Правила за съхранение на ПИН кодове за игри. PIN Master е надежден начин за съхраняване на пароли за кредитни карти. Приложение на деня! Правила за използване и съхранение на ПИН код

Токените, електронните ключове за достъп до важна информация, стават все по-популярни в Русия. Токенът вече е не само средство за удостоверяване в компютърна операционна система, но и удобно устройство за съхраняване и представяне на лична информация: ключове за криптиране, сертификати, лицензи, идентификации. Токените са по-надеждни от стандартната двойка „вход/парола“ поради механизма за двуфакторна идентификация: това означава, че потребителят трябва не само да има носител за съхранение (самия токен), но и да знае ПИН кода.

Има три основни фактора на формата, в които се издават токени: USB токен, смарт карта и ключодържател. Защитата с ПИН код най-често се намира в USB токените, въпреки че последните модели USB токени се предлагат с възможност за инсталиране на RFID етикет и с LCD дисплей за генериране на еднократни пароли.

Нека разгледаме по-подробно принципите на работа на токените с ПИН код. ПИН кодът е специално дефинирана парола, която разделя процедурата за удостоверяване на два етапа: прикачване на токен към компютъра и въвеждане на самия ПИН код.

Най-популярните модели токени на съвременния руски електронен пазар са Rutoken, eToken от компанията Aladdin и електронен ключ от компанията Aktiv. Нека да разгледаме най-често задаваните въпроси относно ПИН кодовете за токени, използвайки примера на токени от тези производители.

1. Какъв е PIN кодът по подразбиране?

Таблицата по-долу предоставя информация относно ПИН кодовете по подразбиране за токени Rutoken и eToken. Паролата по подразбиране е различна за различните нива на собственик.

2. Трябва ли да променя PIN кода по подразбиране? Ако да, тогава в кой момент от работата с токена?

3. Какво трябва да направя, ако ПИН кодовете на токена са неизвестни и ПИН кодът по подразбиране вече е нулиран?

Единственият изход е напълно да изчистите (форматирате) жетона.

4. Какво трябва да направя, ако ПИН кодът на потребителя е блокиран?

Можете да отключите ПИН кода на потребителя чрез контролния панел на токена. За да извършите тази операция, трябва да знаете ПИН кода на администратора.

5. Какво трябва да направя, ако администраторският PIN е блокиран?

ПИН кодът на администратора не може да бъде отключен. Единственият изход е напълно да изчистите (форматирате) жетона.

6. Какви мерки за сигурност са предприели производителите, за да намалят риска от отгатване на парола?

Основните моменти от политиката за сигурност за ПИН кодове на USB токени на компаниите Aladdin и Aktiv са представени в таблицата по-долу. След като анализираме данните в таблицата, можем да заключим, че eToken вероятно ще има по-сигурен ПИН код. Rutoken, въпреки че ви позволява да зададете парола само от един знак, което е опасно, в други отношения не отстъпва на продукта на компанията Aladdin.

Важността на запазването на ПИН кода в тайна е известна на всички, които използват токени за лични цели, съхраняват електронния си подпис върху него и доверяват на електронния ключ информация не само от лично естество, но и детайли от своите бизнес проекти. Токените на компаниите „Аладин“ и „Актив“ имат предварително инсталирани свойства за сигурност и, заедно с известна доза предпазливост, която ще бъде проявена от потребителя, намаляват риска от отгатване на парола до минимум.

Софтуерните продукти Rutoken и eToken са представени в различни конфигурации и форм фактори. Предлаганият асортимент ще ви позволи да изберете точно този модел токен, който най-добре отговаря на вашите изисквания

Преди време използването на пластмасови карти беше „ново“ за руската публика. Недоверието постепенно отстъпи място на признанието за максимален комфорт. Мнозина дори са се отказали да съхраняват големи суми в брой и предпочитат да използват пластмасови карти навсякъде. При един човек техният брой много често може да надхвърли едно-две и дори да достигне пет или дори повече. Но как да не се объркате в ПИН кодовете за кредитни карти и да не ги объркате един с друг? С приложението PIN Master можете безопасно да съхранявате пароли за различни карти и да не се налага да пазите всички тези номера в главата си.

