PIN Crypt ist ein kleines Tool, das dabei hilft, eine (wiedermal geänderte) vierstellige PIN zu merken. Man gibt die echte PIN ein und außerdem eine andere vierstellige Zahl, die als Passwort dient. Dieser Schlüssel sollte ausreichend zufällig, aber, im Gegensatz zu der PIN, grundsätzlich merkbar sein.
Das überaus simple Programm errechnet nun durch einfache subtraktion der einzelnen Stellen (ohne Übertrag) eine neue vierstellige Nummer, die man direkt auf der ec Karte oder Kreditkarte notieren kann.
Wenn man dann später die einzelnen Stellen der notierten Zahl und des geheimzuhaltenden Passwortes unter Mißachtung des Übertrages addiert, errechnet man seine PIN. (»Mißachtung des Übertrages« bedeutet, daß 8 + 5 = 3 ist und nicht 13.)
PIN Crypt
Sicherheitshinweise:
• Natürlich sollten Sie nicht Ihre richtige PIN auf dieser Homepage eintippen. Obwohl das Programm nichts speichert und Sie auch keine zusätzlichen Daten, die Sie identifizieren, angeben, sollten Sie das trotzdem nicht tun.
• Wenn Sie doch Ihre echte PIN benutzen: die PIN wird nicht gespeichert, Sie sind von mir nicht identifizierbar und 6734 ist auch eine PIN von irgendwem. Theoretisch besteht aber für einen mächtigen Beobachter (= Provider oder jemand in Ihrem lokalen Netz, etc.) die Möglichkeit, den (nicht verschlüsselten) Transfer mitzulesen. Dieser Beobachter ist so mächtig, daß er eventuell auch weiß, wer Sie sind. In dem Falle fehlt ihm nur noch Ihre Karte.
• Das Verfahren ist genauso (un-)sicher, wie das PIN Verfahren selbst, wenn...
• ...der Schlüssel ausreichend sicher gewählt ist. 0000 ist unsicher, 1234 ist unsicher, Ihre Telefonnummer ist unsicher und ebenso Ihr Geburtsjahr, -monat oder -tag. 0354 ist gut, aber jetzt auch unsicher. Eine gute Wahl wäre womöglich Ihre alte PIN.
• Ihre Bank wird Ihnen unter Umständen trotzdem nichts ersetzen, wenn Ihre Karte mißbraucht wurde. Klären Sie das mit einem intelligenten Sachbearbeiter! Als Argumentationshilfe können Sie im Zweifel anführen, daß dieses Verfahren (One-Time-Pad) beweisbar unknackbar ist (wenn das Passwort gut gewählt wurde).
• Natürlich können Sie zusätzlich die notierte PIN in eine willkürliche Zahlenfolge einbetten: 834734*6342*83483
• Sie können dasselbe Passwort für alle Ihre ec- und Kreditkarten anwenden (da die PIN über keine statistischen Wahrscheinlichkeiten verfügt): wenn aber eine PIN "entschlüsselt" wurde, ist es eine Kleinigkeit, auch die anderen PIN Nummern zu errechnen. Sie bilden hiermit also ein großes Geheimnis (alle PIN Nummern) auf ein kleines (das Passwort) ab - wie es üblich ist bei Verschlüsselungen.
• Eine sichtbar notierte vierstellige Nummer auf einer ec- oder Kreditkarte kann Begehrlichkeiten wecken! Der potentielle Dieb hat keine Ahnung, daß die vier Ziffern nicht ihre PIN sind!
