Du har kanske någon gång funderat över varför ditt kreditkortsnummer ser ut som det gör? Det kanske inte kommer som en direkt överraskning om jag säger att det inte är en slump att de är utformade som det är. Det har både med säkerhet och användbarhet att göra.
Vad är ett kreditkortsnummer?
Kreditkortsnumret är det nummer som finns på framsidan av ditt kreditkort och är oftast mellan 16 och 19 siffror långt. Numret identifierar det unika kortet och inte direkt det konto som kortet är kopplat till. De synliga siffrorna gör att du kan använda kortet vid internetköp, men är inte de som används vid köp i terminal. Då är det istället datachipet på kortet i vilket kreditkortsnumret är lagrat.
Det sätt som kreditkortsnumret är utformat regleras genom ISO standarden ISO/IEC 7812.
Kortnumret består av tre huvudsakliga delar, nämligen:
- Information om utfärdaren av kortet.
- Information som kopplar kortet till ditt konto.
- Ett kontrollnummer, också kallat Luhn Algoritm.
Utfärdarinformation
Detta består av de första sex till åtta siffrorna. Den första siffran anger vilket kreditnätverk kortet hör till och kallas industrinummer. Dessa är:
- 1 och 2. Olika flygbolag
- 3. American Express och Diners
- 4. Visa
- 5. Maestro och Mastercard
- 6 Maestro och Discover
- 7 till 9. Andra utfärdare
De följande siffrorna i utfärdarinformationen talar om vilken bank eller annan kreditgivare som utfärdar kortet.
Utfärdarinformationen hanteras av ABA. American Bankers Association vilka allokerar dessa nummer till de som utfärdar korten.
Kontoinformation
De följande siffrorna, förutom den sista, gör att kortet kan kopplas till ditt personliga konto. Genom detta försäkras att de transaktioner som sker länkas till rätt konto.
Säkerhetssiffran
Den här sista siffran används för att säkerställa att ditt kreditkortsnummer är giltigt. Genom en komplex algoritm, Luhn Algoritmen, skapad av IBM-ingenjören Peter Luhn, kontrolleras kortets giltighet.
Hur läses ditt kreditkortsnummer?
Tidigare användes en magnetremsa för att läsa av numret på ditt kort. Men då det var lätt att läsa av magnetremsan och därigenom stjäla kortuppgifterna har man nu gått över till krav på att datachip och PIN används i alla kortterminaler. I chippet lagras både ditt kortnummer och din PIN-kod.
Så är korten säkra nu då?
Tyvärr så har det ju alltid varit så att säkerhet är en katt och råtta-lek mellan de som vill förbättra säkerheten och de som vill komma förbi den.
Enligt en av världens främsta datasäkerhetsföretag, Kaspersky så upptäckte man redan 2018 att säkerheten med kortchip var knäckt. En Brasiliansk hackergrupp som kallades Prilex hade lyckats ta fram ett virus som kunde infektera kortterminaler. När någon sedan använde sitt kort i en infekterad terminal så skickades kortets information direkt till hackarna.
Att få tag på kortinformationen var dock bara halva jobbet, för att lätt kunna tömma kontot behövde de också kunna klona kortet. Då korten innehåller mycket svårknäckt krypterad information för autentisering är det inte bara att kopiera chipet till ett tomt kort.
Men tro det eller ej vid användning i kortläsare är autentisering inte är obligatorisk. Detta utnyttjades av hackarna som skrev ett extra program till chipen som talade om för terminalen att den skulle hoppa över det steget.
Då var det bara ett problem kvar, PIN-koden är också svår att få fram, men hackarna hittade en lösning på detta också. Det finns nämligen en valmöjlighet inbyggd i chipet vilken gör att chipet själv ska kontrollera att den inslagna koden är rätt. Så det enda skurkarna behövde göra var att skriva ett program som talade om att koden var rätt oberoende av vilken kod som slogs in.
Så för att sammanfatta
Kreditkortsnumret är ett unikt nummer som identifierar både kreditkortsnätverk, utfärdande bank och ditt konto. Det har dessutom en avslutande siffra som med hjälp av en algoritm autentiserar att kortet är giltigt. Numret finns både tryckt på kortet och i chipet och är oftast mellan 16 och 19 siffror långt.
Vid användning i terminaler användes tidigare en magnetremsa. Numera har man dock övergått till att använda datachip för att förstärka säkerheten. Trots detta har man upptäckt att även de nya korten kan knäckas och kopieras.
Referenser:
- http://www.pan-nordic.org/PanNordicCard/PCI-and-Security/Security-requirements.aspx
- https://www.kaspersky.com/blog/chip-n-pin-cloning/21502/
