tisdag 16 februari 2010

PIN-kontroll online i Sverige?

Enligt Logic Group så tillåter EMV-standarden PIN-kontroll online eller offline även när kortläsaren är uppkopplad till banken (läs pdf här). Kontroll offline snabbar upp köpprocessen genom att PIN-koden inte behöver skickas in till banken.

Så här beskrivs det:

2.4 Offline PIN Verification
Offline PIN verification means that the PIN can be verified without going online to the acquiring bank. With offline PIN verification, the PIN that the cardholder enters is checked by the card itself. This will save time at the till because the transaction does not need to go online to check the cardholder’s identity.

2.5 Online PIN Verification
The issuer performs online PIN verification. The PIN entered by the cardholder into the PIN pad is securely encrypted and sent from the terminal to the acquirer in the authorisation request message. This method can be used for both magnetic-stripe and chip card transactions. The card itself can decide to force online PIN verification under certain circumstances. For example, if the pattern of card use is unusual, the card may force online PIN verification to ensure that it is not being used fraudulently. This method can also be used to facilitate cash withdrawal at the Point of Sale.

Mer och mer information verkar nu komma som tyder på att svenska butiker mestadels kör med PIN-kontroll online. T ex så skriver en bank idag att Cambridge-hacket kräver att "terminalen accepterar pinkod offline" vilket ska vara ovanligt i vårt land.

Synd att det tidigare har formulerats som "att kortet används off-line utan kontakt med banken" vilket inte är grejen. Cambridge-hacket fungerar med online-terminaler vilket också står tydligt i artikeln. Men det kräver att just PIN-kontrollen sker offline.

Notera att svenska bankkort fungerar utmärkt utomlands ...

6 kommentarer:

Jens sa...

Det känns ju rimligt att "hacket" även drabbar de koddosor som många svenska banker har, där sker pinkosverifikationen definitivt offline.

John Wilander sa...

Hej Jens!

Ja, jag har faktiskt tänkt på det och diskuterat med kollegor men valt att inte lyfta frågan offentligt. Det känns som att dammet bör få lägga sig kring butiksköp först.

En försvårande faktor är ju att bedragaren måste komma över både dosa och kort för att hacka en persons internetbank. Å andra sidan så kommer han/hon då över aktiekonton, lönekonto, sparkonto och så vidare. Skrämmande!

Mina kollegor lyfte också frågan om kombinerade bankkort och e-legitimationer. ofta med samma PIN för båda funktionerna. Frågan är hur såna kort kan utnyttjas? Och hur bra är det att banken har PIN-koden till din e-legitimation?

Helt klart är att bankerna och kortföretagen måste göra något åt det här. Jag är också övertygad om att så kommer ske. Men just nu försöker de mest lugna folk.

Niklas sa...

Hej!

Efter lite research i ämnet är det som du säger, att det finns stöd för Online Pin-verification, men om man läser i EMV-specifikationen, book 3, avsnitt 10.5.2 Online PIN Processing) så står det i sista stycket: "If the online PIN is successfully entered, the terminal shall set the 'Online PIN entered' bit in the TVR to 1. In this case, cardholder verification is considered successful and complete."

Specifikationen för TVR finns i samma dokument i avsnitt C5, men det intressanta är att denna TVR ofta skrivs ut på kortkvittona. Om man tittar på dessa så är 'Online PIN Entered'-biten ofta inte satt (jag har ännu inte sett det), vilket skulle kunna innebära att attacken fortfarande är möjlig i Sverige. Jag kan dock föreställa mig andra metoder i bruk som förhindrar denna attack.

/Niklas

John Wilander sa...

Hej Niklas!

Mycket intressant. Det är ju plöja EMV som gäller i det här läget och ska man hinna/orka med det så får man antingen göra det distribuerat eller vara doktorand ;). Och eftersom min tid som doktorand är över så gläds jag åt att du hittat ett par intressanta referenser.

Nu skulle jag inte lita alltför mycket på att kort- och kvittoterminaler skriver ut korrekta koder. Man ska vara glad åt att de kan hantera betalningar någorlunda ronust. Men din poäng är förstås att kvittot tyder på motsatsen till det bankerna säger.

Min plan är att prata med dem jag känner i bankvärlden och höra mig för. Tills dess ska jag kolla mina kvitton :).

John Wilander sa...

@Niklas
Har du möjlighet att mejla mig? Skulle vilja diskutera lite TVR, kvitton och annat EMV-relaterat.

john.wilander@owasp.org

/John

Niklas sa...

@John: Gjort!

/Niklas