부록

러시아 은행의 편지에

2009년 2월 10일자 N 120-T

알림

"은행카드의 안전한 사용을 위한 대책"

메모에 포함된 권장 사항을 준수하면 은행 카드, 세부 정보, PIN 및 기타 데이터의 최대 안전을 보장할 뿐만 아니라 현금이 아닌 상품 결제로 ATM에서 은행 카드를 사용하여 거래할 때 발생할 수 있는 위험을 줄일 수 있습니다. 및 인터넷을 통한 서비스를 포함합니다.

1. 귀하의 PIN을 친척, 지인, 신용 기관 직원, 계산원 및 은행 카드 사용을 돕는 사람을 포함한 제3자에게 절대 공개하지 마십시오.

2. 비밀번호는 반드시 기억하거나, 보관이 어려운 경우 은행카드와 암묵적 형태로 구분하여 친척 등 제3자가 접근할 수 없는 장소에 보관하여야 합니다.

3. 어떠한 경우에도 은행 카드를 친척을 포함한 제3자에게 제공하지 마십시오. 개인의 이름과 성이 은행 카드에 표시된 경우에만 개인은행 카드를 사용할 권리가 있습니다.

4. 은행 카드 수령 시 은행 카드 소지자의 서명이 있는 곳(있는 경우)의 뒷면에 서명합니다. 이렇게 하면 은행 카드를 분실한 경우 동의 없이 은행 카드를 사용할 위험이 줄어듭니다.

5. 은행 카드의 보관 및 사용 조건에 유의하십시오. 은행 카드를 기계적, 열적, 전자기적 영향에 노출시키지 말고 습기가 닿지 않도록 하십시오. 은행 카드는 휴대폰, 가정 및 사무 기기 근처에 두어서는 안 됩니다.

6. 은행카드를 발급한 신용기관(은행카드를 발급한 신용기관)의 전화번호는 카드 뒷면에 표기되어 있습니다. 또한 신용 기관의 연락처 번호 - 은행 카드 발급자 및 기타 정보 매체의 은행 카드 번호 : 노트북, 휴대 전화 및 / 또는 기타 매체에 있지만 다음은 아님 PIN 항목에.

7. 위법행위 방지를 위해 전액 출금 돈은행 계좌에서 은행 카드 거래 금액에 대한 일일 한도를 설정하고 동시에 연결하는 것이 좋습니다. 전자 서비스수행된 트랜잭션 알림(예: SMS 메시지 또는 기타를 통한 알림).

8. 신용기관 직원 등 개인정보 또는 은행카드(PIN 포함) 정보 제공 요청을 받은 경우 제공하지 않습니다. 다시 전화하다 신용 기관- 은행카드 발급기관(은행카드를 발급한 신용기관) 및 이 사실을 신고합니다.

9. 신용기관(은행카드를 발급한 신용기관 포함(은행카드를 발급한 신용기관 포함))을 대신하여 개인정보 제공을 요청하는 이메일에는 회신하지 않는 것이 좋습니다. 편지에 제공된 "링크"(신용 기관의 웹 사이트에 대한 링크 포함)를 따르지 마십시오. 그들은 쌍둥이 사이트로 이어질 수 있습니다.

10. 은행카드를 발급한 신용기관(은행카드를 발급한 신용기관)과의 정보교류를 위해 통신수단(휴대전화 및 유선전화, 팩스, 양방향 웹사이트/포털, 일반 및 이메일 등) , 신용 기관 - 은행 카드 발급 기관에서 직접받은 문서에 표시됩니다.

11. PIN, 개인 데이터 공개, 은행 카드 분실 시 제3자가 귀하의 은행 계좌에 있는 자금으로 불법 행위를 할 위험이 있음을 기억하십시오.

PIN, 개인 데이터 공개에 대한 가정이 있는 경우 은행 계좌, 또한 은행 카드를 분실한 경우 즉시 신용 기관(은행 카드 발급자(은행 카드를 발급한 신용 기관))에 연락하여 이 신용 기관 직원의 지시를 따라야 합니다. 은행 카드 발급 기관인 신용 기관에 신청하는 순간까지 귀하는 은행 계좌에서 승인되지 않은 자금 인출과 관련된 위험을 감수해야 합니다. 일반적으로 신용 기관과의 계약 조건에 따라 - 은행 카드 발급자, 신용 기관 - 은행 발급자까지 은행 카드의 무단 사용의 결과로 은행 계좌에서 인출된 자금 카드는 환불되지 않음을 통지합니다.

