До сих пір pin-код залишається найбільш надійним і ефективним способом верифікації власника банківської карти (ймовірно, з найближчому майбутньому все зміниться, наприклад, за рахунок біометричних технологій).
Пі кожному використанні карти її емітент перевіряє відповідність унікального номера картки з pin-кодом.
Чи повинно відповідність номера банківської карти і pin-коду бути взаємно однозначним?
Відповідь - ні. І це очевидно. Номер банківської карти найчастіше складається з 16 цифр, а pin-код - всього 4 - 12 цифр. Тому pin-коди двох різних карт можуть збігатися, хоча і ймовірність знайти дві такі карти досить мала.
Чи є взагалі якесь відповідність між pin-кодом і номером карти?
Відповідь - так. Таке відповідність встановлюється прийнятим алгоритмом. В даний час одні з найпоширеніших це IBM 3624 і VISA PVV.
Чи можна за номером картки визначити її pin-код?
Те-є чи pin-код функцією від номер карти? Відповідь - в загальному випадку немає. Наприклад, на одній карті можуть виявитися робочими відразу кілька різних pin-кодів (один, два, три і т.д.), наприклад, при використанні алгоритму VISA PVV (ймовірність наявності декількох робочих pin-кодів близько 41,8%). При цьому алгоритми створюються так, щоб мінімізувати потенційну кількість відповідних pin-кодів, так як це мінімізує шанс вгадування. А ось IBM 3624 - приклад алгоритму, який дає позитивну відповідь на це питання.
Чи може емітент банківської карти обчислити pin-код карти на підставі її номера та інших даних, що зберігаються на його сервері?
Саме значення pin-коду зберігати навіть в захищеному вигляді емітент не має права. Але відповідь на це питання для кожного випадку індивідуальний. Все залежить від кількох факторів: використовуваного методу верифікації / генерації pin-коду, місця зберігання спеціальних значень (PIN Offset / PVV) і використовуваної технології самої картки (магнітна смуга, чип і т.п.)
У яких випадках можна відновити забутий pin-код без перевипуску нової банківської карти?
При наявності самої картки обидва поширених алгоритму (IBM 3624 і VISA PVV) дозволяють відновити або замінити pin-код без перевипуску картки. При цьому для відновлення pin-коду при використанні алгоритму VISA PVV потрібно перебір всіх можливих значень. Але на практиці, через зайвих витрат, багато банків відмовляються від підтримки відновлення pin-коду навіть якщо це можливо (зазвичай це вимагає додаткових витрат на покупку програмного забезпечення) і завжди просто перевипускають карти.
Якщо спеціальні значення PIN Offset / PVV зберігаються на магнітній смузі банківської карти, то змінити значення пін-коду в банкоматі не вийде, оскільки зміна пін-коду тягне за собою зміну значень PIN Offset / PVV. У разі ж, коли значення PIN Offset / PVV зберігаються в БД карт хоста емітента (це менш безпечно), змінити значення ПІН-коду не складає проблеми навіть через банкомат.
Однакові цифри в pin-коді банківських карт
У 4-х значному pin-коді можуть бути присутніми однакові цифри, за виключення 4-х однакових поспіль. Але як показує практика, більше двох однакових цифр в згенерованих pin-коди банківських карток зазвичай не використовується (дана інформація не перевірена!). Використання більше двох однакових цифр в чотиризначному pin-коді досить небезпечно. Якщо шахраєві стане відомо, що в pin-коді присутня 3 однакові цифри, то шанс "спрямованого" вгадування pin-коду значно збільшується, особливо якщо шахраєві вдасться дізнатися значення PIN Offset / PVV.