tiistai 18. toukokuuta 2010

Uskomaton moka? Tunnusluku painettiin pankkikorttiin

Iltapäivälehdessä on uutinen: "Uskomaton moka - tunnusluku painettiin pankkikorttiin". Kysymysmerkkiä otsikossa ei ollut, sen olen lisännyt itse.

Kyseessä on yksinkertainen juttu: asiakas oli hieraissut silmiään havaittuaan, että pankkikortin neljä viimeistä numeroa olivat samat kuin pankkikortin tunnusluku. Suora lainaus: Pyörittelin päätäni ja ihmettelin. Kortin ohjeissa lukee, että salaista tunnuslukua ei saa kirjoittaa minnekään ylös, ei ainakaan pankkikorttiin. Ja siinä se nyt on painettuna.

Pankissa asiakkaan kertomusta ei aluksi tahdottu uskoa, mutta kortin nähtyään paikallisen konttorin toimitusjohtaja lupasi "luonnollisesti asiakkaalle uuden kortin". Säästöpankin kehitysjohtajan mielestä kyseessä on uskomaton sattuma.

Sen vielä ymmärtää, jos tavallinen asiakas tai pankinjohtaja ei tunne todennäköisyyslaskentaa, mutta pankin kehitysjohtajan luulisi ymmärtävän paremmin. Asia on hyvin yksinkertainen: todennäköisyys sille, että kortin neljä viimeistä numeroa ovat samat kuin kortin PIN-koodi, on 1/10 000. Jos pankilla on kymmeniä tuhansia asiakkaita, tällaisia tapauksia on todennäköisesti useita. Kukaan asiakkaista ei vain ole kiinnittänyt huomiota asiaan.

Se, mikä vaikuttaa satumaiselta sattumalta tai yhtä epätodennäköiseltä kuin lottovoitto, onkin todellisuudessa aivan arkipäiväistä. Pankit eivät vain halua mainita asiasta, joten tietoturvariskeillä pelotetut asiakkaat ovat ihmeissään. Pari vuotta sitten nousi vastaava kohu TUPAS-tunnisteiden väärästä kirjautumisesta. Vahvana todennuksena pidetty TUPAS ei olekaan kovin vahva.

Ja viimeistään tässä vaiheessa on selvää, ettei kyseessä ollut mikään moka, vaan luonnollinen ja harmiton sattuma. Todennäköisyys sille, että oman pankki- tai luottokorttinumeron keskeltä löytyy niin ikään PIN-koodi, on vielä paljon suurempi. Siitä vain etsimään! PIN-koodi on siten "painettu" satoihin tai jopa tuhansiin maksukortteihin.

Itse olisin vain tyytyväinen, jos pankkikortin lopussa olisi tunnusluku - olisipahan helppo muistaa eikä silti hyödyttäisi mitenkään varasta.

14 kommenttia:

Markus kirjoitti...

Juuh tää oli taas outoudessa jotain aivan omaa luokkaansa koko uutinen...

Ihan kuin varas alottaisi kaikki kolme pin-koodi yrittämää kattomalla kortin omia numerosarjoja ...

Miten asiakas edes voisi muistaa kortin numerosarjoja? Itse olen tehnyt nettipankki/visa ostoksia vuosikymmenen verran kohta, enkä vieläkään muista muuta numerosarjaa kuin sen suomen vakio-alun 4920 ... Tässäkin ymmärsin että kyseessä oli vielä uusi kortti ja silti se oli asiakkaalle "jotenkin tuttu numerosarja" ... Sitten pyöritellään silmiä niinku keski-ikäsen ukon tapa tässä maassa on - tyyliin "uskomatonta"... Ja tehdään aivan mitättömän pienestä asiasta käsittämätön mediasirkus...

Olen vähän skeptinen onko koko asiaa edes tapahtunu vai onko jostain asiasta vain pitäny taas repäistä "uutinen" ...

Suurempi uhka olisi oikeassa tosimaailmassa se, että luottokortin numero, vanhentumispäivä, sekä luottokortin takaa löytyvä varmennenumero (jotka siis ihan oikeasti LUKEVAT fyysisesti kortissa), joutuvat vääriin käsiin.

Anonyymi kirjoitti...

Pankkikortteja tai niihin rinnastuvia maksukortteja on Suomessa noin 10 miljoonaa.

Siis tapauksia, joissa satunnainen PIN-koodi on sama kuin kortin 4 viimeistä numeroa, löytyy noin tuhat kappaletta.

Siinäpä "uskomaton moka" tai "erittäin epätodennäköinen sattuma"...

Voi surkeus tätä typeryyden määrää...

Vesa Linja-aho kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Vesa Linja-aho kirjoitti...