ATM에서 은행 카드로

1. 안전한 장소(예: 공공 기관, 은행 지점, 대형 쇼핑몰, 호텔, 공항 등).

2. ATM이 있는 구내에는 PIN이 필요한 장치를 사용하지 마십시오.

3. ATM 근처에 승인되지 않은 사람이 있는 경우 ATM을 사용하거나 다른 ATM을 사용하기에 더 적절한 시간을 선택해야 합니다.

4. ATM을 사용하기 전에 디자인과 일치하지 않고 PIN 다이얼링 영역과 카드를 수락하는 장소(슬롯)에 있는 추가 장치가 있는지 검사합니다(예: 고르지 않은 설치된 PIN 다이얼링 키패드). 이 경우 그러한 ATM을 사용하지 마십시오.

5. ATM의 키보드나 카드수납부에 디자인에 맞지 않는 부가장치가 설치되어 있는 경우, 본 ATM에서 은행카드 사용을 자제하고, 의심되는 사항을 신용카드사 직원에게 신고 ATM에 표시된 전화번호.

6. ATM에 은행 카드를 삽입할 때 물리적인 힘을 가하지 마십시오. 은행 카드가 삽입되지 않은 경우 그러한 ATM 사용을 삼가하십시오.

7. 가까운 사람이 볼 수 없도록 PIN을 입력합니다. PIN을 입력할 때 손으로 키패드를 가립니다.

8. ATM이 정상적으로 동작하지 않을 경우(예: 장시간 대기상태에 있다가 저절로 재부팅됨), 해당 ATM 사용을 거부하고, 화면의 '취소' 버튼을 눌러 현재 작업을 취소해야 합니다. 키보드를 누르고 은행 카드가 반환될 때까지 기다립니다.

9. ATM에서 현금을 받은 후, 지폐를 낱장으로 세고, 은행 카드가 ATM에서 반환되었는지 확인하고, 요청 시 영수증이 발행될 때까지 기다렸다가 가방(지갑, 주머니 ) 그 후에야 ATM에서 나옵니다.

10. 은행 계좌 명세서에 표시된 금액을 나중에 확인할 수 있도록 ATM에서 인쇄한 영수증을 보관해야 합니다.

11. ATM에서 은행 카드로 거래할 때 제3자의 조언에 귀를 기울이지 말고 그들의 도움을 수락하지 마십시오.

12. ATM에서 은행카드로 거래시 ATM에서 카드가 반환되지 않는 경우에는 ATM에 기재된 전화번호로 신용카드사에 전화하여 사건 경위를 설명하고, 또한 ATM에서 반환되지 않은 은행 카드를 발급한 신용 기관(은행 카드를 발급한 신용 기관)에 문의한 후 신용 기관 직원의 지시에 따릅니다.

~을위한 무현금 결제상품 및 서비스

1. 신용이 없는 거래 및 서비스 기관에서 은행 카드를 사용하지 마십시오.

2. 은행 카드 거래는 본인이 있어야만 하도록 요구합니다. 이는 은행 카드에 표시된 개인 데이터의 불법 수신 위험을 줄이기 위해 필요합니다.

3. 상품 및 서비스 비용을 지불하기 위해 은행 카드를 사용할 때 계산원은 은행 카드 소유자에게 여권 제공, 수표 서명 또는 PIN 입력을 요구할 수 있습니다. PIN을 다이얼하기 전에 바로 옆에 있는 사람들이 PIN을 볼 수 없는지 확인하십시오. 수표에 서명하기 전에 수표에 표시된 금액을 확인하십시오.

4. 은행 카드로 결제를 시도할 때 "실패" 작업이 발생한 경우 은행 계좌 명세서에 지정된 작업이 없음을 후속적으로 확인할 수 있도록 단말기에서 발행한 수표 사본 1부를 보관해야 합니다.

인터넷을 통한 카드

1. 전화/팩스 뿐만 아니라 인터넷을 통한 재화 및 용역 주문 시 비밀번호(PIN)를 사용하지 마십시오.

