개인식별번호

Personal identification number
PIN 코드는 여기서 리다이렉트 됩니다.India Post에서 사용하는 코드는 우편 색인 번호를 참조하십시오.
3218
레터로 사용자에게 송신되는 개인 식별 번호.어두운 용지 플랩은 개봉되지 않은 봉투를 라이트에 대고 숫자를 읽을 수 없도록 합니다.

Personal Identification Number(PIN; 개인식별번호)는 시스템에 액세스하는 사용자를 인증할 때 사용되는 숫자(경우에 따라 영숫자) 패스코드입니다.

PIN은 금융기관, 정부기관 및 [1]기업의 컴퓨터 네트워크에서 서로 다른 데이터 처리 센터 간의 개인 데이터 교환을 촉진하기 위한 열쇠가 되어 왔습니다.PIN은 카드 소유자가 있는 은행 시스템, 시민이 있는 정부, 직원이 있는 기업 및 사용자가 있는 컴퓨터를 인증하는 데 사용할 수 있습니다.

일반적으로 PIN은 ATM 또는 POS 트랜잭션,[2] 안전한 액세스 제어(컴퓨터 액세스, 도어 액세스, 자동차 액세스 [3]등), 인터넷 [4]트랜잭션 또는 제한된 웹 사이트에 로그인하기 위해 사용됩니다.

역사

PIN은 은행이 고객에게 현금을 효율적으로 분배하는 방법으로 1967년 현금자동입출금기(ATM)가 도입되면서 시작되었습니다.최초의 ATM 시스템은 1967년 런던의 바클레이즈 시스템입니다.카드 대신 기계 판독 가능한 인코딩으로 수표를 받아 PIN을 수표에 [5][6][7]맞춥니다.로이드 은행은 보안을 [8]위해 PIN을 사용하여 정보 인코딩 자기 띠를 갖춘 최초의 은행 카드를 발행했습니다.최초의 개인 식별 번호에 특허를 낸 발명가 제임스 굿펠로2006년 여왕의 생일 [9][10]영예에서 OBE를 받았다.

모하메드 M. AtallaPIN과 ATM 메시지를 암호화하고 추측할 수 없는 PIN 생성 [12]키로 오프라인 장치를 보호하는 보안 시스템인 "Atalla Box"라고 불리는 최초의 PIN 기반 하드웨어 보안 모듈([11]HSM)을 발명했습니다.1972년 아탈라는 암호카드 리더를 포함한 암호기술[13]원격지에 전송되는 개인ID 정보를 입력하면서 전화 링크 보안을 보장하는 시스템을 기술한 PIN 인증시스템에 대해 미국 특허 393만8091건을 출원했다.

1972년 [14]아탈라 코퍼레이션(현 우티마코 아탈라)을 설립해 1973년 [12]상업적으로 아탈라 박스를 출시했다.이 제품은 Identikey로 출시되었습니다.카드 리더 및 고객 식별 시스템으로서 단말기에 플라스틱 카드와 PIN 기능을 제공합니다.이 시스템은 은행과 저축기관통장 프로그램에서 플라스틱 카드 환경으로 전환할 수 있도록 설계되었다.Identikey 시스템은 카드 리더 콘솔, 2개의 고객 PIN 패드, 인텔리전트 컨트롤러 및 내장 전자 인터페이스 [15]패키지로 구성되었습니다.그 장치는 고객용과 창구 직원용 두 의 키패드로 구성되어 있었다.고객은 마이크로프로세서를 사용하여 비밀코드를 입력해 [16]창구 담당자를 위한 다른 코드로 변환할 수 있었습니다.거래 중에 카드 리더에 의해 고객의 계좌 번호가 읽혔습니다.이 프로세스는 수동 입력을 대체하여 가능한 키 입력 오류를 방지합니다.서명 검증이나 테스트 질문 등 기존의 고객 검증 방법을 안전한 PIN [15]시스템으로 대체할 수 있었습니다.Atalla는 정보보안 관리의 PIN 시스템에 대한 그의 업적을 인정받아 "PIN의 아버지"[17][18][19]로 불리고 있습니다.

"Atalla Box"의 성공으로 PIN 기반의 하드웨어 보안 [20]모듈이 널리 채택되었습니다.PIN 검증 프로세스는 이후의 IBM 3624[21]유사했습니다.1998년까지 미국 내 ATM 거래의 약 70%가 전문화된 Atalla [22]하드웨어 모듈을 통해 라우팅되었으며, 2003년에는 Atalla Box가 [17]전 세계 ATM 기기의 80%를 확보하여 [23]2006년 현재 85%까지 증가했습니다.아탈라의 HSM 제품은 2013년 [14]현재 매일 2억 5천만 건의 카드 거래를 보호하고 있으며,[11] 2014년 현재도 전 세계 ATM 거래의 대부분을 확보하고 있습니다.