Kappas, kirjoitin tietämättäni melkein samansisältöisen tekstin :-).

http://linja-aho.blogspot.com/2010/05/uskomatonta-numerotaidottomuutta.html

Anonyymi kirjoitti...

Lukekaapas se Ilta-Sanomien uutinen vielä uudelleen. Siinä todetaan, että kansainvälisten määräysten mukaan "tunnusta voi valita kortin numeron mukaiseksi." Sitä, että näin on silti päässyt käymään, voi pitää aika uskomattomana.

Petteri Järvinen kirjoitti...

Uutinen on jokseenkin epätarkka: "Nykyaikaisen debit-pankkikortin tunnusluku arvotaan kansainvälisten määräysten mukaisen kaavan avulla, eikä tunnusta voi valita kortin numeron mukaiseksi."

Tarkoittaako tämä sitä, ettei tunnuslukua saa itse valita, vai ettei tietokone voi valita sitä? Mitä tarkoittaa "kortin numeron mukaiseksi"? Ensimmäistä neljää, viimeistä neljää vai mitä tahansa kortin numeron osaa?

Jos tietokone valitsee PIN-koodin ja sen ei pitäisi osua itse kortin numeroon, tällöinhän kyse ei ole lainkaan sattumasta vaan ohjelmointivirheestä. Ja jos tällainen rajoitus todella on olemassa, sehän helpottaa PIN-koodin arvaamista (koska tiedetään, mikä koodi ei ainakaan voi olla).

bulbasaur kirjoitti...

Anonyymi: Siinä todetaan, että kansainvälisten määräysten mukaan "tunnusta voi valita kortin numeron mukaiseksi." Sitä, että näin on silti päässyt käymään, voi pitää aika uskomattomana.

Tunnusta ei ole tietoisesti valittu numeron mukaiseksi, vaan arvottu.

Mikäli ihmiset tietoisesti valitsisivat tunnuksen numeron mukaiseksi, todennäköisyys näiden yhtäläisyydelle olisi suurempi kuin 1/10000, mikä tekisi varkaiden elämästä helpompaa.

PankkiMies kirjoitti...

"Tarkoittaako tämä sitä, ettei tunnuslukua saa itse valita, vai ettei tietokone voi valita sitä?"

Tarkoittaa sitä, että määräysten mukaan asiakas eikä kukaan muukaan voi toivoa/valita tiettyä tunnuslukua. Samoin sitä ei voi jälkikäteen asettaa mieleisekseen, kuten esim. sim-kortin pin-koodia.

Sen sijaan tietyn tekniikan mukaan arvottavassa tunnusluvussa ei moista rajoitusta tietenkään ole, koska tiettyjen mahdollisuuksien poisrajaaminen vain helpottaisi oikean tunnuksen arvaamista, kuten itsekin totesit.

Anonyymi kirjoitti...

Tunnusluvun arvaamisen todennäköisyyttä ei juuri muuta se, että muutama yhdistelmä on karsittu pois. Veikkaan, että niin ikään kaikki numerot eivät voi olla samoja. Kysehän on toki psykologisista tekijöistä: eihän se olisi mukava, jos oman kortin tunnusluku olisi "helposti arvattava". Kärjistetysti sanottuna pankin pitää luoda ennemmin turvallisuuden tunnetta kuin turvallisuutta! Ja kyse on myös käytännön syistä, sillä osa asiakkaista kuitenkin vaatisi vaihtamaan "huonolla" tunnuksella varustetut kortit uusiin.

Pankissa työskentelevien lausunnot saatiin näyttämään idiottimaisilta, kun niitä peilattiin todennäköisyyteen 1/10000. Ehkä onkin niin, että oikeasti he tuntevat tähän liittyvät standardit erittäin tarkkaan ja tavattuaan standardien vastaisen kortin olivat ihmeissään.

PankkiMies kirjoitti...

"Tunnusluvun arvaamisen todennäköisyyttä ei juuri muuta se, että muutama yhdistelmä on karsittu pois."

Muuttaa kuitenkin, ja huonoon suuntaan. Ja myös aivan turhaan.

"Veikkaan, että niin ikään kaikki numerot eivät voi olla samoja."

Veikkaa uudelleen.

"eihän se olisi mukava, jos oman kortin tunnusluku olisi "helposti arvattava".

Monen mielestä on mukavaa, jos tunnusluku on helposti muistettava. Useimmat käsittävät, että "helposti arvattavaa" ei ole olemassa.

"...tavattuaan standardien vastaisen kortin olivat ihmeissään."

Kyseinen kortti ei ainakaan jutussa esitettyjen tietojen perusteella ole minkään standardin vastainen.

Anonyymi kirjoitti...

"Muuttaa kuitenkin, ja huonoon suuntaan. Ja myös aivan turhaan."

Edellä on juuri perusteltu, miksi rajoitukset eivät olisi turhaan. Kyse on hyötyjen ja haittojen tasapainottamisesta.