2. 인터넷을 통해 개인 데이터 또는 은행(일) 카드(계좌)에 대한 정보(예: PIN, 은행 자원에 액세스하기 위한 비밀번호, 은행 카드 만료일, 신용 한도, 거래 내역, 개인 데이터.

3. 은행 계좌에서 전액 출금하는 불법 행위를 방지하기 위해 별도의 은행 카드(일명 가상 카드) 에서 최대 한도, 지정된 목적을 위해서만 의도되었으며 무역 및 서비스 조직에서 사용하여 작업을 수행하는 것을 허용하지 않습니다.

4. 인터넷 사이트는 잘 알려져 있고 신뢰할 수 있는 무역 및 서비스 조직에서만 사용해야 합니다.

5. 연결하고 구매하려는 인터넷 사이트의 주소가 올바른지 확인하십시오. 유사한 주소가 불법 활동에 사용될 수 있습니다.

타인의 컴퓨터를 이용하여 구매한 경우 개인정보 및 기타 정보의 저장을 권장하지 않으며, 모든 작업 완료 후 반드시 개인정보 및 기타 정보가 저장되어 있지 않은지 확인하셔야 합니다. 구매하는 브라우저의 페이지).

7. 컴퓨터에 안티바이러스 소프트웨어를 설치하고 정기적으로 업데이트하고 사용하는 다른 소프트웨어 제품(운영 체제 및 응용 프로그램)을 업데이트하면 맬웨어 침투로부터 사용자를 보호할 수 있습니다.

사기꾼으로부터 자신을 보호하는 방법?

PIN 코드는 돈의 열쇠입니다
카드 PIN을 누구와도 공유하지 마십시오. 그것을 기억하는 것이 가장 좋습니다. PIN을 자금이 있는 금고의 열쇠처럼 취급하십시오. PIN 코드를 입력할 때 키패드를 손으로 가립니다.
카드 옆에 PIN을 적어두는 것은 물론이고 카드 옆에 PIN을 저장할 수도 없습니다. 이 경우 도난이나 분실 후 카드를 차단하여 계정을 보호할 시간조차 없습니다.

귀하의 카드는 귀하의 것입니다
다른 사람이 플라스틱 카드를 사용하지 못하도록 하십시오. 이는 지갑에 있는 금액을 계산하지 않고 지갑을 주는 것과 같습니다.

아무도 귀하의 PIN 코드를 요청할 권리가 없습니다
단체로부터 전화를 받거나 편지를 받은 경우 이메일(은행 포함) 다양한 구실로 카드 세부 정보 및 PIN 코드 제공을 요청하면 서두르지 마십시오. 은행을 포함한 어떤 조직도 귀하의 PIN 코드를 요구할 권리가 없습니다. 이메일에 있는 링크는 중복 사이트로 연결될 수 있으므로 따르지 마십시오. 기억하십시오: 귀하의 세부 정보와 PIN을 비밀로 유지하는 것은 귀하의 책임이자 의무입니다.

카드 분실 시 즉시 차단
카드를 분실한 경우 즉시 은행에 전화(34-22-22 또는 8-800-100-34-22)로 연락하여 사건을 보고하고 은행 직원의 지시에 따르십시오. 이렇게 하려면 은행 전화번호를 노트북이나 연락처 목록에 보관하십시오. 휴대전화.

보호된 ATM 사용
카드로 거래할 때는 정부기관, 은행, 대형쇼핑센터 등 안전한 장소에 영상감시 및 보안장치가 구비된 ATM만 이용하세요. 비디오 감시 없이 ATM을 사용하는 시민들은 침입자의 공격을 받을 수 있습니다.

낯선 사람을 조심하십시오
플라스틱 카드로 거래할 때 주변에 낯선 사람이 없는지 확인하십시오. 이것이 불가능하면 나중에 카드에서 돈을 인출하거나 다른 ATM을 사용하십시오. PIN 코드를 입력할 때 키패드를 손으로 가립니다. 인출한 금액과 ATM에 입력한 번호에 대한 세부 정보 및 기타 정보는 사기꾼이 사용할 수 있습니다.