금융 서비스

PIN 사용 현황

금융 트랜잭션에서는 일반적으로 시스템에 대한 사용자 인증을 위해 개인 "PIN 코드"와 공용 사용자 식별자가 모두 필요합니다.이러한 상황에서 사용자는 일반적으로 시스템에 액세스하기 위해 비기밀 사용자 ID 또는 토큰(사용자 ID) 및 기밀 PIN을 제공해야 합니다.시스템은 사용자 ID와 PIN을 수신하면 사용자 ID에 따라 PIN을 검색하여 검색된 PIN과 수신된 PIN을 비교합니다.입력된 번호가 시스템에 저장된 번호와 일치하는 경우에만 사용자에게 액세스 권한이 부여됩니다.따라서 이름에도 불구하고 PIN은 [24]사용자를 개별적으로 식별하지 않습니다.PIN은 카드에 인쇄 또는 삽입되지 않지만 Automated Teller Machine(ATM; 자동입출금기) 및 POS(Point of Sale) 트랜잭션(EMV에 준거한 트랜잭션 등) 중 카드 소유자에 의해 수동으로 입력됩니다.또, 인터넷 경유나 폰 뱅킹등의, 존재하지 않는 트랜잭션에 대해서도 입력됩니다.

PIN 길이

금융서비스 PIN 관리의 국제규격 ISO 9564-1에서는 최대 4자리까지의 PIN을 허용하고 있지만 사용 편의성을 위해 카드사는 6자리 [25]이상의 PIN을 할당하지 않을 것을 권장합니다.ATM의 발명자인 존 셰퍼드 배런은 처음에는 6자리 숫자 코드를 상상했지만 그의 아내는 4자리 숫자만 기억할 수 있었고, 스위스와 다른 많은 나라의 은행들이 6자리 PIN을 요구하지만, 그것은 많은 [6]곳에서 가장 일반적으로 사용되는 길이가 되었다.

PIN 검증

PIN 의 검증에는, 몇개의 주요한 방법이 있습니다.다음에 설명하는 조작은 보통 Hardware Security Module(HSM; 하드웨어 보안 모듈) 에서 실행됩니다.

IBM 3624 방식

최초의 ATM 모델 중 하나는 IBM 3624로, IBM 방식을 사용하여 자연 PIN을 생성했습니다.내추럴 PIN은 [26]그 목적에 맞게 생성된 암호 키를 사용하여 프라이머리 계정 번호(PAN)를 암호화하여 생성됩니다.이 키는 PIN Generation Key(PGK; PIN 생성 키)라고도 합니다.이 PIN은 프라이머리 어카운트 번호와 직접 관련되어 있습니다.PIN을 검증하기 위해 발행 은행은 위의 방법을 사용하여 PIN을 재생성하고 입력된 PIN과 비교합니다.

자연 PIN은 PAN에서 파생되었기 때문에 사용자가 선택할 수 없습니다.카드가 새 PAN과 함께 재발급된 경우 새 PIN을 생성해야 합니다.

일반 PIN을 사용하면 PIN을 생성할 수 있으므로 은행이 PIN 알림 편지를 발행할 수 있습니다.

IBM 3624 + 오프셋 방식

사용자가 PIN을 선택할 수 있도록 PIN 오프셋 값을 저장할 수 있습니다.오프셋은 모듈[27]10을 사용하여 고객이 선택한 PIN에서 자연 PIN을 빼서 찾을 수 있습니다.예를 들어, 자연 PIN이 1234이고 사용자가 PIN을 2345로 설정하는 경우 오프셋은 1111입니다.

오프셋은 카드 트랙 [28]데이터 또는 카드 발급자의 데이터베이스에 저장할 수 있습니다.

PIN을 검증하기 위해 발행은행은 위의 방법과 같이 자연 PIN을 계산하고 오프셋을 추가하여 입력된 PIN과 비교합니다.

VISA 방식

이 신용카드 단말기를 사용할 때 VISA 카드 소지자는 신용카드를 스와이프 또는 삽입하여 키패드에 비밀번호를 입력합니다.

