2427
Es casi imposible. La probabilidad de que los primero 4 numeros
coincidan con los ultimos 4 son de 1 entre 10,000, y que de que el
numero coidida con tu NIP es de 1 entre 10,000. Y de que ambas cosas
ocurran a la vez es de 1 entre 10,000*10,000 es decir 1 entre 100,000,000.
Unos entre cien millones.
La probabilidad es muy baja, tanto que me hace dudar del metodo en que son generados los numeros. (Por cierto ya cambie mi NIP).
La foto es es de un NetKey del banco Banamex, que desde hace unos pocos meses, es necesario para accesar a la banca electronica.
El cliente.
Para supuestamente mayor seguridad, los bancos ahora proporcionan este tipo de dispositivos.
La verdad es que no se como funcionan, pero puedo imaginarlo. Supongo que generan un numero pseudo aleatorio basado en dos cosas.
1.- En primer lugar un numero unico para cada cliente, este numero queda almacenado en el el NetKey y lo diferencia de otros, haciendo que cada dispositivo tenga un numero diferente, supongo que es imposible que aparir de este numero pueda ser identificado el numero de cuenta, lo mejor seria haberlo generado al azar y asociarlo en la base de datos del banco a nuestra cuenta.
2.- Y segundo, un numero generado con un contador, el cual se incrementa cada vez que usamos el dispositivo.
Con base en estos dos numero se genera un nuevo numero de 8 cifras, como se muestra en la foto. Este nuevo numero tendria que ser generado con ayuda de un algoritmo que no tenga retorno, es decir que no permita obtener los dos numero originales a partir del numero recien generado. Lo cual es bien facil de hacer.
Luego, en el portal bancario, hay que teclear el numero de cuenta, un password escogido por el usuario y este numero generado por NetKey.
En el banco.
Este numero de 8 cifras puede ser generado en el banco sin ningun problema, dado que se cuanta con todos los datos necesarios para generarlo.
1.- En primer lugar el numero asociado al cliente, dado que sabemos quien es el cliente, por el numero de cuenta tecleado.
2.- El contador.
3.- Y el algoritmo para combinar ambos numeros.
Finalmente el numero generado en el banco se compara con el numero que el cliente copio del NeyKey. Ademas de comparar los passwords, o mas bien el hash del password.
Puede ser que en realidad en el banco no se tenga el dato del contador, pero si inicializamos el contador a partir de la ultima vez que se logueo el usuario (esto hace que el numero solo pueda usarse una vez, porque en la siguiente ocasion ya no sera valido) y vamos incrementado el contador y generando numeros con el, bastarian solo unos cuantos intentos para encontrar el contador del NetKey del usuario. Pero no demasiado intentos, porque si hicieramos 99,999,999 intentos uno de ellos al final coincidiria por azar.
Este post ya se esta alargando mucho.
La combinacion de estos tres datos hace necesario que quien teclea, no solo deba saber el numero de cuenta, el cual es publico y facil de averiguar. sino que tambien debe conocer un password, el cual tambien es relativamente facil de averiguar, si por ejemplo se instala un KeyLoguer que capture los teclazos, o simplemente mirando sobre el hombro de quien teclea. Y finalmente debe conocer un numero valido generado por el KeyNet. Que puede conocerse si el NetKey es robado fisicamente al dueño de la cuenta o bien contar con un NetKey clonado.
La cosa es que... aqui bien lo interesante....
¿Cual es la probabilidad de que el KeyNet arroje un numero de 8 cifras, donde las primeras cuatro son identicas a las siguientes cuatro y ademas ese numero de 4 cifras coincida con tu numero de NIP?, el cual por cierto (lo repito) ya cambie.
No se si fue buena o mala suerte, debi jugar loteria ese dia, aunque segun he leido, las posibilidades son aun mas bajas :)
Dejar un comentario