zpátky

PIN na čipu, seznamte se

Od počátku rozpoutání diskuze na téma čipových karet se na mFóru objevovaly dotazy ohledně zablokovaného PINu na čipu karty. V únoru mBank zavedla funkcionalitu, která nově umožňuje i offline ověřování transakcí  bez nutnosti připojení terminálu k bankovnímu systému, proto se s ní pojďme seznámit. Nejprve se však podívejme, jak vlastně ověřování karetních transakcí a PIN funguje.

Část 1: Jak to funguje?
Při karetních transakcích mohou být použity tři způsoby ověření: podpisem, ověřením PINu online a ověřením PINu offline.

Podpis
Pokud je transakce ověřována podpisem klienta, mezi terminálem a kartou proběhne pouze autorizační požadavek bez kontroly PINu, na který terminál obdrží odpověď z bankovního systému.

PIN online
Při ověřování karetní transakce pomocí PINu online obsahuje autorizační požadavek na bankovní systém také ověření PINu. V takovém případě se ověřuje zadaný PIN porovnáním s PINem v bankovním systému.

PIN offline
V případě ověřování karetní transakce prostřednictvím PINu offline dochází k ověření zadaného PINu s PINem na čipu, a teprve poté je zaslán autorizační požadavek na bankovní systém. Ten již nevyžaduje verifikaci PINu v bankovním systému, protože již proběhla na čipu karty.

Je důležité odlišit verifikaci PINu offline a ověření transakce offline. V prvním případě proběhne bez kontaktu s bankovním systémem pouze verifikace PINu, zatímco ve druhém případě proběhne ověřování transakce zcela bez kontaktu s bankovním systémem. Samotné využití PINu offline tedy neznamená, že transakce proběhne bez autorizace, ale že správnost zadaného PINu už není ověřována bankovním systémem. O tom, zda proběhne autorizace prostřednictvím bankovního systému a zablokování částky na účtu, rozhoduje nastavení terminálu a karty.

Počítadlo PINu offline
Proti zneužití karty pomocí metody pokusů a omylů v případě krádeže čip obsahuje počítadlo chyb při zadávání PINu. Pokud je na kartě PIN na čipu odblokovaný, počítadlo je nastaveno na tři pokusy. Když poprvé zadáme chybný PIN, hodnota počítadla se sníží na dva pokusy. Po druhém chybném zadání PINu bude počet pokusů snížen na jeden, po třetím chybném zadání na nula pokusů. Pokud má počítadlo PINu offline hodnotu nula, terminál již neověřuje správnost PINu na čipu karty, ale zasílá požadavek na ověření PINu bankovním systémem - přejde na ověření PINu online.

Část 2: Práce s PINem offline
U čipových karet tedy můžeme mít dva druhy PINu: PIN online, zapsaný v systému banky a PIN offline, zapsaný na čipu karty. Nepříjemným důsledkem toho je, že pokud provedeme například v internetovém bankovnictví nebo přes mLinku změnu PINu v bankovním systému, na čipu karty zůstává PIN původní. V případě nových karet se jedná o technický PIN, vložený během výroby. Pokud tedy je PIN čipu odblokovaný, oba PINy je nutné synchronizovat - nahradit původní PIN na kartě změněným PINem z bankovního systému.
 
Odblokování PINu offline
Před nasazením této nové funkcionality byl na čipových kartách vydávaných mBank PIN na čipu zablokovaný tak, že počítadlo PINu offline bylo nastaveno na hodnotu nula. Terminál tedy nikdy nezkoušel ověřit PIN na čipu karty a ihned ověřoval transakci pomocí PINu online v rámci autorizačního požadavku na bankovní systém. Důvod byl ten, že terminály nebyly vždy schopny správně synchronizovat oba PINy, což by klientům mohlo působit problémy. Díky nasazení nové funkcionality však PIN na čipu nyní můžeme odblokovat. 

