresar el PIN de su cajero automático al revés desencadenará a la policía?" . Raro . 2020-12-15 . Consultado el 27 de febrero de 2021 .
  39. ^ 082251615790 GSM 02.17 Módulos de identidad de suscriptor, características funcionales, versión 3.2.0, febrero de 1992 , cláusula 3.1.3