Zum Inhalt springen

Sicherheitspapier Hydalam -Sicher?

Gestern kam der PIN-Brief meiner neuen Kreditkarte für das Onlinebanking und ich habe mich gefragt, wie sicher denn das schwarz-weiße Sicherheitsfeld ist unter dem sich die PIN verbirgt. Als Hobbyfotograf ist mir die Idee gekommen das Sicherheitsfeld einfach mit Hilfe eines Blitzes zu „durchleuchten“. Zu diesem Zeitpunkt ist das Sicherheitsfeld noch nicht geöffnet gewesen. Lediglich das Hydalam-DIN-A4-Blatt habe ich aus dem Umschlag entnommen.

Hydalam ist ein patentrechtlich geschützte Produkt das von der Firma KOOPMANNDRUCK GmbH in Deutschland in Lizenz vertrieben wird. Bedruckt wird das Papier aber von unterschiedlichen Druckereien in Deutschland, die sich aber an spezielle, strenge Sicherheitsstandards halten müssen.

Ich habe den Blitz also einfach hinter das Feld gehalten und nach nur wenigen Testaufnahmen war auch schon die richtige Verschlusszeit und Blende gefunden um erste brauchbare Bilder zu bekommen.

RawToJpg
Erste Ziffern können bereits erahnt werden (+) Bild: F/32 1/250 Sec. ISO- 100 Blitz: 1/64

Ich war zu diesem Zeitpunkt schon sehr überrascht, dass sich mit etwas Konzentration in der 100%-Ansicht bereits erste Zahlen erkennen ließen (2,6). Die feinen gepunkteten Bereiche sind unterbrochen an den Stellen an denen die Folie bedruckt wurde.

Mit der Gewissheit, dass sich in den Bildern tatsächlich die PIN befindet, diese aber recht schwierig zu erkennen ist, habe ich die weitere Bearbeitung am PC fortgesetzt. Als Ausgangsmaterial diente mir die RAW-Datei des oben gezeigten Bildes. Nach einigen gescheiterten Versuchen die PIN bereits im RAW-Konverter sichtbar zu bekommen bin ich schließlich dazu übergegangen das Bild in Photoshop zu öffnen und dort mit den Ebeneneinstellungen zu spielen. Eine meiner ersten Vermutungen war auch gleich erfolgreich:

ebenen
  1. Die Basisebene du­pli­zie­ren
  2. Ebeneneigenschaft auf „Differenz“ stellen
  3. Eine der Ebenen um 1px in eine beliebige Richtung verschieben

Zwei Bilder als Differenzbild übereinander ergeben lediglich eine schwarze Fläche. Aber eine um 1Pixel verschobene Ebene ergibt eine astrein sichtbare PIN.

Demo PSD zum selber testen (8,41MB): Download

Hier ist zur besseren Sichtbarkeit lediglich noch die Helligkeit etwas angehoben worden

Es überrascht wenig, dass die PIN nach dem öffnen tatsächlich wie erwartet „261398“ lautet.

Das gebrochene Siegel der Pin
Das gebrochene Siegel der PIN

Es gelingt also binnen einer knappen halben Stunde inkl. aller Vorbereitungen und Fehlschläge die PIN sichtbar zu machen ohne dass das Sicherheitsfeld in irgendeiner Art und Weise beschädigt wird. Der eigentliche Aufwand beträgt keine 5 Minuten.

Leider habe ich das Siegel aus Neugierde gebrochen bevor ich auf die Idee gekommen bin die gefaltete Din A4-Seite zu durchleuchten oder sogar den ganzen Brief. Ich bin mir aber sicher, dass das gefaltete Blatt keine großen Schwierigkeiten gemacht hätte, denn an den anliegenden Seiten ist bei diesem Brief keine Schrift. Das heißt, ich hätte vermutlich lediglich die Blitzleistung etwas erhöhen müssen, wobei das Bild oben mit nur 1/64 der vollen Leistung (die geringste Leistungsstufe es Blitzes) geschossen wurde. Leistungsreserven sind also vorhanden. Der Brief an sich ist ebenfalls unbedruckt.