ATM은 "깨끗"해야 합니다.
카드 리더기와 ATM 키보드에 주의하십시오. 추가 장치가 장착되어 있으면이 ATM 사용을 자제하고 표시된 전화 번호로 전화하여 의심을 신고하는 것이 좋습니다.

은행에만 문의하십시오
ATM에서 은행 카드로 거래할 때 제3자의 도움이나 조언에 의존하지 마십시오. 은행에 문의하십시오 - 카드 작업에 대한 조언을 제공합니다. 전화번호는 카드 뒷면에 있습니다.

웨이터와 판매자에게 카드를 신뢰하지 마십시오
입력 콘센트, 레스토랑 및 카페에서 플라스틱 카드를 사용하는 모든 작업은 사용자 앞에서 이루어져야 합니다. 그렇지 않으면 다음의 대상이 될 수 있습니다. 사기 행위직원 측에서: 세부 정보를 스캔합니다. 특수 장치를 사용하여 카드를 만들고 나중에 가짜를 만드는 데 사용하십시오.

플라스틱 은행 카드는 회계, 보관 및 지출과 관련된 많은 문제를 해결합니다. 카드의 자금을 사용하여 특정 안전 규칙을 따라야 합니다. 이 문제의 주요 역할은 핀 코드에 할당됩니다. 우리 기사에서 그것이 무엇인지, 올바르게 선택하고 저장하는 방법에 대해 배울 것입니다.

카드 핀이란?

은행 카드의 PIN 코드는 카드 소지자가 특정 금융 거래를 수행할 수 있도록 하는 식별 번호입니다. 이것은 항상 4자리 조합인 비밀번호입니다. 손에 카드를 받으면 코드는 닫힌 봉투에 제공됩니다. 자동으로 할당되며 소유자 외에는 아무도 알 수 없습니다. 제3자의 플라스틱 카드 핀 코드의 안전성은 사기꾼의 불법 행위로부터 보호합니다.

카드에 맞는 PIN을 찾는 방법

카드의 핀코드는 사전에 선택할 수 없으며 은행 직원에게 지시하지만 변경할 수 있습니다. 대부분의 경우 이것은 다른 숫자를 기억하기 어렵거나 그러한 조합을 너무 쉽게 찾는 사람들이 수행합니다.

이 비밀 번호는 카드를 발급한 은행의 ATM이나 공식 웹사이트(온라인 은행에 연결된 경우)를 통해 변경할 수 있습니다. 비밀번호 변경 조작은 카드 승인 후에만 가능합니다.

새 핀 코드를 선택할 때 다음을 수행할 수 없습니다.

• 4개의 동일한 숫자를 표시하고,
• 번호를 순서대로 선택하십시오(예: 4567),
• 생년월일 사용: 자신, 가까운 사람 또는 친척.

핀 코드를 신중하게 선택하십시오 신용 카드. 때때로 은행은 핀 코드 변경에 대해 수수료를 부과합니다.

고객이 카드의 PIN 코드를 잊어버렸고 이 조합이 포함된 봉투를 분실한 경우 조치는 다음과 같습니다.

1. 이 상황에 대해 즉시 서비스 은행에 알리십시오.
2. PIN 코드가 있는 봉투의 도난이 의심되는 경우 카드를 차단하여 카드에 남아 있는 자금을 보관할 수 있습니다(전화 또는 지점에서).
3. 이유를 나타내는 새 PIN 코드를 카드에 할당하겠다는 의향서를 작성하십시오. 이 신청서는 은행 관리자에게 보내야 합니다.
4. 급하게 돈을 받아야 하고 은행 카드의 핀 코드를 아직 사용할 수 없는 경우 이전에 해당 신청서를 작성한 후 은행 현금 데스크에 직접 연락할 수 있습니다.

카드 자체를 분실한 경우에도 동일한 일련의 작업을 수행해야 합니다. 카드의 핀 코드를 이전 형식으로 복원하는 방법에 대한 옵션은 없습니다. 은행에서 신청서를 검토한 후 새로운 "플라스틱"과 새로운 핀 코드가 발급됩니다. 이 경우 계좌번호는 변경되지 않으며, 남은 금액은 받은 카드로 이체됩니다.

