¿Cómo se puede actualizar el PIN de una tarjeta de débito/crédito a distancia?

Question

Algunos bancos (como Capital One o NAB ) ofrecen cambiar el PIN de una tarjeta de débito/crédito a distancia, desde una app o la web del banco.

Sin embargo, me parece que el PIN también se almacena en el chip de la tarjeta física, ya que se comprueba activamente cuando se utiliza el Chip & PIN o determinadas Generadores TAN .

(¿Cómo) se propaga un PIN modificado a distancia a la tarjeta física? Las alternativas que se me ocurren son que el PIN se actualice la próxima vez que se inserte la tarjeta en un terminal o cajero automático, o que el PIN no se almacene en la tarjeta sino que se compruebe en línea para cada transacción, pero ambas cosas no parecen funcionar siempre ni ser muy seguras.

Answer 1

El estándar EMV admite dos (técnicamente tres) métodos de verificación de un PIN. En el primer método ("en línea"), el PIN se cifra y se envía al banco para su verificación. El otro método ("offline") pide al chip que verifique el PIN, y sólo se transmite el resultado al banco. (El método "offline" se subdivide a su vez en "encriptado" y "en texto plano", dependiendo de cómo se transmita el PIN al chip, pero las diferencias prácticas son mínimas).

En general, los bancos de un país determinado tienden a ser todos online-PIN u offline-PIN. En Estados Unidos, donde parece que estás, la mayoría de las tarjetas son online-PIN. Por lo tanto, el cambio de PIN a través de la página web o la aplicación del banco tendrá efecto inmediato, sin tener que actualizar la tarjeta.

Además, hay una etiqueta EMV específica que el banco puede devolver al terminal para que pase al chip, que puede actualizar el PIN almacenado en él. No todos los terminales lo soportan (la característica se llama "scripts del emisor"), y no funciona con transacciones sin contacto o "quickchip" (porque la tarjeta ya no está presente cuando se recibe la respuesta), así que no sé lo común que es en realidad - pero técnicamente existe, y presumiblemente se usó en algún momento. Probablemente se utiliza más en la red de cajeros automáticos que en las redes de tarjetas de crédito.

Answer 2

Lo que generalmente se almacena en la banda magnética y también por lo que sé en la EMV es el desplazamiento del pin, no el pin real. El desplazamiento del pin es un puntero al valor real del pin en el servidor de contabilidad bancaria. El offset es efectivamente la dirección de memoria del PIN de la persona. Si se hace así, pueden cambiar el pin en cualquier momento, y no tiene ningún efecto en las transacciones y no requiere ningún cambio en la tarjeta física. Este desplazamiento sigue enviándose encriptado al igual que el pin introducido.

Tenga en cuenta que mi experiencia con esto está relacionada con las cooperativas de crédito, que generalmente utilizan sistemas de contabilidad básica diferentes a los de los bancos.