Средният потребител на мобилно устройство обикновено записва всички пароли за своите карти в Notes. Това е най-често срещаният метод, а също и най-опасният. От една страна, винаги можете да получите бърз достъп до пароли (все пак iPhone винаги е под ръка), от друга страна, ако мобилен телефон попадне в неподходящи ръце, това може да има, знаете ли, какви последствия. Идеалният вариант е приложението PIN Master! Сега ще разберете защо...

Накратко, приложението PIN Master е надеждно, безопасно, персонализирано, красиво и най-важното - безплатно! Можете да съхранявате неограничен брой ПИН кодове от вашите пластмасови карти в приложението и повече от едно любопитно око няма да може да разбере вашата тайна комбинация.

Когато добавяте нова карта, давайки й лично име, пред вас ще се появи голямо поле, попълнено с числа в произволен ред. Първото впечатление е как да запомните и подредите паролата си сред толкова много числа? Но е измамно...

За себе си избирате определена комбинация от избрани числа и например поставяте паролата си под тях, вътре и т.н. Като прост пример, можете да поставите четири подчертани числа в един ред на един от редовете и да запомните, че вашият ПИН код е точно под тях. Ако главата ви е в състояние да запомни по-сложни комбинации, използвайте въображението си и ги измислете. Но дори и най-простото решение ще защити вашата парола.

Персонализирането на цифровото поле е много лесно. Всеки номер може да бъде маркиран или променен с просто докосване или продължително натискане. Можете да използвате заключване, за да блокирате по-нататъшни промени. Невъзможно е да изберете комбинация, защото само вие знаете ключа към картината. В резултат на това, когато плащате с кредитна карта в магазин или теглите сметки на банкомат, винаги имате достъп до паролите за вашите карти с едно кликване.

Значително предимство на приложението PIN Master е неговата цена. Приложението е абсолютно безплатно, не съдържа покупки в приложението или рекламни банери и има много красив минималистичен дизайн. Примитивните аналози за съхранение на пароли, като правило, са платени или не гарантират висока степен на защита. И така, какво чакате... Спрете да записвате пароли навсякъде или да ги държите в главата си. Възползвайте се от отличното решение на проблема - приложението PIN Master!

добър ден Измислям как сигурно да съхранявам информация в приложението си за Android и се натъкнах на интересен момент: може ли ПИН кодът за влизане в приложението (домашно направен) да се счита за достатъчна защита?
Да приемем, че нападателят има физически достъп до устройството (добре, той го е откраднал, защо не? Защо не сценарий на атака?). В най-простия случай, ако разработчикът не е помислил за сигурността на съхранението на данни, можете или просто да отворите приложението и да получите достъп до цялата информация, която е интересна за нападателя, или можете да обедините файла на базата данни (sqlite, например) и като ровите в него, извадете всички данни. Това води до следните изводи:
1. Изисква се сигурност за влизане в приложението (ПИН код или парола)
2. Всички данни трябва да се съхраняват в криптирана форма.

Идеята е проста - потребителят разполага с определен от него главен ключ, с който се криптира цялата информация (DB). Ключът е голям и дълъг и за да не се налага потребителят да го въвежда всеки път, когато влиза в приложението, въвеждаме нов обект - ПИН код за влизане в приложението (4-цифрен код). Самият главен ключ се съхранява на същото устройство в криптиран вид, а ключът е ПИН кодът (по-точно негова производна. Например MD5 хеш). В този случай всичко изглежда много безопасно, нали? Но ако се замислите, симулирайте ситуацията. тогава всичко става много по-тъжно.

Да приемем, че нападател е откраднал устройството на жертвата и е изтекла базата данни на криптираното приложение. След това нападателят може да използва банална груба сила (10^4 комбинации - дреболия), за да изпробва всички възможни опции за ПИН код, докато намери правилния. За да направите това, трябва да знаете алгоритъма на приложението, което не е съществен проблем. Едно от правилата за информационна сигурност гласи: една система не може да се счита за сигурна, ако цялата й защита се крие в тайната на механизма за сигурност (перефразирано с мои собствени думи за подходящ случай). Намирането на метода на защита не е трудно. Освен това, ако процедурата за декриптиране на базата данни дори произведе пълна глупост, нападателят трябва само да разкрие копие на базата данни с известен ПИН код (инсталирайте приложението на вашето устройство, задайте ПИН кода, попълнете данните, разкрийте базата данни ) и намерете структурата за съхранение на данни, или по-скоро сигнатурите на данните (Например, JSON - (_id: x, име: "xxxx") и стартирайте всички опции за декриптиране чрез просто търсене на подпис (дори обикновен регулярен израз ще свърши работа) .И тогава получаваме:
1. Цялата „защитена“ и „частна“ потребителска информация
2. Запознат правилен ПИН за влизане в приложението.

