PIN-код
PIN-код — это персональный идентификационный номер (от англ. Personal Identification Number), секретная комбинация цифр (реже букв и цифр), используемая для аутентификации пользователя в электронных системах. PIN-код предоставляет доступ к ресурсам (банковским счетам, мобильным устройствам, электронным замкам) и подтверждает, что пользователь является законным владельцем идентификатора (например, банковской карты или SIM-карты).
История появления
Идея использования короткого числового пароля для проверки подлинности личности возникла в середине XX века. Одним из первых прототипов стал секретный код, применявшийся в системах ядерного оружия. Однако широкое распространение PIN-код получил с внедрением банкоматов.
В 1965 году инженер Джеймс Гудфеллоу (Великобритания) предложил использовать многоразовую магнитную карту с PIN-кодом для управления денежными средствами. Система была реализована компанией Smiths Industries и Barclays Bank. В 1967 году в Лондоне установили первый банкомат, который выдавал наличные только после ввода правильной четырёхзначной комбинации. В 1972 году американец Дон Ветцель получил патент на банкомат с PIN-кодом, а затем изобрёл механизм считывания магнитной полосы, закрепивший стандарт.
В России первые банкоматы с PIN-аутентификацией появились в 1990-х годах, вместе с внедрением международных платёжных систем.
Структура и принцип работы
PIN-код представляет собой последовательность символов. Наиболее распространённая длина — 4 цифры (10 000 возможных комбинаций). В банковском секторе Канады, Франции и ряда других стран используются 6-значные PIN-коды (1 000 000 комбинаций). В мобильных телефонах для защиты SIM-карты обычно применяют 4–8 цифр.
Генерация
PIN-код может быть:
- Системно-генерируемый — присваивается банком или оператором связи при выдаче карты или SIM-карты (печатается в запечатанном конверте или высылается в SMS).
- Выбираемый клиентом — пользователь самостоятельно задаёт комбинацию через банкомат, интернет-банк или настройки устройства.
Хранение и проверка
В надёжных системах PIN-код не хранится в открытом виде ни на устройстве пользователя, ни в базе данных сервера. Вместо этого сохраняется его хеш-сумма (например, по алгоритму PBKDF2 с добавлением случайной соли). При вводе система вычисляет хеш от введённой комбинации и сравнивает его с хранимым. В банкоматах проверка часто выполняется аппаратно (на специализированном модуле HSM), чтобы исключить перехват кода в памяти компьютера. При трёх (или более) последовательных неверных вводах карта блокируется, а данные о попытке фиксируются в журнале безопасности.
Применение
Банковские карты
Основная область использования. Для проведения операций с платёжной картой (снятие наличных в банкомате, оплата покупки на терминале без технологии бесконтактной оплаты) требуется ввод PIN-кода. В системе бесконтактных платежей (PayPass, PayWave) PIN-код может не запрашиваться для сумм ниже установленного лимита (в России — до 3000 рублей в 2024 году).
Мобильные устройства
- Защита SIM-карт: ввод PIN1 разблокирует телефон для работы в сети; PIN2 используется для ограничения звонков и данных.
- Блокировка экрана смартфона (наравне с графическим ключом, паролем или биометрией).
- Разблокировка приложений и банковских сервисов.
Электронные замки и системы безопасности
PIN-код (кодовая комбинация) применяется в кодовых замках дверей, сейфов, шкафчиков, чемоданов, велосипедных замков. В современных умных замках код вводится на сенсорной панели или через приложение.
Интернет-банкинг и электронные кошельки
Для подтверждения платежей или входа в личный кабинет некоторые банки используют одноразовые PIN-коды, отправляемые в SMS (OTP), или постоянные PIN-коды для мобильного приложения.
Государственные и корпоративные системы
В России PIN-коды используются в картах доступа к Единой системе идентификации и аутентификации (ЕСИА) на портале «Госуслуги» (для подписания документов электронной подписью, выпущенной на носителе). Аналогично применяются PIN-коды для USB-токенов (например, JaCarta, Рутокен) с квалифицированной электронной подписью.
Безопасность
Главная слабость PIN-кода — его запоминаемость и защищённость от подбора.