VISA 방법은 많은 카드 스킴에서 사용되며 VISA에 고유하지 않습니다.VISA 메서드는 PIN Verification Value(PVV; 확인 값)를 생성합니다.오프셋 값과 마찬가지로 카드의 트랙 데이터 또는 카드 발급자의 데이터베이스에 저장할 수 있습니다.이것을 레퍼런스 PVV라고 부릅니다.

VISA 방식에서는 체크섬 값, PIN 검증 키인덱스(1부터6까지 선택됨PVKI, PVKI는 PVS를 통해[29] PIN을 검증할 수 없음을 나타냄) 및 필요한 PIN 값을 제외한 PAN의 맨 오른쪽 11자리 숫자가 사용됩니다.PVKI는 64비트 번호를 만들기 위해 검증 키(PVK, 128비트)를 선택합니다.이 암호화된 값에서 PVV가 [30]검출됩니다.

PIN을 검증하기 위해 발행은행은 입력된PIN 및 PAN에서 PVV 값을 계산하고 이 값을 참조 PVV와 비교합니다.기준 PVV와 계산된 PVV가 일치하는 경우 올바른 PIN이 입력되었습니다.

IBM 방식과는 달리 VISA 방식은 PIN을 도출하지 않습니다.PVV 값은 단말기에 입력된 PIN을 확인하기 위해 사용되며 참조 PVV 생성에도 사용됩니다.PVV 생성에 사용되는 PIN은 IBM 방법을 사용하여 임의로 생성, 사용자 선택 또는 파생될 수 있습니다.

PIN 보안

재무 PIN은 0000 ~9999 범위의 4자리 숫자이므로 10,000개의 조합이 가능합니다.스위스는 [31]디폴트로 6자리 PIN을 발행합니다.

시스템에 따라서는 디폴트 PIN을 설정하고 대부분의 경우 고객이 PIN을 설정하거나 기본 PIN을 변경할 수 있습니다.또한 최초 접근 시 PIN 변경이 필수인 경우도 있습니다.고객은 보통 배우자의 생일, 자동차 운전면허 번호, 연속 번호 또는 반복 번호 또는 기타 방식에 따라 PIN을 설정하지 않는 것이 좋습니다.일부 금융기관은 모든 숫자가 동일(1111, 2222, ... 등), 연속(1234, 2345, ...), 1개 이상의 0으로 시작하는 번호 또는 카드 소유자의 사회보장번호 또는 [citation needed]생년월일의 마지막 4자리 숫자가 동일한 경우 PIN을 제공하거나 허용하지 않습니다.

많은 PIN 검증 시스템에서는 3회 시행이 가능하기 때문에 카드가 차단되기 전에 카드 도둑이 올바른 PIN을 추측할 확률은 0.03%입니다.이는 모든 PIN이 동등하게 존재할 가능성이 높고 공격자가 더 이상의 정보를 입수할 수 없는 경우에만 유효합니다.이는 금융기관이나 ATM 제조업체가 [32]과거에 사용해 온 많은 PIN 생성 및 검증 알고리즘에서는 해당되지 않았습니다.

일반적으로 사용되는 PIN에 [33]대한 조사가 수행되었습니다.그 결과 사용자의 상당수는 사전에 검토하지 않으면 PIN이 취약하다고 느낄 수 있습니다.「해커는, 4개의 가능성만으로 무장하고 있기 때문에, 모든 PIN 의 20% 를 해독할 수 있습니다.최대 15개의 숫자를 허용하면 카드 [34]보유자의 4분의 1 이상의 계정을 도청할 수 있습니다."

깨지기 쉬운 PIN은 길이에 따라 악화될 수 있습니다.

추측 가능한 PIN의 문제는 고객이 추가 숫자를 사용하도록 강요받았을 때 놀라울 정도로 악화되어 15개의 번호로 약 25%의 확률에서 30% 이상의 확률로 바뀝니다(모든 전화번호로 7자리 숫자는 계산되지 않습니다).실제로 전체 9자리 PIN의 절반 가량을 24개의 가능성으로 줄일 수 있습니다. 이는 전체 사용자의 35% 이상이 매우 매력적인 123456789를 사용하고 있기 때문입니다.나머지 64%는 사회보장번호를 사용하고 있을 가능성이 높기 때문에 취약합니다.(사회보장번호에는 각각의 잘 알려진 패턴이 포함되어 있습니다.)[34]

구현 결함

2002년 케임브리지 대학의 박사과정 학생인 표트르 질린스키와 마이크 본드가 IBM 3624의 PIN 생성 시스템에서 보안 결함을 발견했는데, 이는 이후 대부분의 하드웨어에서 중복되었습니다.십진표 공격이라고 알려진 이 결함은 은행의 컴퓨터 시스템에 액세스할 수 있는 누군가가 평균 15번의 [35][36]추측으로 ATM 카드의 PIN을 결정할 수 있게 합니다.