И никой не знае кое е по-лошо. Да приемем, че приложението за банков клиент е защитено по този начин. В този случай познаването на ПИН кода за влизане в приложението и физическия достъп до устройството, прехвърлянето на всички средства на потребителя към себе си (ПИН кодът е известен, SMS ще бъде изпратен до това устройство) не е трудно за нападателя.

Това води до заключението: ако цялата защита се основава на ПИН код (уязвим на груба сила) и е възможно да се извърши груба сила, защитата не струва нищо. Всички банкови приложения обаче използват този (или подобен) защитен механизъм.
Оттук и въпросът:
1. Наистина ли всичко е толкова лошо и не можете да се доверите на подобни приложения?
2. Възможно ли е да се разработи нормална, устойчива на хакове система, използваща ПИН код за въвеждане (не модел или пръстов отпечатък, а кратък и лесно търсещ код)? Ако е така, как?

ZY Сигурен съм, че не знам нещо важно и това ми пречи да разбера проблема.

Като цяло проблемът изглежда неразрешим. защото Има „черна кутия“ - нашето приложение, инсталирано на устройството. За да получите всички данни, трябва да знаете само четирицифрения ПИН код и той се форсира веднага. Смята се, че като има устройство в ръка, нападателят може да вземе всякакви данни от там. И оттук въпросът - вярно ли е последното твърдение? Може би има някакво супер сигурно хранилище за Android? Локално се съхранява на устройството и е доста трудно за хакване? Ако приложението има достъп там, напишете ключа там и проблемът е решен. Но какво е това мистериозно място?

И така, намерих го. Всичко е обяснено доста ясно. Изводът е прост - трябва да съхранявате ключовете си в KeyStore, но това не е спасение, ако устройството е руутнато. Трябва да проверите дали устройството е руутнато и да предупредите потребителя. НО! Доколкото разбирам, възможно е да се руутне устройство без загуба на данни, което означава, че атакуващият може да руутне устройството, като запази всички данни и избере KeyStore. неприятности.

Но ако не навлизате в проблема с руутването, решението изглежда така: като използвате ПИН кода, влизате в приложението и приложението изтегля ключа, генериран при първото стартиране на приложението от KeyStore, и декриптира базата данни с то. В същото време не записва дешифрираните данни на незащитено място (това често се използва за увеличаване на скоростта на приложението, вид кеширане на данни), т.к. тези данни могат да бъдат изтеглени без проблеми.

Сега е ясно защо много банкови приложения не работят на руутнати устройства. Но това не решава проблема с руутването без загуба на данни. Тези. Да кажем, че нападател е откраднал моето неруутнато устройство, руутнал го е, извади ключа за банковото клиентско приложение от KeyStore и изтегли данните ми. В същото време, за да проверите правилността на ПИН кода, е необходимо да съхранявате неговия хеш някъде (криптиран, солиран - какво от това? И солта, и паролата за криптиране са в KeyStore, вече достъпни за нападателя). Така чрез груба сила можете да изберете ПИН за влизане в приложението, да влезете в приложението и да прехвърлите всички средства. Разрушете всички банкови приложения или какво?))

Приложение

към писмото на Банката на Русия

от 02.10.2009 г. N 120-T

НАПОМНЯНЕ

„ОТНОСНО МЕРКИ ЗА СИГУРНО ИЗПОЛЗВАНЕ НА БАНКОВИ КАРТИ”

Спазването на препоръките, съдържащи се в листовката, ще гарантира максимална безопасност на банковата карта, нейните данни, ПИН и други данни, както и ще намали възможните рискове при извършване на транзакции с банкова карта на банкомат, при извършване на безналични плащания на стоки и услуги, включително чрез интернет.

