Algselt oli see seotud parooli jõulise rünnaku raskustega.
Enamik veebisaite on mures võimaluse pärast, et mõni ründaja võib kätte saada faili, mis sisaldab kõigi räsitud paroole, ja korraldada võrguühenduseta toore jõu rünnak seda kasutades. Korralikult seadistatud ründaja suudab sekundis teha miljoneid oletusi (täpne määr sõltub sellest, kas paroolid on sobiva algoritmi abil räsitud, ja sellest, kui palju ründaja suudab probleemi kanda). Seega pole isegi 8 tähemärki väidetavalt piisav.
Pangad (erinevatel põhjustel, mis on seotud nende erinevate turvamudelitega) ei usu, et nad tõenäoliselt PIN-koode sisaldavaid faile või nende rässe ilma märkamata kaotavad või igatahes nad pole mures rohkem kui miljonite kaotamise pärast mis tahes muus vormis pangaröövides. Kui soovite kellegi PIN-koodi vastu toorelt rünnata (jättes kõrvale kodused kiibi- ja PIN-koodilugejad), peate selle kaardi panema sularahaautomaati või muusse pangandussüsteemiga ühendatud seadmesse ja sisestama numbri. See on aeglane ja masin sööb kaardi pärast kolme vale oletust.
Mõni veebisait kasutab parooli äraarvamise rünnakute ennetamiseks sarnast lukustust, kuid paroolitugevuse vajaduse tekitamise peamine mure on kadumine parooli räsimist. Peamine probleem, mis põhjustab PIN-i tugevuse vajaduse (puudumise), on füüsilise kaardi (või selle klooni kasutamine magnetribade tehnoloogia kasutamisel) kasutamine.
Pange tähele, et on endiselt mitte-triviaalne minu kirjeldatud mudeli lihtsa versiooni viga. Kui varastate 10 000 krediitkaarti ja teete iga 4-kohalise PIN-koodi kohta 3 oletust, võite eeldada, et saate 3 õigust. Loomulikult märkab üks sularahaautomaat, et midagi on valesti, kui see peab sööma 100 kaarti järjest, nii et ma kahtlustan / loodan, et politseinikud oleksid enne seda teel. Kaardi PIN-koodide arvamine on ründaja jaoks riskantne.
Üldiselt pööravad pangad ka kaarditehingute kahtlustamisel suuremat tähelepanu kui veebisaidid sisselogimiste kahtlustamisel. Mõni veebisait üritab kahtlasest asukohast märkides sisselogimist märgata ja teha täiendavaid turvameetmeid, lisades parooli taga täiendavat turvalisust. Kuid kõik kaardimaksesüsteemid üritavad seda teha. Mitte et see neil alati õnnestuks.
Ma ei tea, kuidas kodused kiibi- ja PIN-koodi lugejad sellele mõjuvad. Ma lihtsalt kasutasin minu oma PIN-koodi õigsuse kinnitamiseks, ilma et oleksin pangaga suhelnud. See võib olla nii lihtne, kui kiip on piisavalt tark, et lukustada ennast pärast piisavaid valesid oletusi. See oleks ikkagi 10 000 varastatud kaardi rünnaku objekt. Põletaksite 99,97% kiipidest, kuid neid saaks siiski kasutada kaardipettuste puudumisel ja ülejäänud 0,03% oleks hea PIN-koodi nõudvate pettuste jaoks. Loomulikult ei kavatse ma seda teooriat oma kaardiga testida ;-)
Ründajad, kellel on võimalus sellises mastaabis füüsilisi kaarte varastada, ilmselt ei sega PIN-koodide äraarvamise pärast. See pole lihtsalt kõige tõhusam viis varastatud või kloonitud kaartidelt raha välja võtta.
Ühesõnaga, jah, lühikeste paroolide kasutamisel on teatud risk, mida võib arvata. Kuid võrreldes veebisaitidega on arvamine ründajate jaoks palju raskem, pangad kaitsevad kaardipettuste eest põhjalikult ning neil on ka suuremad kulud, kui keegi unustab PIN-koodi kui veebisaidid paroolidega. Nii et nad valivad teise kompromissi.