Pro odblokování PINu na čipu bankovní systém musí vygenerovat příkaz, který změní PIN na čipu podle PINu zapsaného v bankovním systému. Jakmile přes internetovém bankovnictví nebo mLinku dojde ke změně PINu, příkaz  se odešle během první transakce na terminálu využívajícím čip a zároveň online autorizaci. Terminál vygeneruje standardní autorizační požadavek s ověřením správnosti PINu online, tedy ještě v systému banky. Následně bankovní systém odešle terminálu autorizaci včetně příkazu pro vložení PINu na čip.

Jakmile je příkaz vložen do mikroprocesoru na kartě, dojde k odblokování počítadla PINu offline, jeho nastavení na 3 pokusy a zároveň zapsání nového PINu na čip. Pokud se změna povede, terminál odesílá pozitivní potvrzení do banky a proces je zakončen. V tom okamžiku je PIN na čipu odblokovaný a stejný jako PIN v bankovním systému.

Je-li je provedena změna PINu v bankovním systému, k zaslání příkazu stačí jakákoliv transakce, při kterém dochází k online spojení terminálu využívajícího čip se systémem banky, tedy například zjištění zůstatku. Transakce ani nemusí být úspěšná, k vložení příkazu například dojde i v případě zamítnutí operace z důvodu nedostatek prostředků. Příkaz se nevloží pouze při bezdotykové operaci, pokud je pro ověření transakce využit magnetický pásek nebo nedojde k online autorizaci v bankovním systému.

Změna PINu na kartě s odblokovaným PINem offline
Pokud u karty s odblokovaným PINem na čipu změníme v internetovém bankovnictví PIN, na čipu zůstane stále PIN původní. Jak se tedy správný PIN dostane i na kartu?

Na řadu přichází počítadlo PINu offline na čipu karty. Při prvním použití karty po změně PINu zadáme již nový PIN. Pokud dojde k verifikaci PINu na čipu, karta tento PIN ověří třikrát negativně, neboť na kartě je stále PIN původní. Při čtvrtém pokusu dojde ke spojení se sytémem banky, ověření PINu online a jeho akceptaci. Zároveň je na kartu odeslán příkaz s novým PINem a dojde k nastavení počítadla PINu offline opět na tři pokusy. 

V případě prvního použití karty po změně PINu v terminálu s verifikací PINu offline je tedy nutné počítat s tím, že bude nutné zadat nový PIN až čtyřikrát, aby došlo k jeho aktualizaci na čipu. Po změně PINu v bankovním systému proto doporučujeme pro první transakci využít terminál, který ověřuje PIN pouze online, například jakýkoliv čipový bankomat. Není potřeba vybírat hotovost nebo zjišťovat zůstatek na účtu, stačí se přihlásit zadáním nového PINu. 

Aktualizace 6.5.2010 - dotazy a odpovědi na ně:

1. Nuluje se počítadlo po správně zadaném PINu?

Ano

2. Pokud je PIN zablokován a dojde k online transakci, zapíše se PIN i pokud nebyl změněn?

Ne

3. Dá se nějak poznat nebo zjistit zda ten PIN na čipu je nebo není?

Jediný způsob, jak to spolehlivě poznat, je zkusit platbu na offline terminálu, který umí ověřit pouze PIN offline. Online a offline terminály od sebe nelze snadno odlišit, naprostá většina terminálů je však online, i když se primárně snaží transakce autorizovat pomocí PIN offline. Jasně offlinovými terminály jsou například CAT (Cardholder Activated Terminals) sloužící pro výběr mýtného na dálnicích atp., kde nedochází k platbám vyšších částek, které by bylo nutné online autorizovat v bankovním systému.

4. Je PIN už na nově vydávaných a obnovovaných kartách? Pokud ano tak od kdy se tam začal dávat?

Řešení bylo nasazeno 8.2.2010, tudíž někteří klienti PIN offline již mají a totéž platí pro obnovované karty po tomto datu. U nových karet je tato funkcionalita nastavena automaticky. Jakmile je aktivován v systému PIN na kartě a proběhne první autorizace přes PIN online, PIN offline je nastaven.

5. Nuluje se počítadlo po správně zadaném PINu nebo dá se nějak vynulovat?

Ano, nuluje automaticky.