1. Никога не предоставяйте своя ПИН на трети лица, включително роднини, приятели, служители на кредитна институция, касиери и хора, които ви помагат да използвате банковата си карта.

2. ПИН кодът трябва да се запомни или, ако това е трудно, да се съхранява отделно от банковата карта на незабележимо и недостъпно за трети лица, включително близки, място.

3. Никога и при никакви обстоятелства не предоставяйте банковата си карта за ползване на трети лица, включително роднини. Ако банковата карта носи фамилията и собственото име на физическо лице, тогава само това лице има право да използва банковата карта.

4. При получаване на банкова карта се подпишете на гърба й на мястото, предназначено за подпис на картодържателя, ако е предвидено такова. Това ще намали риска от използване на банкова карта без вашето съгласие, ако тя бъде изгубена.

5. Внимавайте за условията за съхранение и използване на вашата банкова карта. Не излагайте банковата си карта на механични, температурни или електромагнитни въздействия и избягвайте да я намокряте. Банкова карта не може да се съхранява до мобилен телефон, битово или офис оборудване.

6. Телефонният номер на кредитната институция, издала банковата карта (кредитната институция, издала банковата карта) е посочен на гърба на банковата карта. Също така е необходимо винаги да имате при себе си номерата за контакт на кредитната институция, издала банковата карта и номера на банковата карта на други носители за съхранение: в адресна книга, мобилен телефон и/или други носители за съхранение, но не до Въвеждане на PIN.

7. За да предотвратите неправомерни действия за теглене на цялата сума пари от банкова сметка, е препоръчително да зададете дневен лимит за сумата на транзакциите по банкова карта и едновременно с това да активирате услуга за електронно известяване за извършени транзакции (например уведомяване чрез SMS съобщения или други средства).

8. Ако получите искане, включително от служител на кредитна институция, за предоставяне на лични данни или информация за банкова карта (включително ПИН), не ги предоставяйте. Обадете се на кредитната институция, издала банковата карта (кредитната институция, издала банковата карта) и съобщете този факт.

9. Не се препоръчва да отговаряте на имейли, в които от името на кредитна институция (включително кредитна институция, издала банкова карта (кредитна институция, издала банкова карта)) се предлага предоставяне на лични данни. Не следвайте предоставените в писмата „линкове“ (включително връзки към уебсайта на кредитната институция), т.к. те могат да доведат до дублиращи се сайтове.

10. За целите на информационното взаимодействие с кредитната институция, издала банковата карта (кредитната институция, издала банковата карта), се препоръчва използването само на комуникационни данни (мобилни и стационарни телефони, факсове, интерактивни уебсайтове/портали, обикновени и e-mail и др.), които са посочени в документите, получени директно от кредитната институция, издала банковата карта.

11. Не забравяйте, че ако вашият ПИН, лични данни или загуба на банковата ви карта бъдат разкрити, съществува риск трети лица да извършат незаконни действия със средствата във вашата банкова сметка.

Ако има предположения за разкриване на ПИН, лични данни, които ви позволяват да извършвате незаконни действия с банковата си сметка, или ако банковата карта е изгубена, трябва незабавно да се свържете с кредитната институция, издала банковата карта (кредитната институция, която издал банковата карта) и следвайте инструкциите на служителя на тази кредитна институция. Докато не се свържете с кредитна институция, която издава банкова карта, вие носите риска, свързан с неоторизирано дебитиране на средства от вашата банкова сметка. По правило, съгласно условията на споразумението с кредитната институция, издала банковата карта, средствата, дебитирани от вашата банкова сметка в резултат на неразрешено използване на вашата банкова карта, докато кредитната институция, издала банковата карта, не бъде уведомена за това не се възстановяват.

с банкова карта на банкомат

1. Извършвайте транзакции с помощта на банкомати, инсталирани на безопасни места (например в държавни агенции, банкови клонове, големи търговски центрове, хотели, летища и др.).

2. Не използвайте устройства, които изискват ПИН за влизане в помещенията, където се намира банкоматът.

3. Ако в близост до банкомата има неупълномощени лица, трябва да изберете по-подходящо време за използване на банкомата или да използвате друг банкомат.

