Kaç tane cüzdan bir tane doğru Pin Kodu eder?

Cüzdanınızda kaç tane banka kartı var? Ya kredi kartı sayısı? Peki cüzdanınızı hırsıza kaptırırsanız hırsızın pin kodunu doğru tahmin edip ATM’den para çekmesi veya kredi kartınızı bir yerde kullanması ihtimali nedir? Hiç düşündünüz mü? (cüzdanınızdaki bir küçük kağıtta pin’inizin yazmadığı varsayımı ile ki aksi halde bu ihtimal % 100 olur haliyle)

Öncelikle cüzdanızda nufüs cüzdanı veya başka bir kimliğin olduğunu ve bu sayede doğum tarihinizin kolayca öğrenilebileceğini kabul edelim. İkinci varsayımımız banka ve kredi kartlarını kullanırken 3 kez yanlış pin girilmesi durumunda kartınızın bloklandığı. Bu şartlar altında eğer 4 tane kartınız varsa (hem kredi kartı hem banka kartı olarak kullanılan kartlar ile ayrı ayrı 3 kez pin tahmini yapılabildiği için bu kartları iki sayalım), hırsızın doğru pin tahmini yapma olasılığı % 10,9’dur (teorideki olasılıktan çok daha yüksek bir oran). Bir diğer ifadeyle bir hırsızın 9 cüzdan çalması doğru Pin tahmini yapması için yeterlidir.

Peki ne yapmalısınız? Cevap doğum tarihinize bağlı. Örneğin doğum tarihinizin 3 Haziran 1983 olduğunu varsayalım. Bu durumda ilk etapta kaçınmanız gereken pin’ler şöyledir: 1983, 6383, 0306, 0603, 1234 ve 0683 (Bu pin’ler aynı zamanda saldırgan için optimal olan pin denemeleridir).

Peki bankalar ne yapmalı? Diyelim ki genel (her kullanıcı için ayrı ayrı olmayan) bir pin kara listesi oluşturulacağını varsayalım. 100 elemanlı kara liste şu PİN’lerden oluşturulmalı:

0000, 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-1103, 1110, 1112, 1123, 1201-1203, 1210-1212, 1234, 1956-2015, 2222,2229, 2580, 3333, 4444, 5252, 6666, 7465, 7667.

Peki bu liste hırsızlığa karşı ne kadar etkin? Doğum tarihinin hırsız tarafından bilinemediği durumda bir hayli etkin. Fakat hırsız doğum tarihinizi biliyorsa bu kara listenin etkisi çok az maalesef. Kullanıcıya özgü kara listeler kullanılamıyorsa iş biraz kullanıcıya kalıyor dolayısıyla.

Özenle duyurulur.

Kaynak: A birthday presents every eleven wallets? The security of customer-chosen banking PINs, Joseph Bonneau, Sören Preibusch, Ross Anderson, Financial Cryptography 2012.

[polldaddy poll=6173640][polldaddy poll=6173640][polldaddy poll=6173640][polldaddy poll=6173640]