6. Dá se nějak zjistit (zkontrolovat) stav toho počítadla nesprávně zadaných PINů?

Ne

7. Vyžaduje mBank aby si každý uložil PIN na čip karty a nebo to není povinné?

Není to povinné, nicméně tím, že si PIN na čip klient uloží, je jisté, že bude moci zaplatit v místech, kde v minulosti byly potíže při placení našimi kartami – např. Anglie, mýtnice v Itálii apod.. Ovšem aby nedošlo k aktivaci nové funkcionality, nesmí dojít ke změně PIN v bankovním systému.

8. Proč je uložení PINu na čip karty zpoplatněné formou poplatku 25 Kč za změnu PINu?

Poplatek nemusíte platit, pokud nebudete chtít PIN na čipu využít dříve, než dojde k obnovení vaší karty a automatické aktivaci této funkcionality.

9. Nemohl by tento poplatek být zrušený alespoň na přechodnou dobu než si klienti ten PIN na karty uloží?

Nikoliv, toto je standardní poplatek uvedený v sazebníku, změna poplatků není úplně jednoduchá věc.

10. A je opravdu nutné nejprve provést žádost o změnu PIN v bankovním systému?

Ano, jinak by nemohlo dojít k nahrání příkazu – skriptu, který PIN nahraje na čip.

11. Neproběhne nahrávka skriptu na čip a následná aktivace při běžném použití karty v online terminálu automaticky?

Viz výše – v případě karet vydaných po 8.2.2010 je tato funkcionalita nastavena automaticky.

12. Tedy - správná otázka - dojde k automatickému uložení PINu na čip i v případě, že PIN nezměním, pouze provedu nějakou operaci, kvůli které se moje karta spojí s bankovním systémem?

V případě karet s čipem vydaných před 8.2.2010 je nutné provést oba dva kroky včetně změny PINu v bankovním systému, aby se PIN na čip nahrál.

13. Mám kartu starší, vydanou před 8.2. a PIN je na ní stále stejný od začátku, takže se neměnil ani před ani po 8.2. Je tento PIN také automaticky přepsán do čipu v bankomatu?

Nikoliv. Je nutné provést změnu PINu v IB a následně synchronizovat v terminálu – bankomatu.

14. Anebo ho musím v IB změnit a pak s kartou do bankomatu?

Ano, je třeba jej změnit a pak aktualizovat např. v bankomatu.

15. A pokud musím PIN změnit, mohu zadat stejný, tedy číselně nezměněný?

Ano, nic nebrání tomu zadat PIN stejný číselně nezměný.

 

Tomáš Vokroj Tomáš Vokroj / mBank
webmarketing specialist
tomas.vokroj -zavináč- cz.mbank.eu

Kategorie:

Bezpečnost

Komentáře (42)

Vložit komentář

lepší je kartu nepoužívat-na toto nemám čas. FIO- tam není problém

Tak vám děkuju. Já jsem díky tomu přišel o 2 x 25 korun. Změnil jsme si PIN na IB a v obchodě po 2 x zadání PINu, kdy ho to nevzalo, jsem nedělal třetí pokus, abych kartu nezablokovl a odešel jsem domů. Poté jsem na IB dal za 25 Kč změnit PIN, naťukal jsme ten samý a šel znova kartou platit do stejného místa. Situace se opakovala. Až potřetí, kdy už jsme měl vztek, jsem riskl i 3 pokus, pak se karta teprve spojila online a PIN to najednou vzalo. Myslím, že na toto byste měli upozornit hned v 1. papírech, které od vás klient obdrží.

Mám prosbu často jezdím do Velké Británie a Irska. Ovšem pokaždé mám problém s platební kartou. Pokaždé prodejci se zobrazí , že mám zablokovaný pin. Jakmile se vrátím do ČR, tak s kartou nic není.
Lze těmto komplikacím předejít?
Na podzim jsem totiž byla v Irsku a platit kartou jsem se pokoušela v 6 různých obchodech v Dublinu a nepodařilo se. Pokaždé to hlásilo zablokovaný PIN.