잘못된 핀 코드를 입력한 후 카드를 잠금 해제하는 방법

ATM 출금 시 카드의 PIN 코드를 3회 틀리게 입력하면 자동으로 카드가 차단됩니다. 해당 은행 콜센터에 전화를 걸어 카드를 개봉할 때 은행 직원과 동의한 코드워드를 지목하면 블록을 해제할 수 있다.

핀 코드 사용 및 저장 규칙

문제 상황의 발생을 최소화하고 사기꾼이 돈이 저장된 카드의 PIN 코드를 찾는 방법을 찾지 못한 경우 다음 팁을 사용해야 합니다.

1. PIN 코드를 메모리에 보관하거나 본인만 이해할 수 있는 암호화된 형태로 작성하십시오.
2. 카드 뒷면에 코드를 작성하지 마십시오.
3. 카드를 눈에 띄지 않게 두지 마십시오. 웨이터나 계산원이 카드를 가지고 가도록 두지 마십시오. 기억하십시오: 누구도 은행 카드의 핀 코드를 알고 있어서는 안 됩니다.
4. 전화로 플라스틱 카드, 핀 코드에 대한 데이터를 전송하지 마십시오.
5. 항상 카드 번호와 서비스 은행을 기록해 두십시오.
6. ATM에서 돈을 인출할 때 등이나 옆에서 당신을 촬영할 수 있는 비디오 카메라를 확인하십시오. 원칙적으로 ATM에는 화면과 같은 평면에 하나의 카메라만 장착되어 있습니다.

가끔 사용 플라스틱 카드러시아 청중에게는 "새롭다"는 것이었다. 불신은 점차 최대의 편안함에 대한 인식으로 바뀌었습니다. 많은 사람들은 많은 양의 현금을 보유하는 것을 거부하고 어디에서나 플라스틱 카드를 사용하는 것을 선호합니다. 한 사람의 경우 그 수가 한 두 명을 넘고 다섯 명 이상에 이를 수도 있습니다. 그러나 신용 카드의 핀 코드를 혼동하지 않고 서로 혼동하지 않는 방법은 무엇입니까? PIN Master 애플리케이션을 사용하면 다른 카드의 비밀번호를 안전하게 저장할 수 있으며 이러한 모든 숫자를 머릿속에 저장하지 않아도 됩니다.

모바일 장치의 일반 사용자는 일반적으로 카드의 모든 비밀번호를 Notes에 기록합니다. 이것은 가장 일반적인 방법이지만 가장 안전하지 않습니다. 한편으로는 항상 비밀번호에 빠르게 액세스할 수 있습니다(결국 iPhone은 항상 가까이에 있음). 다른 한편으로는 휴대전화를 엉뚱한 손에 넣으면 어떤 결과를 초래할 수 있는지 알 수 있습니다. 이상적인 옵션은 PIN Master 앱입니다! 이제 그 이유를 알게 될 것입니다...

간단히 말해서, PIN 마스터 애플리케이션은 신뢰할 수 있고 안전하며 개인화되고 아름답고 가장 중요하게는 무료입니다! 응용 프로그램에서 플라스틱 카드의 핀 코드를 무제한으로 저장할 수 있으며 외계인의 눈은 암호화 조합을 이해할 수 없습니다.

추가하여 새 카드, 그녀에게 개인 이름을 지정하면 임의의 순서로 숫자로 채워진 큰 필드가 표시됩니다. 첫인상은 그 많은 숫자 중에서 비밀번호를 어떻게 기억하고 배열하는가 하는 것입니다. 속이고 있지만...

자신을 위해 강조 표시된 숫자의 특정 조합을 선택하고 예를 들어 그 아래, 내부 등에 비밀번호를 배치합니다. 가장 간단한 예네 개의 강조 표시된 숫자를 행 중 하나의 행에 배치하고 핀 코드가 그 아래에 있다는 것을 기억하십시오. 머리가 더 복잡한 조합을 기억할 수 있다면 상상력을 발휘하고 발명하십시오. 그러나 가장 간단한 솔루션이라도 이미 귀하의 비밀번호를 보호할 것입니다.

디지털 필드를 개인화하는 것은 매우 쉽습니다. 간단한 터치 또는 긴 터치로 임의의 숫자를 강조 표시하거나 변경할 수 있습니다. 자물쇠는 추가 변경을 차단할 수 있습니다. 사진의 핵심은 본인만이 알고 있기 때문에 조합을 선택하는 것은 불가능합니다. 결과적으로 상점에서 신용 카드로 지불하고 ATM에서 지폐를 현금화할 때 항상 클릭 한 번으로 카드 비밀번호에 액세스할 수 있습니다.

