О pin-коде банковских карт

До сих пор pin-код остается наиболее надежным и эффективным способом верификации владельца банковской карты (вероятно, с ближайшем будущем всё изменится, например, за счет биометрических технологий).

Пи каждом использовании карты её эмитент проверяет соответствие уникального номера карточки с pin-кодом.

Должно ли соответствие номера банковской карты и pin-кода быть взаимно однозначным?

Ответ — нет. И это очевидно. Номер банковской карты чаще всего состоит из 16 цифр, а pin-код — всего 4 - 12 цифр. Поэтому pin-коды двух разных карт могут совпадать, хотя и вероятность найти две такие карты достаточно мала.

Есть ли вообще какое-либо соответствие между pin-кодом и номером карты?

Ответ — да. Такое соответствие устанавливается принятым алгоритмом. В настоящее время одни из самых распространенных это IBM 3624 и VISA PVV.

Можно ли по номеру карты определить ее pin-код?

То-есть является ли pin-код функцией от номер карты? Ответ — в общем случае нет. К примеру, на одной карте могут оказаться рабочими сразу несколько разных pin-кодов (один, два, три и т.д.), например, при использовании алгоритма VISA PVV (вероятность наличия нескольких рабочих pin-кодов около 41,8%). При этом алгоритмы создаются так, чтобы минимизировать потенциальное количество подходящих pin-кодов, так как это минимизирует шанс угадывания. А вот IBM 3624 — пример алгоритма, который дает положительный ответ на данный вопрос.

Может ли эмитент банковской карты вычислить pin-код карты на основании ее номера и других данных, хранящихся на его сервере?

Само значение pin-кода хранить даже в защищенном виде эмитент не имеет права. Но ответ на данный вопрос для каждого случая индивидуален. Всё зависит от нескольких факторов: используемого метода верификации/генерации pin-кода, места хранения специальных значений (PIN Offset/PVV) и используемой технологии самой карточки (магнитная полоса, чип и т.п.)

В каких случаях можно восстановить забытый pin-код без перевыпуска новой банковской карты?

При наличии самой карточки оба распространенных алгоритма (IBM 3624 и VISA PVV) позволяют восстановить или поменять pin-код без перевыпуска карты. При этом для восстановления pin-кода при использовании алгоритма VISA PVV потребуется перебор всех возможных значений. Но на практике, из-за лишних издержек, многие банки отказываются от поддержки восстановления pin-кода даже если это возможно (обычно это требует дополнительных затрат на покупку программного обеспечения) и всегда просто перевыпускают карты.

Если специальные значения PIN Offset/PVV хранятся на магнитной полосе банковской карты, то изменить значение пин-кода в банкомате не получится, поскольку изменение пин-кода влечет за собой изменение значений PIN Offset/PVV. В случае же, когда значения PIN Offset/PVV хранятся в БД карт хоста эмитента (это менее безопасно), изменить значение ПИН-кода не составляет проблемы даже через банкомат.

Одинаковые цифры в pin-коде банковских карт

В 4-х значном pin-коде могут присутствовать одинаковые цифры, за исключение 4-х одинаковых подряд идущих. Но как показывает практика, более двух одинаковых цифр в сгенерированных pin-кодах банковских карт обычно не используется (данная информация не проверена!). Использование более двух одинаковых цифр в четырехзначном pin-коде достаточно опасно. Если мошеннику станет известно, что в pin-коде присутствует 3 одинаковые цифры, то шанс "направленного" угадывания pin-кода значительно увеличивается, особенно если мошеннику удастся узнать значения PIN Offset/PVV.