Was heißt das denn nun im Endeffekt für den Sender und den Empfänger?

Ein externer Angreifer hätte die Möglichkeit den Brief abzufangen, die PIN auszulesen und die Seite wiederum in einen neutralen Umschlag zu stecken und zu verschließen. Dem Empfänger wird das nicht auffallen solange die Seite nicht zerknittert wurde. Die originalen PIN-Briefe sind ebenfalls neutral (aus gegebenem Grund!). Ist es möglich die PIN durch den geschlossenen Brief hindurch zu durchleuchten wird es gar keine Möglichkeit geben einen Angriff zu identifizieren.

Nun kann man zwar davon ausgehen, dass der zeitliche Versatz in dem das „Wissen“ und „Haben“ im Falle einer Zwei-Faktor-Authentifizierung üblicherweise verschickt werden genug Sicherheit bietet. Aber eine Zwei-Faktor-Authentifizierung setzt nun einmal auf die Vertraulichkeit des Faktors „Wissen“ auf den sich aber nun weder der Sender noch der Empfänger zu 100% verlassen kann. Das Interesse sollte also von beiden Seiten bestehen hier auf ein sichereres Verfahren zum Austausch der PIN zu setzen.

In meinem Fall mit der Onlinebanking PIN bin ich sofort nach Erhalt des Briefes dafür verantwortlich die PIN zu ändern.

Update: Ich habe inzwischen einen Rubbel-PIN-Brief für meine EC-Karte bekommen und kann sagen, dass dieses Übermittlungsverfahren mit der Durchlichtmethode nicht angreifbar ist.

Verwendetes Equipment:

Canon EOS 7D Canon 100mm F/2,8 Macro Canon Speedlite 430 EX II Funk-Fernaulöser

Gefällt dir der Beitrag?

Schreibe dich in den Newsletter ein und bekomme in unregelmäßigen Abständen zusammenfassende Newsletter mit den neuesten Beiträgen. Ich halte es minimalistisch. Versprochen.

10 Kommentare

  1. Somit wäre jetzt auch klar was ich mit allen kommenden Pin-Briefen mache 😉

    • admin

      Hoffentlich nur mit deinen eigenen ^^ 😉

  2. Da Hacker

    Das geht einfacher… Einfach einscannen geht teilweise auch… Je nach Druck.
    Oder ein mit Nagellackentferner getränktes Blatt Papier auf den PIN legen. Die PINS werden per Laserdrucker auf die Folie gedruckt. Der Nagellackentferner löst den Toner an und man kann die PIN erkennen… Teilweise geht es sogar mit abfotografieren… Gibt noch mehr Möglichkeiten…
    Sicher ist das sicher nicht… Dieses Produkt eignet sich nur für einen PIN den der Anwender beim ersten Mal sofort ändern muss…

    • admin

      Interessant sind alle non-destructiven Varianten, die der Adressat nicht erkennen kann. Selbst bei PINs die initial geändert werden müssen sollte meiner Meinung nach auf ein sicheres Verfahren gesetzt werden, denn nicht alle Anwender interessieren sich überhaupt für das meinetwegen ‚Onlinebanking‘ und damit bleibt der Angriff über sehr lange Zeit unbemerkt.

  3. […] Silvan Reiser freute sich – der Brief mit der PIN für seine neue Kreditkarte liegt in der Post. Da Silvan Reiser nicht nur Bankkunde, sondern auch Fotograf ist, hat er eine ungewöhnliche Idee, die einige Folge haben wird. Reiser nimmt seine Kamera und sein Blitzlicht. Doch setzt er den Blitz nicht auf die Kamera, sondern stellt ihn genau gegenüber hin. Und dazwischen hält er den Brief von der Bank, auf dem das Abziehbild – der sogenannte Objektträger – noch unbeschädigt klebt. […]

  4. Name

    Geht das auch mit „PIN-TAB“?

    • admin

      Wenn ich mir PIN-TAB anschaue, sieht das dem Hydalam gar nicht mal so unähnlich. Ein Versuch wäre es wert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*