home *** CD-ROM | disk | FTP | other *** search

---

/ Simtel MSDOS 1992 December / simtel1292_SIMTEL_1292_Walnut_Creek.iso / msdos / database / pinmoney.arc / PINMONEY.DOC

next >

Wrap

Text File  |  1989-06-22  |  7KB  |  137 lines

---

1.                                   PINMONEY
2.  
3.           (A program to remind us about our PINs in a secure way)
4.  
5.                               by L. P. Levine
6.  
7.                          May 7, 1989  Version 1.00
8.  
9.      This  program generates a table filled with random characters  designed 
10. to hide up to ten passwords or PIN numbers so they can be easily found.  The 
11. basic  idea  for this scheme was taken from an email posting on  a  security 
12. board,  however I have lost the document and cannot credit its author.   (If 
13. you  are  s/he please let me know, and I will put your  name  on  subsequent 
14. postings.)
15.  
16.      Basically the program generates a listing such as the following:
17.  
18.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
19.       
20.       0   7 1 4 8 6 0 9 9 2 4 3 9 1 6 1 3 6 0 5 2 6 3 5 8 4 9  foggy 
21.       1   6 9 7 0 2 8 9 3 9 3 4 6 0 8 8 0 3 2 8 5 1 5 5 8 1 1  x-ray 
22.       2   0 7 6 3 7 2 2 3 5 6 2 5 4 7 6 0 9 1 3 6 7 6 5 7 6 9  box3  
23.       3   2 0 1 6 9 4 0 4 6 2 0 5 7 8 3 1 8 2 4 9 8 9 9 1 5 7  office
24.       4   3 0 6 5 1 6 5 6 8 4 1 3 8 4 8 1 4 9 8 8 5 7 8 5 1 3  box4  
25.       5   1 0 6 7 4 1 1 1 0 6 8 7 1 1 0 6 3 9 9 3 2 2 1 1 5 5  check 
26.       6   0 2 9 4 5 1 4 2 9 0 1 5 9 0 7 4 5 9 1 0 9 9 3 6 1 6  bus   
27.       7   6 4 4 7 3 9 0 9 7 3 6 0 6 9 4 2 2 8 1 7 6 9 3 9 8 4  car   
28.       8   4 0 8 4 2 8 6 4 1 9 4 5 7 7 7 0 7 8 7 5 6 6 0 2 1 1  sport 
29.       9   8 5 9 6 0 0 4 6 8 4 6 8 8 4 0 0 2 2 1 5 8 6 0 5 3 9  key2   
30.  
31. with  260 randomly chosen digits in ten lines numbered 0 through 9 and  with 
32. each  line  labeled  with a randomly chosen label such as line  0  which  is 
33. labeled "foggy".  The time of day is used as a seed so your initial  listing 
34. will  be different from the above. The user is asked for a secret word  con-
35. sisting  of  more than 4 letters with no repeated letters such as  the  word 
36. "DEFAULTING".   It then permits the user to change any of the ten  lines  by 
37. entering its one-digit number, change the label, and enter a password or PIN 
38. (Personal  Identification Number) using a variety of character  sets.   When 
39. that has been done a few times the following may appear:
40.       
41.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
42.             
43.       0   2 8 7 6 5 9 6 9 2 7 1 1 2 6 1 0 8 5 3 6 5 9 4 4 4 0  pin1  
44.       1   9 1 4 2 9 6 4 9 3 7 3 9 6 1 4 9 8 6 7 0 1 3 5 7 9 6  pin2  
45.       2   N A H Z K M O K N X V W U C U F K A Q P R O Z K S M  FAXkey
46.       3   + m 8 4 V s q ) s t g t r * r b o o z X p M : m g l  VAX   
47.       4   1 1 m w 3 j Z y o m j w b a t I m z v k m E n o { x  unix  
48.       5   8 4 7 0 2 5 3 2 9 6 5 7 7 2 7 5 2 7 9 5 5 3 4 7 4 6  check 
49.       6   0 2 9 4 5 1 4 2 9 0 1 5 9 0 7 4 5 9 1 0 9 9 3 6 1 6  bus   
50.       7   6 4 4 7 3 9 0 9 7 3 6 0 6 9 4 2 2 8 1 7 6 9 3 9 8 4  car   
51.       8   4 0 8 4 2 8 6 4 1 9 4 5 7 7 7 0 7 8 7 5 6 6 0 2 1 1  sport 
52.       9   8 5 9 6 0 0 4 6 8 4 6 8 8 4 0 0 2 2 1 5 8 6 0 5 3 9  key2   
53.  
54. In this listing I have chosen to change lines 0 - 4 with lines 0 and 1 (pin1 
55. and  pin2) randomized against just numbers [0..9], line 2  (FAXkey)  against 
56. the  set  [A..Z]  and  lines  3  and  4  (VAX  and  unix)  against  the  set 
57. [a..z,A..Z,0..9,(+  specials)].  If the secret word had  been  "DEFAULTING", 
58. the 4 digit code for pin1 would have been 6592 and that for pin2 2969.   The 
59. 6  character unix password, would have been w3j1mw.  (pin1 might  have  been 
