El gran cuadrado tiene 100 filas y 100 columnas. Empezando por el 0000 en la esquina de abajo a la izquierda las columnas marcan el porcentaje de aparición de los dos primeros dígitos (00, 01, 02…) y las filas hacia arriba los dos últimos (…01, …02, …03…). Los colores oscuros son las combinaciones menos habituales; los amarillos brillantes los más habituales.
Me acabo de leer el articulo y es realmente interesante, me ha llamado mucho la atencion las conclusiones que saca al final, como por ejemplo esta:
The lighter areas corresponding to couplets of numbers that are close to each other. For some reason, people don't like to select pairs of numbers that have larger numerical gaps between them. Combinations like 45 and 67 occur much more frequently than things like 29 and 37
Y la forma de cuadricula que tiene la gráfica gris por causa de eso.
Es una pena que no sepamos exactamente de donde ha salido la lista de números que uso. Estaría muy bien que alguien le pasara la lista de passwords del Santander
Los bancos no saben cual es tu pin, saben cual es el valor cifrado de tu pin, por eso no pueden decirtelo si se lo pides y te lo cambian por otro nuevo en caso de perdida.
Así que no se de donde han sacado esos valores para hacer la estadística.
#5 Falso. A mi un director de una sucursal de la caixa me dio un papel con el pin de la tarjeta, que me habia olvidado. Se que era el mismo pin porque recordaba una permutación de los digitos, pero no sabia el orden correcto, por eso fui a reclamar uno nuevo.
Así las 10.0000 veces y ya tengo todos los passwords descifrados para retornar los PIN originales.
Sera mas lento si, en lugar de comparar lineas de 4 caracteres tendré que comparar strings mas largos, pero sigue siendo ridículamente rápido.
La seguridad no esta en el PIN, si no en la combinación de PIN y tarjeta.
#7 Pero el salt que se genera si se guarda y esta asociado a cada cliente no?
A donde quiero llegar es a que el banco (en el hipotético caso de que pudiese/quisiese) tiene los medios para hacer una "reversión" de los PIN sin muchos problema y pasarte una lista de los que usan sus clientes no?
Disclaimer: No es por marear la perdiz aunque pueda parecerlo, curiosidad mas que nada.
#9 En condiciones normales no debería ser posible, pero los pines bancarios tienen el defecto de ser cortos, con solo diez valores por dígito y todos de la misma longitud, así que supongo que sería posible hacer 10.000 iteraciones sobre cada pareja sal+pin para ver cuál coincide.
En sistemas con claves de diferentes longitudes y con más caracteres disponibles para cada dígito es inviable un ataque de fuerza bruta
La diagonal es de parejas repetidas 0000-0101-0202-0303-...9898-9999 Se ve que brillan un poco más los 1111-2222-3333... cada 11 unidades de la diagonal, pero no mucho más. Aparece junto a la diagonal un 5150 más brillante. Y el 6969.
El cuadro más brillante abajo a la izquierda abarca del 0101 al 0130-0131, las fechas de nacimiento mes-día MMDD (se nota febrero y la unión julio-agosto).
Justo encima del cuadro a la derecha (encima de diciembre 12XX) está el más blanco de todos: 1234.
La línea vertical es 1940-1999, los años, y sigue, contigua, la línea hasta 2005. Se ve que los menores de 20 años no usan mucho la tarjeta de crédito.
Hay un punto negro en 8068 ¿?
Lo mejor es aprenderse el pin que te da el banco por defecto porque se supone que es aleatorio. No hay que cambiarlo por una fecha de nacimiento, son cuatro míseros dígitos y en cinco minutos te los has aprendido.
Comentarios
La línea vertical es 19XX (el año de nacimiento, presumiblemente)
Me acabo de leer el articulo y es realmente interesante, me ha llamado mucho la atencion las conclusiones que saca al final, como por ejemplo esta:
The lighter areas corresponding to couplets of numbers that are close to each other. For some reason, people don't like to select pairs of numbers that have larger numerical gaps between them. Combinations like 45 and 67 occur much more frequently than things like 29 and 37
Y la forma de cuadricula que tiene la gráfica gris por causa de eso.
Es una pena que no sepamos exactamente de donde ha salido la lista de números que uso. Estaría muy bien que alguien le pasara la lista de passwords del Santander
#3 Sería interesante para saber dónde no guardar nuestro dinero. Porque no guardar las contraseñas con cifrado irreversible es una cagada importante
#4 A mi tambien me ha extrañado...
Los bancos no saben cual es tu pin, saben cual es el valor cifrado de tu pin, por eso no pueden decirtelo si se lo pides y te lo cambian por otro nuevo en caso de perdida.
Así que no se de donde han sacado esos valores para hacer la estadística.
#5 Falso. A mi un director de una sucursal de la caixa me dio un papel con el pin de la tarjeta, que me habia olvidado. Se que era el mismo pin porque recordaba una permutación de los digitos, pero no sabia el orden correcto, por eso fui a reclamar uno nuevo.
#4 Tienes toda la razón, si las guardan en texto es para matarlos, pero aunque estén codificadas, sigue siendo igualmente fácil y posible hacerlo.
Dime donde me equivoco :
Ejemplo con SHA1:
0000 -> SHA1(0000) = 39dfa55283318d31afe5a3ff4a0e3253e2045e43
0001 -> SHA1(0001) = 7a6779700f09e1eafe9ad40e390f3a15b94dfa4b
...
9999 -> SHA1(9999) = 4170ac2a2782a1516fe9e13d7322ae482c1bd594
Así las 10.0000 veces y ya tengo todos los passwords descifrados para retornar los PIN originales.
Sera mas lento si, en lugar de comparar lineas de 4 caracteres tendré que comparar strings mas largos, pero sigue siendo ridículamente rápido.
La seguridad no esta en el PIN, si no en la combinación de PIN y tarjeta.
#6 Precisamente para eso está el grano de sal
http://es.wikipedia.org/wiki/Sal_%28criptograf%C3%ADa%29
#7 Pero el salt que se genera si se guarda y esta asociado a cada cliente no?
A donde quiero llegar es a que el banco (en el hipotético caso de que pudiese/quisiese) tiene los medios para hacer una "reversión" de los PIN sin muchos problema y pasarte una lista de los que usan sus clientes no?
Disclaimer: No es por marear la perdiz aunque pueda parecerlo, curiosidad mas que nada.
#9 En condiciones normales no debería ser posible, pero los pines bancarios tienen el defecto de ser cortos, con solo diez valores por dígito y todos de la misma longitud, así que supongo que sería posible hacer 10.000 iteraciones sobre cada pareja sal+pin para ver cuál coincide.
En sistemas con claves de diferentes longitudes y con más caracteres disponibles para cada dígito es inviable un ataque de fuerza bruta
+info en castellano: http://www.microsiervos.com/archivo/seguridad/secretos-pin-tarjetas-credito.html
Relacionada: ¿Cuáles son los números PIN más frecuentes?
¿Cuáles son los números PIN más frecuentes?
recuerdosdepandora.comLa diagonal es de parejas repetidas 0000-0101-0202-0303-...9898-9999 Se ve que brillan un poco más los 1111-2222-3333... cada 11 unidades de la diagonal, pero no mucho más. Aparece junto a la diagonal un 5150 más brillante. Y el 6969.
El cuadro más brillante abajo a la izquierda abarca del 0101 al 0130-0131, las fechas de nacimiento mes-día MMDD (se nota febrero y la unión julio-agosto).
Justo encima del cuadro a la derecha (encima de diciembre 12XX) está el más blanco de todos: 1234.
La línea vertical es 1940-1999, los años, y sigue, contigua, la línea hasta 2005. Se ve que los menores de 20 años no usan mucho la tarjeta de crédito.
Hay un punto negro en 8068 ¿?
Lo mejor es aprenderse el pin que te da el banco por defecto porque se supone que es aleatorio. No hay que cambiarlo por una fecha de nacimiento, son cuatro míseros dígitos y en cinco minutos te los has aprendido.