Měl jsem problém s platbou u benzínové pumpy v Německu - nešlo zaplatit ani jednou ze dvou karet mBank, které vlastním, ještě že jsem měl kartu i jiné banky. Po návratu do ČR a konzultaci s linkou mBank, jsem provedl na obou kartách změnu PINu. Karty jsem v ČR běžně používal a po několika měsících opět vyjel do Německa. K mému zklamání znovu nešlo platit u benzínové pumpy. Zřejmě nebude řešení změnou PINu tak úplně funkční!

To je úplně jedno jaký se zadá. Jak chcete zabezpečit a provést sdělení hodnoty PINu konkrétnímu poplatkovači, aby ho porovnal s původním?

Ono by stačilo, aby "změna" PINu na stejný nebyla zpoplatněna.
V ceníku je poplatek za změnu PINu, ale při zadání nového PINu stejného jako byl původní k žádné změně nedošlo a přitom by se aktivoval skript na nahrání PINu na kartu.

Varianta s aktivováním skriptu pro všechny čipové karty vydané mBankou je ještě jednodušší.

ad dotaz a odpověď "10. A je opravdu nutné nejprve provést žádost o změnu PIN v bankovním systému?

Ano, jinak by nemohlo dojít k nahrání příkazu – skriptu, který PIN nahraje na čip."

Nechápu, proč tento script nemůžete vygenerovat např. pro všechny chipové karty obnovené a vydané před 8.2.2010 a nebylo by zde o čem diskutovat.

To že nasazení o 2-3m dříve by zachytilo myslím všechny obnovované karty nebudu více komentovat.

kdyby to přišlo dříve tak sem i nějakou tu platbu uskutečnil, ale teď je to s křížkem po funuse. Krom citi má kurz lepší snad každá jiná karta a z bankomatu šlo vybírat i bez pin offline.

Také děkuji a chválím....Myslím, že po té nedávné záplavě negativních příspěvků na mBank (ač ten důvod - snížení úroků - nebyl zanedbatelný) se dá uznat, že základní funkce banky probíhají dobře. Srovnáme-li to s AXA... A internetové bankovnictví s možnostmi různých nastavení je možná lepší než u většiny jiných bank. Také m-fórum nemá obdoby.

Tomáš_mBank [32]
Ještě jednou děkují za dobře odvedenou pro klienty mBank užitečnou dnešní práci. Možná by jste si za to zasloužil i nějakou mimořádnou prémií k výplatě navíc.

Poslat zprávu

2 vlazy 31 - již učiněno.

S pozdravem

Tomáš

Tomáš_mBank [30]
Děkují za odpovězené dotazy. Možná by bylo dobré alespoň některé tyto informace přidat zde na blog aby to bylo vše pohromadě a bylo to přehlednější.

Poslat zprávu

Dobrý den všem diskutujícím,

Dotazy k tématu PIN na čipu jsem zodpovídal ve vlákně na fóru zde: http://www.mbank.cz/forum...

S pozdravem

Tomáš

Bojlere, dík, ale rád bych to slyšel přímo od mBank, ač nijak nezpochybňuji Tvé znalosti. Logické by to bylo, že novému zapsání PINu v IB je jedno, zda se číslo změní nebo ne. Ale moc často zde logika neplatí. Každopádně se to neobejde bez našeho daru bance 25 Kč. To už svádí k tomu, aby to člověk za každou cenu změnil...

údiv: může to být ten stejný PIN jako byl dřív, i tak k zapsání dojde.

vejpuste [26]
Předpokládám, že máš na mysli karty obnovované. Pokud je to tak jak píšeš a od 8.2.2010 je na obnovovaných kartách už PIN skutečně nahraný a není u těchto karet kvůli tomu třeba měnit v IB PIN tak nechápu proč to zaměstnanci mBank tak tají a už dávno to zde v blogu nebo v mFóru nenapsali. Vidím v tom jednoznačný hodně vychytralý a nesolidní zájem co nejvíce na tom vydělat i od lidí s nedávno obnovenými kartami kteří ten PIN asi zcela zbytečně za 25 Kč mění. Tím se pouze potvrzuje, že mBank má vůči klientům samé nečestné úmysly.