"Veikkaa uudelleen."

Vihjaat ilmeisesti tietäväsi, kuinka asia menee. Voisitko ystävällisesti kertoa, mitä rajoituksia PIN-koodille kaikenkaikkiaan on.

"Monen mielestä on mukavaa, jos tunnusluku on helposti muistettava. Useimmat käsittävät, että 'helposti arvattavaa' ei ole olemassa."

Tästä eri mieltä. Tiedän pankin antaneen kerran eräälle asiakkaalle uuden kortin, kun tunnusluku oli sama kuin henkilötunnuksen loppuosa. No, jokainen miettiköön itse, mitä ihmiset yleensä näistä mahtavat ajatella.

"Kyseinen kortti ei ainakaan jutussa esitettyjen tietojen perusteella ole minkään standardin vastainen."

Jutusta voi tehdä ainoastaan sen johtopäätöksen, että juttu on epäselvä.

Anonyymi kirjoitti...

Kortissa on neljä 4 numeron sarjaa.

Jos se tunnusluku sattuu olemaan jokin näistä neljästä sarjasta, niin tällöin yhdellä 2500 on PIN KOODI KIRJOITETTU KORTTIIN!

Vastaavasti yhtä monella on PIN KOODI KIRJOITETTU KORTTIIN TAKAPERIN!

Omassa pankkikortissa oli aikoinaan tunnuslukuna 1234.

Järkyttävää. ;)

Markus kirjoitti...

Niin siis tulee nyt muistaa ne asiat mitä varas varmasti TIETÄÄ ... se TIETÄÄ että tunnusluku on nelinumeroinen, se myös TIETÄÄ että sitä voi kokeilla vain kolme kertaa globaalisti ja tämän jälkeen yrittämät on aivan turhia. Varas myös TIETÄÄ että tunnusluku voi olla ihan mitä tahansa välillä 0000-9999. Varas myös TIETÄÄ että tarvitsee tätä pin-koodia käyttääkseen myös sen fyysisen kortin (eli se tulee ryöstää/varastaa/löytää). EI siinä tartte enää yhtään mitään todennäköisyyslaskentoja sun muita kun loput on varkaan näkökulmasta varmasti ARVAUSTA... Enemmän nykyvarasta kyllä kiinnostaa - kuten jo kirjoitin, kortissa OIKEASTI lukevat numerot mitä ei tarvitse arvailla ... eli kortin numero, vanhenemispäivä sekä CCV koodi kortin kääntöpuolelta. Sillä tiedolla pystyy tekemään paljon enemmän hallaa kuin mahdollisen nostorajotuksen takana olevalla riskaabelilla käteisnostolla, todennäkösesti valvotulla pankkiautomaatilla, tai edes näiden tunnuslukujen arvailu sielä.

Tämä kaikki on tosiasiaa, sillä onko se oma henkilötunnus vai onko se varkaan henkilötunnus vai lukeeko se suoraan kortissa - ei ole minkäänlaista merkitystä, päinvastoin, kuten Petteri jo kirjoitti - helpottaisi vain kortin oikean omistajan arkea ...

P.S. kuinka monella se tunnusluku on muutoinkin sielä lompakossa tai kännykän muistissa tjsp?

P.S.S Niin ja siinä kortilla oikeasti sijaitsevilla tiedoilla, eli kortinnumerolla, vanhenemispäivällä ja CCV:llä tekee hallaa myös huomaamattomammin, käyttäjä ei välttämättä puoleentoista kuukauteen huomaa että korttia on väärinkäytetty, ennenkuin luottokorttilasku tipahtaa postilaatikkoon. Eikä varas tarvitse fyysistä korttia edes tehdäkseen hallaa. Miksei tästä sitten olla huolissaan? Nykymaailmassa siis paljon riskaabelimpia numerosarjoja siis ovat ne jotka oikeasti fyysisesti lukee siinä kortissa...

Anonyymi kirjoitti...

"Varas myös TIETÄÄ että tunnusluku voi olla ihan mitä tahansa välillä 0000-9999."

Tai ainakin luulee tietävänsä...

"Tämä kaikki on tosiasiaa, sillä onko se oma henkilötunnus vai onko se varkaan henkilötunnus vai lukeeko se suoraan kortissa - ei ole minkäänlaista merkitystä"

Tätä kukaan ei ole kiistänyt. Pankki ei kuitenkaan halua tyytymättömiä asiakkaita.

"... kortilla oikeasti sijaitsevilla tiedoilla, eli kortinnumerolla, vanhenemispäivällä ja CCV:llä tekee hallaa myös huomaamattomammin -- Miksei tästä sitten olla huolissaan?"

Niillä maksetut tapahtumat asiakas voi kiistää. PIN-koodilla maksettua ei.

Website Security Test