리버스 PIN 조작

주요 기사 : ATM SafetyPIN 소프트웨어

이메일과 인터넷에서는 PIN을 거꾸로 입력했을 경우 즉시 법 집행에 통보되고 PIN이 올바르게 [37]입력된 것처럼 통상적으로 돈이 발행된다는 소문이 돌고 있습니다.이 계획의 목적은 강도 피해자들을 보호하는 것입니다.그러나 일부 미국 [38][39]주에서는 이 시스템을 사용하도록 제안되고 있지만 현재 [40]이 소프트웨어를 사용하는 ATM은[when?] 존재하지 않습니다.

휴대 전화의 패스 코드

휴대전화는 PIN으로 보호될 수 있습니다.유효하게 되어 있는 경우, GSM 휴대 전화의 PIN(패스코드라고도 불립니다)은 4 ~8[41] 자리수이며, SIM 카드에 기록됩니다.이러한 PIN을 3회 잘못 입력하면 서비스 오퍼레이터가 제공하는 개인 차단 해제 코드(PUC 또는 PUK)가 입력될 때까지 SIM 카드는 차단됩니다.PUC를 10번 잘못 입력하면 SIM 카드가 영구적으로 차단되므로 이동통신사 서비스에서 새 SIM 카드가 필요합니다.