Pokud vim, tak u karet vydavanych po 8.2. by mel byt stavajici PIN na CHIPu nahrany.
U starsich karet by se mel PIN na CHIP nahrat i pri zmene PINu v IB na stavajici kombinaci. Nasledne je potreba kartu pouzit v online bankomatu, coz by mely byt snad vsechny bankomaty v CR.

Vážená Ivan(k)o, sice děkuji, ale stále se nezodpověděly jisté (důležité) detaily. Musím-li tedy změnit PIN starších karet (před 8.2.) pro zapsání PINu do čipu, mohu během změny v IB zapsat stejný PIN? Tedy stejnou sadu čísel jako mám dosud? Anebo povinně jinou? A mimochodem - je to za 25 Kč. A zapsání provede každý bankomat nebo máte doporučení pro "zaručeně funkční" (typ banky...)?

Ivana_mBank [23]
Děkují za odpovědi na některé dotazy. Z vaši odpovědi ale není zcela zřejmé zda u těch nedávno obnovovaných karet ten PIN na čipu už je i přes to, že na předešlé kartě nebyl a není ho proto tam třeba ukládat a nebo si ho tam musí každý nechat uložit sám pokud ho tam chce mít aby takto mohla mBank na tom vydělat 25 Kč za změnu PINu u každé karty. Pokud se na ty obnovované karty PIN ukládá už při jejích výrobě a nemusí se proto na tyto karty dodatečně ukládat tak od kdy se tam začal ukládat?

Poslat zprávu

Děkuji za váš zájem a další dotazy, zde jsou mé odpovědi.

údiv:
PIN na čip bude vložen, pokud nyní provedete změnu PINu v internetovém bankovnictví a poté například ověříte zůstatek v bankomatu.

vlazy:
Blog zveřejňujeme až nyní vzhledem k nedávnému dokončení testování nové funkcionality. U obnovovaných karet se PIN nenastavuje, zůstává stejný v bankovním systému i na čipu.

bojler:
Děkujeme za zpětnou vazbu, vaše tipy určitě někteří klienti rádi využijí. Dotaz je zodpovězen výše.

16: Protože s kartama byly problémy hlavně v GB a pak v některých automatech (jízdenky, mýtnice, tankování). No a ověření PINu offline bezpečnostně neznamená fakticky nic.

Tomáš: Srozumitelně napsáno, jenom podle mě chybí:
a) v úvodu vysvětlení, proč vlastně PIN offline bude zaváděn.
b) poznámka, že k zapsání dojde i po změně PINu na stejný PIN - tzn. nemusí se měnit PIN na jinou sadu číslic

Měl bych ještě dvě otázky - obnovené karty budou chodit už se zapsaným PINem?

Ivana_mBank [19]
Proč se o tom informuje až nyní když to je funkční už od 8.2.2010? A co u karet obnovovaných u kterých PIN není třeba nastavovat nebo měnit? Není ten PIN na čipu už uložený u obnovovaných karet? Pokud ne tak proč? Proč mBank za to uložení PINu na čip karty požaduje 25 Kč formou poplatku za změnu PINu?

Děkuji za rychlost. Ale dovolím si zopakovat otázku, neboť se domnívám, že stále není zodpovězena - nepsal jsem o změněném PIN po 8.2. Zajímalo by mne tedy, mám-li kartu starší, vydanou (dávno) před 8.2. a PIN je na ní stále stejný od začátku, takže se neměnil ani před ani po 8.2. Je tento PIN také automaticky přepsán do čipu v bankomatu pro of line?

Poslat zprávu

PIN na čipu je aktivován pro všechny karty, u kterých po 8.2.2010 došlo ke změně PIN v bankovním systému a následně k jakékoliv transakci s ověřením PIN online. U nových karet získáte tuto funkcionalitu zároveň s aktivací karty, během níž k nastavení nového PIN také dochází.

Uvítal bych krátkou informaci, zda ti, co mají nezměněný, původní PIN, ho mají v posledních dnech automaticky nahraný na čip při použití bankomatu (nebo jiného "matu"). Diksuse o takové či onaké funkci, změně PINu, atd., by bylo dobré probírat pro zájemce odděleně.

V praxi by to mělo znamenat, že karty budou fungovat i u obchodníků v UK, kde je tento způsob autorizace běžný a dosud to byl problém. To je dobré. Ovšem pravda je, že bezpečnost tohoto způsobu ověřování byla zkompromitována... nicméně neaktivování služby na kartě ničemu nepomůže (útočník kartě řekne, že se autorizuje podpisem, terminálu, že PIN byl potvrzen)-

Karta mBank je super, nikdy jsem s nemel problem. Po zverejneni zneuziti karet pres platebni terminaly jsem se kolegum a pratelum s kartami, ktere se overuji offline vysmival, ze maji zneuzitelnejsi kartu nez ja. Ted se k nim muzu pripojit. Proc veci, ktere funguji a se kterymi neni problem, musi vzdycky nekdo pokazit. Proc z bezpecne karty delate mene bezpecnou? Da se nejak zabranit tomu, aby ma karta neprestala byt vzdy overovana online?

zajímalo by mě, když máme k našemu mKontu vydané nové karty v lednu a březnu, jestli už tyto karty mají aktivován PIN offline, nebo si u obou musím změnit pin a teprve pak po první transakci přes ně se aktivuje PIN offline?

Dobrý den, zajímalo by mne, jak se pozná "jakýkoliv čipový bankomat" od těch ostatních ???

Poznat technické pozadí celého problému je pro většinu z nás velmi zajímavé, ale je tu spousta uživatelů, které zajímá čistě jednoduchá informace: pro zápis PIN na čip platební karty je třeba nejprve požádat o změnu PIN v IB (byť PIN "změníte" za identický = poplatek 25 Kč) a následně se při platbě na online terminálu obchodníka nebo výběru z bankomatu provede potřebná úprava dat na čipu. Je možné, že bude nutné opakovaně zadat PIN... nebo to snad jde i jinak???

a jde nějak poznat jestli je pin offline na kartě?

Já myslím, že je to napsáno srozumitelně. Kdo nechápe, ať vleze na mFórum. A nechápou většinou ti, co se nikdy nesrazili s problémem zamítnuté transakce z důvodu nemožnosti ověřit online pin.

pin online neumí každý terminál, respektivě obchodníci to tak maj nastaveno z ekonomických důvodů.
Tomáši dík za užitečný blog!

Proč nechává Mbank psát důležité informace někoho, kdo neumí ani česky, ani vysvětlovat?

Jestli to dobre chapu, tak jedinou zmenou "PIN offline" proti "PIN online" je, ze se PIN overi na karte. Autorizacni pozadavek se stejne musi posilat. Tak k cemu je to cele dobre, krome toho, ze to prinasi bezpecnostni riziko a potencialni nutnost v nekterych situacich 4krat zadat PIN?

To Keddie: Tak zrovna bankomaty ověřují on-line, což podle článku znamená okamžité nahrání nového PINu

Obnovené platební karty v květnu a dále... budou mít již PIN na čipu bez problémů ?

Hmm, 4krat spatne zadat pin? Neni to tak ze nektere bankomaty po 3 spatnem zadani v jeden den kartu "sezerou"? Ci to nezavisi na nastaveni bankomatu?

Zistenie zostatku v bankometa je spoplatnene, nie ? :)

Mimochodom, Lukasovi ste neodpovedali

Poslat zprávu

Pro aktivaci PIN na čipu doporučujeme následující postup: Změnu PIN v bankovním systému a následně jakoukoliv transakci s ověřením PIN online, například oveření zůstatku v jakémkoliv bankomatu.

A co když nikdy nebudu chtít mít aktivovaný PIN offline např. z důvodu bezpečnosti viz. článek na: http://www.penize.cz/7297...

Nebo ho alespoň nebudu chtít než karetní firmy odstraní potencionální bezpečnostní riziko.

Úplně tomu nerozumím, vygeneruje ten script pro nahrání PINu mBank každému automaticky nebo si všichni musí manuálně u všech karet změnit PIN, aby se jim to nahrálo?