PIN Master 응용 프로그램의 중요한 이점은 비용입니다. 이 응용 프로그램은 완전 무료이며 인앱 구매 및 광고 배너가 포함되어 있지 않으며 매우 아름다운 미니멀리스트 디자인을 가지고 있습니다. 일반적으로 비밀번호 저장의 기본 유사체는 유료이거나 높은 수준의 보호를 보장하지 않습니다. 따라서 예상할 수 있는 사항은… 암호를 아무데나 적어 두거나 머리 속에 보관하지 마십시오. 문제에 대한 탁월한 솔루션인 PIN Master 응용 프로그램을 사용하십시오!

안녕하세요. 내 Android 애플리케이션의 보안 정보 저장을 정리하고 있는데 흥미로운 점을 발견했습니다. 애플리케이션(자체 제작)에 들어가기 위한 PIN 코드가 충분한 보호로 간주될 수 있습니까?
공격자가 장치에 물리적으로 액세스할 수 있다고 가정합니다(글쎄요, 그는 장치를 훔쳤습니다. 그 이유는 무엇입니까? 공격 시나리오가 아닌 이유는 무엇입니까?). 가장 간단한 경우 개발자가 데이터 저장소의 보안에 대해 생각하지 않은 경우 단순히 응용 프로그램을 열고 공격자가 관심을 갖는 모든 정보에 액세스하거나 DB 파일(예: sqlite)을 병합하고 압축을 풉니다. 열어서 모든 데이터. 이로부터 다음과 같은 결론이 나온다.
1. 애플리케이션 입력 시 보안이 필요합니다(PIN 코드 또는 비밀번호).
2. 모든 데이터는 암호화된 형태로 저장해야 합니다.

아이디어는 간단합니다. 사용자는 모든 정보(DB)를 암호화하는 특정 마스터 키를 가지고 있습니다. 키는 크고 길기 때문에 사용자가 애플리케이션에 들어갈 때마다 키를 입력할 필요가 없도록 하기 위해 새로운 엔터티, 즉 애플리케이션을 입력하기 위한 PIN 코드(4자리 코드)를 입력합니다. 마스터 키 자체는 동일한 장치에 암호화된 형태로 저장되며 키는 PIN 코드(더 정확하게는 MD5 해시와 같은 파생어)입니다. 이 경우 모든 것이 매우 안전해 보이죠? 그러나 그것에 대해 생각한다면 상황을 시뮬레이션하십시오. 그러면 모든 것이 훨씬 더 슬퍼집니다.

공격자가 피해자의 기기를 훔쳐 암호화된 애플리케이션 데이터베이스를 유출했다고 가정해 봅시다. 또한 공격자는 평범한 무차별 대입(10 ^ 4 조합 - 사소한 것)을 사용하여 올바른 PIN 코드를 찾을 때까지 가능한 모든 PIN 코드 옵션을 살펴볼 수 있습니다. 이렇게 하려면 응용 프로그램의 알고리즘을 알아야 하며 이는 큰 문제가 되지 않습니다. 정보 보안 규칙 중 하나는 다음과 같습니다. 모든 보호가 보호 메커니즘의 비밀에 있는 보안 시스템을 고려할 수 없습니다. 보호 방법을 배우는 것은 어렵지 않습니다. 또한 데이터베이스 암호 해독 절차가 완전한 쓰레기를 생성하는 경우 공격자가 알려진 PIN 코드로 데이터베이스 복사본을 여는 것으로 충분합니다(기기에 응용 프로그램을 놓고 PIN을 설정하고 데이터를 입력하고 데이터베이스를 엽니다. ) 데이터 저장 구조 또는 데이터 서명(예: JSON - (_id: x, name: "xxxx")을 찾고 간단한 서명 검색을 통해 모든 암호 해독 옵션을 실행합니다(단순한 정규식도 작업을 수행함). , 그리고 우리는 다음을 얻습니다:
1. 모든 "보호" 및 "비공개" 사용자 정보
2. 고의로 정확한 PIN을 입력하여 응용 프로그램에 들어갑니다.