60. used to store a bank vault combination for number 65 92 51 62 26.)  
61.  
62.      The tabulated list can be printed and cut along suitably printed  marks 
63. to make a wallet sheet about the size of a dollar bill.  The tabulated  list 
64. can be saved and then reloaded.  (Note that only the LIST is saved, not  the 
65. secret  word so that no security is violated by that machine readable  list-
66. ing.)   When the list has been saved, two files are actually made, one  with 
67. a  .pin  extension and one with a .txt extension.  The .pin file  permits  a 
68. load operation to be done, the .txt file permits word processing or emailing 
69. of a list.
70.  
71. SECURITY
72.  
73.      Of  course  any system like this lowers the security of a  password  or 
74. PIN.  However for PINs the decrease is small.  For example in selected lines 
75. from the listing above:
76.       
77.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
78.       
79.       0   2 8 7 6 5 9 6 9 2 7 1 1 2 6 1 0 8 5 3 6 5 9 4 4 4 0  pin1  
80.       1   9 1 4 2 9 6 4 9 3 7 3 9 6 1 4 9 8 6 7 0 1 3 5 7 9 6  pin2  
81.  
82. no clue whatsoever can be gleaned from the raw listing.  Even the  knowledge 
83. that pin1 was 6592 would only give the clue that the first digit of pin2 was 
84. either a 2, 4, 1 or 0 and that the second digit was either a 9, 6 or 1,  and 
85. so  on.  With 22 randomly chosen digits and 4 significant ones,  each  digit 
86. will  appear  randomly 2.2 times in addition to its  significant  appearance 
87. giving only a chance of about 1 in 100 of guessing pin2.  (In the case above 
88. there are actually 108 possible choices for pin2.)  Since the bank gives you 
89. only  three chances to guess the PIN before it takes the card, this risk  is 
90. quite  low, even given that the knowledge of pin1 had been compromised.   If 
91. pin1 has not been compromised, the risk is very near zero.  
92.  
93.      For  the case of computer passwords, the security problem becomes  much 
94. more severe.  Again looking at selected lines from the listing:
95.       
96.           A B C D E F G H I J K L M N O P Q R S T U V W X Y Z  label
97.       
98.       3   + m 8 4 V s q ) s t g t r * r b o o z X p M : m g l  VAX   
99.       4   1 1 m w 3 j Z y o m j w b a t I m z v k m E n o { x  unix  
100.  
101.      Just  the knowledge that my unix password was in line 4 would give  the 
102. clever codebreaker a leg up on the problem that will allow a shortcut to the 
103. password,  given the power of modern machines, and the ability to make  fast 
104. repeated  attempts.   We are decreasing the potential number  of  characters 
105. from which a guesser must choose from more than 90 to less than 26.   Clear-
106. ly, this is no way to secure the root password on the bank's master  comput-
107. er.  The problem is mitigated somewhat by storing the correct line buried in 
108. several  dummy  lines.  (Is the password in unix or in  VAX?)   Putting  the 
109. first  two characters in unix, my initials in the middle, and the  last  two 
110. characters in VAX, such as w3LPL4V will increase the security significantly.  
111. It is still not good.
112.  
113. DETAILS
114.  
115.      This program is submitted as freeware.  Please let me know of any bugs, 
116. or  suggested  improvements.  I will fix and include them as  time  permits.  
117. The program was written in Turbo Pascal version 4.
118.  
119. Len Levine
120. Department of Electrical Engineering and Computer Science
121. University of Wisconsin-Milwaukee
122. PO Box 785
123. Milwaukee, WI 53201
124.  
125. 3942 N. Oakland Avenue, Apt 241
126. Shorewood, WI 53211
127.  
128. len@evax.milw.wisc.edu
129. (414) 229-5170 work  
130. (414) 962-4719 home
131.  
132.  
133.  
134.  
135.  
136.  
137.