4. Преди да използвате банкомата, проверете го за наличие на допълнителни устройства, които не отговарят на неговия дизайн и се намират на мястото, където се въвежда ПИН кода и в мястото (слота), предназначено за приемане на карти (например наличие на неравномерно инсталирана PIN клавиатура). В този случай се въздържайте от използване на такъв банкомат.

5. Ако зоната за приемане на клавиатура или карта на банкомат е оборудвана с допълнителни устройства, които не отговарят на неговия дизайн, въздържайте се от използване на банкова карта на този банкомат и докладвайте подозренията си на служителите на кредитната институция, като се обадите на телефона номер, посочен на банкомата.

6. Не използвайте физическа сила, за да поставите банкова карта в банкомат. Ако банкова карта не може да бъде поставена, въздържайте се от използване на такъв банкомат.

7. Въведете своя ПИН така, че хората в непосредствена близост да не го виждат. Когато въвеждате своя ПИН, покрийте клавиатурата с ръка.

8. Ако банкоматът не работи правилно (например, той е в режим на готовност за дълго време или се рестартира спонтанно), трябва да спрете да използвате такъв банкомат, да отмените текущата операция, като натиснете бутона „Отказ“ на клавиатурата, и изчакайте банковата карта да бъде върната.

9. След като получите пари в брой от банкомат, трябва да преброите банкнотите една по една, да се уверите, че банковата карта е върната от банкомата, да изчакате да бъде издадена разписката при поискване, след което да ги приберете в чантата си (портфейл, джоб ) и едва тогава напуснете банкомата.

10. Следва да запазите разпечатаните от банкомата разписки за последваща сверка на посочените в тях суми с извлечението по банковата сметка.

11. Не се вслушвайте в съветите на трети лица и не приемайте тяхната помощ при извършване на транзакции с банкова карта на банкомати.

12. Ако при извършване на операции с банкова карта на банкомат, банкоматът не върне банковата карта, трябва да се обадите на кредитната институция на посочения на банкомата телефон и да обясните обстоятелствата на случилото се, както и да свържете се с кредитната институция, издала банковата карта (кредитната институция, издала банковата карта), която не е върната от банкомата, и след това следвайте инструкциите на служителя на кредитната институция.

за безкасово плащане на стоки и услуги

1. Не използвайте банкови карти в търговски и сервизни организации, които не са благонадеждни.

2. Изискване на транзакции с банкова карта само във Ваше присъствие. Това е необходимо, за да се намали рискът от неправомерно получаване на Вашите лични данни, посочени в банковата Ви карта.

3. Когато използвате банкова карта за плащане на стоки и услуги, касиерът може да изиска от собственика на банковата карта да предостави паспорт, да подпише чек или да въведе ПИН. Преди да въведете вашия ПИН, трябва да се уверите, че хората в непосредствена близост няма да могат да го видят. Преди да подпишете чек, не забравяйте да проверите сумата, посочена на чека.

4. Ако е възникнала „неуспешна“ операция при опит за плащане с банкова карта, трябва да запазите едно копие от чека, издаден от терминала, за последваща проверка, за да сте сигурни, че посочената операция не е включена в извлечението по банковата сметка.

карта през интернет

1. Не използвайте ПИН, когато поръчвате стоки и услуги по интернет, по телефон/факс.

2. Не предоставяйте лични данни или информация за банкова карта (сметка) през интернет, например ПИН, пароли за достъп до банкови ресурси, дата на изтичане на банковата карта, кредитни лимити, история на транзакциите, лични данни.

3. За предотвратяване на неправомерни действия по теглене на цялата сума пари от банкова сметка се препоръчва използването на отделна банкова карта (т.нар. виртуална карта) с максимален лимит за плащане на покупки в Интернет, предназначени само за посочената цел и недопускане на сделки с него в търговски и сервизни организации.

4. Трябва да използвате само уебсайтове на известни и доверени организации за търговия и услуги.

5. Уверете се, че адресите на интернет сайтовете, към които се свързвате и където ще правите покупки, са правилни, т.к. подобни адреси могат да бъдат използвани за извършване на незаконни дейности.