PIN은 또한 개인 인증의 한 형태로 스마트폰에서 일반적으로 사용되므로 PIN을 알고 있는 사용자만 장치의 잠금을 해제할 수 있습니다.올바른 PIN 입력 시도가 여러 번 실패하면 사용자는 할당된 시간 동안 재시도할 수 없게 되거나 디바이스에 저장된 모든 데이터가 삭제되거나 사용자만 인증할 것으로 예상되는 대체 정보를 입력하도록 요구받을 수 있습니다.PIN 입력에 실패한 후에 앞에서 설명한 현상 중 하나가 발생하는지 여부는 주로 디바이스와 소유자가 선택한 설정에 따라 달라집니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Higgs, Edward (1998). History and Electronic Artefacts. Oxford University Press. ISBN 0198236336.
  2. ^ Martin, Keith (2012). Everyday Cryptography: Fundamental Principles and Applications. Oxford University Press. ISBN 9780199695591.
  3. ^ Cale, Stephane (2013). Mobile Access Safety: Beyond BYOD. Wiley Publishing. ISBN 978-1-84821-435-4.
  4. ^ "E-Commerce: A Tangled Web for PIN Debit". Digital Transactions. 1 February 2013 – via Associated Press.
  5. ^ Jarunee Wonglimpiyara, 은행 카드 사업 경쟁 전략(2005), 페이지 1-3.
  6. ^ a b "The man who invented the cash machine". BBC. 2007-06-25. Retrieved 2014-06-15.
  7. ^ "ATM inventor John Shepherd-Barron dies at 84". Los Angeles Times. 19 May 2010 – via Associated Press.
  8. ^ Jarunee Wonglimpiyara, 은행 카드 사업 경쟁 전략(2005), 페이지 5.
  9. ^ "Royal honour for inventor of Pin". BBC. 2006-06-16. Retrieved 2007-11-05.
  10. ^ GB 1197183 "고객이 조작하는 분사 시스템의 개선 또는 그에 관한 개선" – Ivan Oliveira, Anthony Davies, James Goodfellow
  11. ^ a b Stiennon, Richard (17 June 2014). "Key Management a Fast Growing Space". SecurityCurrent. IT-Harvest. Retrieved 21 August 2019.
  12. ^ a b Bátiz-Lazo, Bernardo (2018). Cash and Dash: How ATMs and Computers Changed Banking. Oxford University Press. pp. 284 & 311. ISBN 9780191085574.
  13. ^ "The Economic Impacts of NIST's Data Encryption Standard (DES) Program" (PDF). National Institute of Standards and Technology. United States Department of Commerce. October 2001. Retrieved 21 August 2019.{{cite web}}: CS1 maint :url-status (링크)
  14. ^ a b Langford, Susan (2013). "ATM Cash-out Attacks" (PDF). Hewlett Packard Enterprise. Hewlett-Packard. Retrieved 21 August 2019.
  15. ^ a b "ID System Designed as NCR 270 Upgrade". Computerworld. IDG Enterprise. 12 (7): 49. 13 February 1978.
  16. ^ "Four Products for On-Line Transactions Unveiled". Computerworld. IDG Enterprise. 10 (4): 3. 26 January 1976.
  17. ^ a b "Martin M. (John) Atalla". Purdue University. 2003. Retrieved 2 October 2013.
  18. ^ "Security guru tackles Net: Father of PIN 'unretires' to launch TriStrata". The Business Journals. American City Business Journals. May 2, 1999. Retrieved 23 July 2019.
  19. ^ "Purdue Schools of Engineering honor 10 distinguished alumni". Journal & Courier. May 5, 2002. p. 33.
  20. ^ Bátiz-Lazo, Bernardo (2018). Cash and Dash: How ATMs and Computers Changed Banking. Oxford University Press. p. 311. ISBN 9780191085574.
  21. ^ Konheim, Alan G. (1 April 2016). "Automated teller machines: their history and authentication protocols". Journal of Cryptographic Engineering. 6 (1): 1–29. doi:10.1007/s13389-015-0104-3. ISSN 2190-8516. S2CID 1706990. Archived from the original on 22 July 2019. Retrieved 22 July 2019.
  22. ^ Grant, Gail L. (1998). Understanding Digital Signatures: Establishing Trust Over the Internet and Other Networks. McGraw-Hill. p. 163. ISBN 9780070125544. In fact, an estimated 70 percent of all banking ATM transactions in the USA are routed through specialized Atalla hardware security modules.
  23. ^ "Portfolio Overview for Payment & GP HSMs" (PDF). Utimaco. Retrieved 22 July 2019.
  24. ^ ID 번호는 비밀번호가 아닙니다.Webb-site.com (2010년 11월 8일)
  25. ^ ISO 9564-1:2011 금융 서비스 - 개인 식별 번호(PIN) 관리 및 보안 - Part 1: 카드 기반 시스템의 PIN 기본 원칙요건, 조항 8.1 PIN 길이
  26. ^ "3624 PIN Generation Algorithm". IBM.
  27. ^ "PIN Offset Generation Algorithm". IBM.
  28. ^ "Track format of magnetic stripe cards". Gae.ucm.es.
  29. ^ "Sun Crypto Accelerator 6000 Board User's Guide for Version 1.0". docs.oracle.com. Retrieved 2021-06-22.
  30. ^ "PVV Generation Algorithm". IBM.{{cite web}}: CS1 maint :url-status (링크)
  31. ^ Wang, Ding; Gu, Qianchen; Huang, Xinyi; Wang, Ping (2017-04-02). "Understanding Human-Chosen PINs: Characteristics, Distribution and Security". Proceedings of the 2017 ACM on Asia Conference on Computer and Communications Security. Asia CCS '17. Abu Dhabi United Arab Emirates: ACM: 372–385. doi:10.1145/3052973.3053031. ISBN 978-1-4503-4944-4. S2CID 14259782.
  32. ^ Kuhn, Markus (July 1997). "Probability theory for pickpockets — ec-PIN guessing" (PDF). Retrieved 2006-11-24. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  33. ^ Nick Berry (28 September 2012). "The most common PINs: is your bank account vulnerable?". Guardian newspaper website. Retrieved 2013-02-25.
  34. ^ a b Lundin, Leigh (2013-08-04). "PINs and Passwords, Part 1". Passwords. Orlando: SleuthSayers. Armed with only four possibilities, hackers can crack 20% of all PINs.
  35. ^ Zieliński, P & Bond, M (February 2003). "Decimalisation table attacks for PIN cracking" (PDF). 02453. University of Cambridge Computer Laboratory. Retrieved 2006-11-24. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  36. ^ "Media coverage". University of Cambridge Computer Laboratory. Retrieved 2006-11-24.
  37. ^ "Reverse PIN Panic Code". Retrieved 2007-03-02.
  38. ^ SB0562 일리노이 총회 전문, 2011-07-20에 접속
  39. ^ sb379_SB_379_PF_2.html 상원 법안 379 Wayback Machine Georgia General Assembly에서 2012-03-23 아카이브, 2006년 발행, 2011-07-20 액세스
  40. ^ "Will Entering Your ATM Pin Backwards Trigger the Police?". Rare. 2020-12-15. Retrieved 2021-02-27.
  41. ^ 082251615790 GSM 02.17 가입자 식별 모듈, 기능 특성, 버전 3.2.0, 1992년 2월, 조항 3.1.3