![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Вопрос знатокам банковской системы
Jul. 11th, 2013 09:45 amЯ тут в дискуссии с юзером ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
_beast про банковские ПИНы столкнулся с интересным аргументом оппонента.
Аргумент звучит так "Да, многие крупные банки типа Баклайз или Дойча Банк имеют процедуру напоминания забытого ПИНа для кредитных или дебетных карточек (вам высылают по бумажной почте письмо с ПИНом). Но такие процудуры незаконны (нарушают договор между банком и процессинговой компанией), ВИЗА и МАСТЕРКАРД явным текстом запрещают такие операции, и не подают в суд на Барклайз или Дойче Банк просто потому что не хотят с ними сориться. Типа, по договору можно лишь создавать новый ПИН, а хранить у себя в подземных хранилищах в дейта центрам текущие, действительные ПИНы в открытом тексте (или в зашифрованном виде но с наличием ключа шифрования который позволяет их расшифровать если банку это нужно) - невыносимое понижение секьюрити"
Я могу вполне допустить что это и на самом деле так (в мире есть много чего странного), но я бы хотел верифицировать этот тезис из независимых источников.
Кто работает в банках, можете узнать это для меня. Действительно ли речь идет про наглое нарушение договора с процессинговой компанией? Неужели в Западе такие вопиющие нарушения не разрулены как-то юридически?
Или оппонент пытался меня элементарно обмануть?
Хочу все знать.
ПС. Кстати, тут еще один момент, технический. Допустим, действительно банк решил хранить не ПИНЫ а только хэши ПИНов (для повышение секьюрити). Но поскольку ПИН - короткое слово, то человек, получившый доступ к хэшу ПИНа - легко может вычислить хэши всех возможных 10*10*10*10 (=десяти тысяч) комбинаций, и сравнить полученный украденный хэш с этим списком, сразу найдя оригинальный ПИН. Так что хранить ПИНы в выде простых хэшей - обеспечивает такой же уровень секьюрити как и плейн текст.
_beast про банковские ПИНы столкнулся с интересным аргументом оппонента.Аргумент звучит так "Да, многие крупные банки типа Баклайз или Дойча Банк имеют процедуру напоминания забытого ПИНа для кредитных или дебетных карточек (вам высылают по бумажной почте письмо с ПИНом). Но такие процудуры незаконны (нарушают договор между банком и процессинговой компанией), ВИЗА и МАСТЕРКАРД явным текстом запрещают такие операции, и не подают в суд на Барклайз или Дойче Банк просто потому что не хотят с ними сориться. Типа, по договору можно лишь создавать новый ПИН, а хранить у себя в подземных хранилищах в дейта центрам текущие, действительные ПИНы в открытом тексте (или в зашифрованном виде но с наличием ключа шифрования который позволяет их расшифровать если банку это нужно) - невыносимое понижение секьюрити"
Я могу вполне допустить что это и на самом деле так (в мире есть много чего странного), но я бы хотел верифицировать этот тезис из независимых источников.
Кто работает в банках, можете узнать это для меня. Действительно ли речь идет про наглое нарушение договора с процессинговой компанией? Неужели в Западе такие вопиющие нарушения не разрулены как-то юридически?
Или оппонент пытался меня элементарно обмануть?
Хочу все знать.
ПС. Кстати, тут еще один момент, технический. Допустим, действительно банк решил хранить не ПИНЫ а только хэши ПИНов (для повышение секьюрити). Но поскольку ПИН - короткое слово, то человек, получившый доступ к хэшу ПИНа - легко может вычислить хэши всех возможных 10*10*10*10 (=десяти тысяч) комбинаций, и сравнить полученный украденный хэш с этим списком, сразу найдя оригинальный ПИН. Так что хранить ПИНы в выде простых хэшей - обеспечивает такой же уровень секьюрити как и плейн текст.
