¿Que probabilidad hay de que, en un NetKey, como el de la foto, los 4 numero, sean idénticos a los 4 ultimos, y ademas este numero coincida con tu NIP del cajero?

2427

Es casi imposible. La probabilidad de que los primero 4 números coincidan con los últimos 4 son  de 1 entre 10,000, y que de que el numero coidida con tu NIP es de 1 entre 10,000. Y de que ambas cosas ocurran a la vez es de 1 entre 10,000*10,000 es decir 1 entre 100,000,000. Unos entre cien millones.

La probabilidad es muy baja, tanto que me hace dudar del método en que son generados los números. (Por cierto ya cambie mi NIP).

 

 

La foto es es de un NetKey del banco Banamex, que desde hace unos pocos meses, es necesario para accesar a la banca electrónica.

 

El cliente.

Para supuestamente mayor seguridad, los bancos ahora proporcionan este tipo de dispositivos.

La verdad es que no se como funcionan, pero puedo imaginarlo.  Supongo que generan un numero pseudo aleatorio basado en dos cosas.

1.- En primer lugar un numero único para cada cliente, este numero queda almacenado en el el NetKey y lo diferencia de otros, haciendo que cada dispositivo tenga un numero diferente, supongo que es imposible que aparir de este numero pueda ser identificado el numero de cuenta, lo mejor seria haberlo generado al azar y asociarlo en la base de datos del banco a nuestra cuenta.

2.- Y segundo, un numero generado con un contador, el cual se incrementa cada vez que usamos el dispositivo.

Con base en estos dos numero se genera un nuevo numero de 8 cifras, como se muestra en la foto. Este nuevo numero tendría que ser generado con ayuda de un algoritmo que no tenga retorno, es decir que no permita obtener los dos numero originales a partir del numero recién generado. Lo cual es bien fácil de hacer.

Luego, en el portal bancario, hay que teclear el numero de cuenta, un password escogido por el usuario y este numero generado por NetKey.

 

En el banco.

Este numero de 8 cifras puede ser generado en el banco sin ningún problema, dado que se cuanta con todos los datos necesarios para generarlo.

1.- En primer lugar el numero asociado al cliente, dado que sabemos quien es el cliente, por el numero de cuenta tecleado.

2.- El contador.

3.- Y el algoritmo para combinar ambos números.

Finalmente el numero generado en el banco se compara con el numero que el cliente copio del NeyKey. Ademas de comparar los passwords, o mas bien el hash del password.

Puede ser que en realidad en el banco no se tenga el dato del contador, pero si inicializamos el contador a partir de la ultima vez que se logueo el usuario (esto hace que el numero solo pueda usarse una vez, porque en la siguiente ocasión ya no sera valido) y vamos incrementado el contador y generando números con él, bastarían solo unos cuantos intentos para encontrar el contador del NetKey del usuario. Pero no demasiado intentos, porque si hiciéramos 99,999,999 intentos uno de ellos al final coincidiría por azar.

Este post ya se esta alargando mucho.

La combinacion de estos tres datos hace necesario que quien teclea, no solo deba saber el numero de cuenta, el cual es publico y fácil de averiguar. sino que también debe conocer un password, el cual también es relativamente facil de averiguar, si  por ejemplo se instala un KeyLoguer que capture los teclazos, o simplemente mirando sobre el hombro de quien teclea. Y finalmente debe conocer un  numero valido generado por el KeyNet. Que puede conocerse si el NetKey es robado fisicamente al dueño de la cuenta o bien contar con un NetKey clonado.

 

La cosa es que... aquí bien lo interesante....

¿Cual es la probabilidad de que el KeyNet arroje un numero de 8 cifras, donde las primeras cuatro son idénticas a las siguientes cuatro y ademas ese numero de 4 cifras coincida con tu numero de NIP?, el cual por cierto (lo repito) ya cambie.

No se si fue buena o mala suerte, debí jugar lotería ese día, aunque según he leído, las posibilidades son aun mas bajas :)