그리고 어느 쪽이 더 나쁜지 모르겠습니다. 은행 고객을 위한 애플리케이션이 이러한 방식으로 보호된다고 가정해 봅시다. 이 경우 응용 프로그램에 들어갈 수 있는 PIN을 알고 장치에 물리적으로 액세스할 수 있으므로 공격자가 사용자의 모든 자금을 자신에게 이체하는 것은 어렵지 않습니다(PIN은 알려져 있으며 SMS는 바로 이 장치에 올 것입니다).

이것은 결론으로 ​​이어집니다. 모든 보호가 PIN 코드(무차별 대입에 취약함)를 기반으로 하고 무차별 대입이 가능하다면 보호는 무의미합니다. 그러나 동시에 모든 뱅킹 애플리케이션은 이(또는 유사한) 보호 메커니즘을 사용합니다.
따라서 질문:
1. 정말 그렇게 나쁘고 그런 응용 프로그램을 신뢰할 수 있습니까?
2. PIN 코드(그래픽 키와 지문이 아닌, 짧고 쉽게 정렬된 코드)를 입력하는 방식으로 정상적인 해킹 방지 시스템을 개발할 수 있습니까? 그렇다면 어떻게?

Z.Y. 제가 중요한 것을 모르고 있는 것이 확실하며, 이로 인해 문제를 이해하기 어렵습니다.

일반적으로 문제는 해결할 수 없는 것 같습니다. 때문에 "블랙 박스"가 있습니다 - 장치에 설치된 우리의 응용 프로그램. 모든 데이터를 얻으려면 4자리 핀만 알면 되며 한 번에 무차별 대입됩니다. 장치가 있으면 공격자가 거기에서 모든 데이터를 선택할 수 있다고 믿어집니다. 따라서 질문 - 마지막 진술이 사실입니까? 어떤 종류의 매우 안전한 Android 스토리지가 있습니까? 장치에 로컬로 저장되고 해킹하기에 충분히 어렵습니까? 응용 프로그램이 거기에 액세스할 수 있는 경우 거기에 키를 쓰면 문제가 해결됩니다. 그런데 이 신비로운 곳은 무엇일까요?

그래서 찾았습니다. 모든 것이 충분히 명확합니다. 결론은 간단합니다. 키를 KeyStore에 저장해야 하지만 장치가 루팅된 경우에는 이것이 구원이 아닙니다. 기기가 루팅되었는지 확인하고 사용자에게 경고해야 합니다. 하지만! 내가 이해하는 한 데이터 손실 없이 기기를 루팅할 수 있습니다. 즉, 공격자가 기기를 루팅하고 모든 데이터를 저장하고 KeyStore를 선택할 수 있습니다. 문제.

그러나 루팅 문제에 빠지지 않으면 솔루션은 다음과 같습니다. PIN 코드는 응용 프로그램에 입력하는 데 사용되며 응용 프로그램은 KeyStore에서 응용 프로그램이 처음 시작될 때 생성 된 키를 가져 와서 다음을 사용하여 데이터베이스를 해독합니다. 그것. 동시에 복호화된 데이터를 안전하지 않은 장소에 저장하지 않습니다(이는 데이터 캐싱의 일종인 응용 프로그램의 속도를 높이는 데 자주 사용됨). 이 데이터는 문제 없이 꺼낼 수 있습니다.

이제 많은 뱅킹 애플리케이션이 루팅된 기기에서 실행되지 않는 이유가 명확해졌습니다. 그러나 이것은 데이터 손실 없이 루팅 문제를 해결하지 못합니다. 저것들. 공격자가 루팅되지 않은 기기를 훔쳐 루팅한 다음 KeyStore에서 은행 클라이언트 애플리케이션의 키를 가져오고 내 데이터를 꺼냈다고 가정해 보겠습니다. 동시에 PIN의 정확성을 확인하려면 해시를 어딘가에 저장해야 합니다. 따라서 무차별 대입으로 PIN을 선택하여 응용 프로그램에 들어가고 응용 프로그램에 들어가서 모든 자금을 이체할 수 있습니다. 모든 뱅킹 응용 프로그램을 제거하거나 무엇을 제거합니까?))