Ако покупката е направена от компютъра на някой друг, не се препоръчва да запазвате лични данни и друга информация на него и след като завършите всички операции, трябва да се уверите, че личните данни и друга информация не са запазени (чрез презареждане на уеб страницата на продавача страница във вашия браузър, на която са направени покупките).

7. Инсталирайте антивирусен софтуер на вашия компютър и редовно го актуализирайте, както и други софтуерни продукти, които използвате (операционна система и приложни програми), това може да ви предпази от проникване на зловреден софтуер.

Как да се предпазите от измамници?

ПИН КОДЪТ Е КЛЮЧЪТ КЪМ ВАШИТЕ ПАРИ
Никога не казвайте на никого ПИН кода на вашата карта. Най-добре е да го запомните. Отнасяйте се към своя ПИН като към ключ към сейф, съдържащ вашите средства. Когато въвеждате своя ПИН, покрийте клавиатурата с ръка.
Не можете да съхранявате ПИН кода до картата, още по-малко да напишете ПИН кода върху картата - в този случай дори няма да имате време да защитите акаунта си, като блокирате картата след кражба или загуба.

ВАШАТА КАРТА Е САМО ВАША
Не позволявайте на никого да използва вашата пластмасова карта - това е същото като да дадете портфейла си, без да преброите сумата в него.

НИКОЙ НЯМА ПРАВО ДА ИСКА ВАШИЯ ПИН КОД
Ако получите обаждане от някоя организация или получите имейл (включително от банка) с молба да предоставите данните на картата и ПИН кода си под различни предлози, не бързайте да се съобразявате. Никоя организация, включително банка, няма право да изисква вашия ПИН код. Не следвайте връзките, предоставени в писмото, тъй като те могат да доведат до дублиращи се сайтове. Запомнете: запазването на вашите данни и ПИН код в тайна е ваша отговорност и задължение.

БЛОКИРАЙТЕ КАРТАТА ВЕДНАГА, АКО Е ЗАГУБЕНА
Ако сте загубили картата си, незабавно се свържете с банката на телефон: 34-22-22 или 8-800-100-34-22, съобщете за инцидента и следвайте инструкциите на банков служител. За да направите това, запазете телефонния номер на банката в бележника си или в списъка с контакти на мобилния си телефон.

ИЗПОЛЗВАЙТЕ ЗАЩИТЕНИ банкомати
Когато извършвате картови транзакции, използвайте само онези банкомати, които са разположени на безопасни места и са оборудвани със система за видеонаблюдение и сигурност: в държавни учреждения, банки, големи търговски центрове и др. Гражданите, които използват банкомати без видеонаблюдение, могат да бъдат атакувани от престъпници.

ПАЗЕТЕ СЕ ОТ НЕПОЗНИЦИ
Когато извършвате транзакции с пластмасова карта, уверете се, че наблизо няма непознати. Ако това не е възможно, изтеглете пари от картата по-късно или използвайте друг банкомат. Когато въвеждате своя ПИН, покрийте клавиатурата с ръка. Подробности и всякаква друга информация за това колко пари сте изтеглили и какви номера сте въвели в банкомата може да се използва от измамници.

БАНКОМАТЪТ ТРЯБВА ДА Е „ЧИСТ“
Обърнете внимание на четеца на карти и клавиатурата на банкомата. Ако те са оборудвани с някакви допълнителни устройства, тогава е по-добре да се въздържате от използването на този банкомат и да съобщите подозренията си на посочения телефонен номер.

КОНСУЛТИРАЙТЕ СЕ САМО С ВАШАТА БАНКА
Никога не прибягвайте до помощта или съветите на трети страни, когато извършвате транзакции с банкова карта на банкомати. Свържете се с банката - ние ще ви дадем съвет за работа с картата. Телефонният номер е посочен на гърба на картата.

НЕ ДОВЕРЯВАЙТЕ КАРТАТА СИ НА СЕРВИТЬОРИ И ПРОДАВАЧИ
В търговски обекти, ресторанти и кафенета всички действия с вашата пластмасова карта трябва да се извършват във ваше присъствие. В противен случай може да бъдете обект на измамни действия от персонала: сканиране на детайли. Вашата карта с помощта на специални устройства и ги използвайте в бъдеще, за да направите фалшива.