Методы подбора и компрометации
- Подбор «в лоб»: в банкомате блокировка наступает быстро (3–5 ошибок). В онлайн-системах возможен перебор, если не введены ограничения (капча, временные блокировки).
- Социальная инженерия: злоумышленники выведывают PIN-код под видом сотрудников банка, полиции или через фишинговые звонки.
- Скимминг: установка накладного считывателя на банкомат (считывает магнитную дорожку) и скрытой камеры (снимает PIN). В современных терминалах используется чип (EMV), который сложнее скопировать, но скимминг через накладные клавиатуры и камеры остаётся актуальным.
- Видеонаблюдение: запись ввода кода с помощью мобильного телефона или объектива камеры в очереди.
Рекомендации по безопасности
- Не использовать очевидные комбинации: даты рождения, повторяющиеся (0000, 1111) или последовательные (1234, 6789) цифры.
- Скрывать клавиатуру рукой при вводе.
- Регулярно менять PIN-код.
- Не сообщать код третьим лицам, в том числе по телефону.
- Использовать отдельный PIN-код для разных карт и устройств.
- Для SIM-карт включать запрос PIN-кода при включении телефона.
Критика и альтернативы
Недостатки
- Уязвимость к простому наблюдению или съёмке.
- Необходимость запоминать последовательность цифр для каждого устройства (проблема «многокодности»).
- При компрометации PIN-кода его легко спародировать без биометрических данных жертвы.
Альтернативы
- Биометрия: отпечаток пальца, распознавание лица (Face ID), сканер радужки глаза — снижают риск подсматривания, но могут быть подделаны (качественные 3D-маски, слепки пальцев).
- Двухфакторная аутентификация (2FA): требует ввода PIN-кода + одноразового кода из SMS/приложения (TOTP) или подтверждения на другом устройстве. В России широко используется в банковских приложениях (подтверждение перевода картой или через СБП).
- Мобильные приложения-аутентификаторы: вместо ввода PIN-кода приложение генерирует одноразовые коды или использует push-уведомления.
- Графические ключи: последовательность точек на сетке (Android), однако уязвимы к смазыванию на экране.
- Пароль: полная строка (буквы + цифры) длиннее 8 символов — более устойчива к перебору, но сложнее для ввода на банкомате; поэтому банки преимущественно сохраняют PIN-код.
Законодательство РФ и перспективы
Платёжные системы (включая национальную платёжную систему «Мир») продолжают поддерживать PIN-код как стандартный метод аутентификации. С 2020-х годов ЦБ РФ рекомендует банкам внедрять биометрическую идентификацию (Единая биометрическая система, ЕБС) для снижения зависимости от PIN-кодов, однако полностью заменить его пока не планируется. В банковской практике PIN-код остаётся обязательным для операций с наличными и при считывании магнитной полосы.
Интересные факты
- Самый распространённый PIN-код в мире — «1234» (около 11% всех комбинаций по исследованиям 2012–2023 годов). Второе и третье место делят «1111» и «0000».
- В 2010-х годах группа учёных из Кембриджского университета исследовала утечки баз данных и выяснила, что 20% всех PIN-кодов можно угадать с четырёх попыток, если знать дату рождения владельца.
- В авиации и на железной дороге PIN-код иногда используется как код доступа к бортовым журналам и панелям управления, хотя такие системы обычно имеют более строгую защиту.
- В 2018 году российский «Сбербанк» ввёл возможность входа в мобильное приложение по отпечатку пальца (для устройств с датчиком), но PIN-код остаётся обязательным резервным методом.
Источники
- Федеральный закон «О национальной платёжной системе» № 161-ФЗ (последняя редакция).
- Стандарты платежных систем: EMVCo — Security of PIN, ISO 9564 (Financial services — Personal Identification Number management and security).
- Исследование: J. Bonneau, S. Preibusch, R. Anderson. “The Password and PIN Authentication Landscape”, 2012.
- Отчёты Банка России о развитии платежной инфраструктуры (2015–2024).
- Материалы компаний «Сбербанк», «Альфа-Банк», ПАО «МТС» — публичные инструкции по безопасности использования банковских карт и SIM-карт.
- Данные компании SplashData (2011–2023) о самых распространенных паролях и PIN-кодах.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →