شماره شناسایی شخصی
شمارهٔ شناسایی شخصی یا پین یک اسم رمز عددی است که میان یک سامانه و یک کاربر به اشتراک گذاشته میشود و میتوان از آن برای اصالتسنجی کاربر در سامانه استفاده کرد. معمولاً از کاربر خواسته میشود یک نشانه یا شناساگرِ نامحرمانه (شناسه کاربری) را به همراه یک شماره شناسایی شخصی محرمانه، فراهم آورد تا بتواند به سامانه دست یابد. سامانه تنها در صورتی اجازهٔ دسترسی به کاربر را میدهد که شمارهٔ واردشده با شمارهٔ ذخیرهشده در سامانه همخوانی داشته باشد. بنابراین برخلاف نام کاربری، از روی پین نمیتوان برای شناسایی شخص کاربر استفاده کرد.[1]
شمارهٔ شناسایی شخصی اغلب در خودپردازها استفاده میشود، اما کاربرد آن در پایانههای فروش، کارتهای نقدی و کارتهای اعتباری در حال افزایش است. جدای از کاربردهای اقتصادی، تلفنهای همراه جیاسام نیز دارای یک پین ۴ تا ۸ رقمی هستند.[2] این پینها در سیمکارت ذخیره میشوند.
در سال ۲۰۰۶ و در افتخارات زادروز ملکه، مخترع شماره شناسایی شخصی، جیمز گودفلو، به رتبه امپراتوری بریتانیا نائل شد.[3]
امنیت پین
پینهای اقتصادی اغلب ۴رقمی هستند که در دامنهٔ ۰۰۰۰ تا ۹۹۹۹ جای میگیرند، در نتیجه ۱۰٬۰۰۰ حالت مختلف بدست میآید. یکی از استثناهای مهم سوییس است که به صورت پیشفرض پینهای ۶رقمی دارد. با این وجود برخی بانکها هستند که اجازهٔ استفاده برخی اعداد را نمیدهند، از جمله اعدادی که همهٔ رقمهایشان یکسان باشد (مثلاً ۱۱۱۱، یا ۲۲۲۲ و...) یا پشت سر هم باشد (مانند ۱۲۳۴ یا ۲۳۴۵) یا با صفر شروع شوند یا با چهار رقم آخر شمارهٔ امنیت ملی فرد برابر باشد. بسیاری از سامانههای درستیسنجی پین، اجازه میدهند کاربر سهبار برای وارد کردن پین تلاش کند، بنابراین ۰٫۰۶٪ احتمال دارد که فرد دیگری بتواند پین درست را پیش از مسدودشدن کارت حدس بزند. این تنها در صورتی درست است که سارق هیچ اطلاعات دیگری نداشته باشد، اما این موضوع در مورد بسیاری از پینهای تولید شده توسط بانکها و الگوریتمهای درستیسنجی خودپردازها صادق نیست.[4]
در سال ۲۰۰۲ یک دانشجوی رشتهٔ دکترا در دانشگاه کمبریج یک نقص امنیتی در تولید پین سامانههای آیبیام ۳۶۲۴ کشف کرد که در بسیاری از سختافزارهای بعدی نیز مشابهش بکار رفته. این نقص امنیتی با نام حمله جدول دهدهی (به انگلیسی: decimalization table attack) شناخته میشود. این نقص به کسانی که به سامانهٔ رایانهای بانک دسترسی دارند اجازه میدهد پین یک کارت خودپرداز را در میانگین ۱۵ حدس بدست آورند.[5][6]
در صورتی که پین تلفن همراه سهبار اشتباه وارد شود، سیمکارت آن مسدود خواهد شد تا زمانی که کد قفلگشای شخصی (پوک) که توسط اپراتور خدمات تعیین میشود، وارد گردد. اگر کد پوک ۱۲ مرتبه اشتباه وارد شود، سیمکارت برای همیشه مسدود خواهد شد و نیاز به یک سیمکارت نو خواهیم داشت.
نکات امنیتی برای پین:
- استفاده از پین را محدود کنید
- بجای پین، از کلید پیوندی (در بلوتوث) استفاده کنید.
- از پین تنها در محیطهای امن استفاده نمایید.
جستارهای وابسته
- پایانه فروش
- کد قفلگشای شخصی
منابع
- Your ID number is not a password, Webb-site.com, 8 November 2010
- GSM 02.17 Subscriber Identity Modules, Functional Characteristics, version 3.2.0, February 1992, clause 3.1.3
- "Royal honour for inventor of Pin". BBC. 2006-06-16. Retrieved ۲۰۰۷-۱۱-۰۵.
- Kuhn, Markus (July 1997). "Probability theory for pickpockets — ec-PIN guessing" (PDF). Retrieved ۲۰۰۶-۱۱-۲۴.
- Zieliński, P & Bond, M (February 2003). "Decimalisation table attacks for PIN cracking" (PDF). University of Cambridge Computer Laboratory. Retrieved ۲۰۰۶-۱۱-۲۴.
- "Media coverage". University of Cambridge Computer Laboratory. Retrieved ۲۰۰۶-۱۱-۲۴.