व्यक्तिगत पहचान संख्या (पिन)

एक व्यक्तिगत पहचान संख्या (पिन), या कभी-कभी आरएएस सदस्यता एक पिन नंबर या पिन कोड, एक संख्यात्मक (कभी-कभी अल्फा-न्यूमेरिक) पासकोड होता है जिसका उपयोग सिस्टम तक पहुँचने वाले उपयोगकर्ता को प्रमाणित करने की प्रक्रिया में किया जाता है।

पिन वित्तीय संस्थानों, सरकारों और उद्यमों के लिए कंप्यूटर नेटवर्क में विभिन्न डेटा-प्रोसेसिंग केंद्रों के बीच निजी डेटा विनिमय को सुविधाजनक बनाने की कुंजी है। पिन का उपयोग कार्डधारकों के साथ बैंकिंग सिस्टम, नागरिकों के साथ सरकारें, कर्मचारियों के साथ उद्यम, और उपयोगकर्ताओं के साथ कंप्यूटर, अन्य उपयोगों के साथ प्रमाणित करने के लिए किया जा सकता है।

सामान्य उपयोग में, एटीएम या पीओएस लेनदेन में पिन का उपयोग किया जाता है, सुरक्षित अभिगम नियंत्रण (जैसे कंप्यूटर अभिगम, द्वार अभिगम, कार अभिगम), इंटरनेट लेनदेन, या किसी प्रतिबंधित वेबसाइट में लॉग इन करने के लिए।

इतिहास
पिन की उत्पत्ति 1967 में स्वचालित टेलर मशीन (ATM) के प्रारंभ के साथ हुई, जो बैंकों के लिए अपने ग्राहकों को नकदी देने का एक कुशल विधि थी। पहला एटीएम सिस्टम 1967 में लंदन में बार्कलेज का था; इसने कार्ड के अतिरिक्त मशीन-पठनीय एन्कोडिंग वाले जांच स्वीकार किए और चेक से पिन का मिलान किया। 1972, लॉयड्स बैंक ने सुरक्षा के लिए एक पिन का उपयोग करते हुए सूचना-एन्कोडिंग चुंबकीय पट्टी की सुविधा के लिए पहला बैंक कार्ड जारी किया। पहली व्यक्तिगत पहचान संख्या का पेटेंट कराने वाले आविष्कारक जेम्स गुडफेलो को 2006 के क्वीन्स बर्थडे ऑनर्स में ब्रिटिश साम्राज्य के सबसे उत्कृष्ट आदेश के अधिकारी से सम्मानित किया गया था। मोहम्मद एम. अटाला ने पहले पिन-आधारित हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) का आविष्कार किया, अटाला बॉक्स को डब किया गया, एक सुरक्षा प्रणाली जो पिन और स्वचालित टेलर मशीन संदेशों को एन्क्रिप्ट करती है और एक अनुमानित पिन-जनरेटिंग कुंजी के साथ ऑफ़लाइन उपकरणों को सुरक्षित करती है। 1972 में, अटाला ने दायर किया उनके पिन सत्यापन प्रणाली के लिए, जिसमें एक एन्कोडेड कार्ड रीडर सम्मिलित था और एक ऐसी प्रणाली का वर्णन किया गया था जो व्यक्तिगत आईडी जानकारी अंकित करते समय टेलीफोन लिंक सुरक्षा सुनिश्चित करने के लिए कूटलेखन तकनीकों का उपयोग करती थी जिसे सत्यापन के लिए दूरस्थ स्थान पर प्रेषित किया गया था। उन्होंने 1972 में अटला निगम (अब उटीमाको अटाला) की स्थापना की, और 1973 में अटाला बॉक्स को व्यावसायिक रूप से लॉन्च किया। उत्पाद Identikey के रूप में जारी किया गया था। यह एक कार्ड रीडर और पहचान सत्यापन सेवा थी, जो प्लास्टिक कार्ड और पिन क्षमताओं वाला एक टर्मिनल प्रदान करती थी। सिस्टम को बैंकों और थ्रिफ्ट संस्थानों को पासवृक प्रोग्राम से प्लास्टिक कार्ड वातावरण में बदलने के लिए डिज़ाइन किया गया था। पहचान प्रणाली में कार्ड रीडर कंसोल, दो ग्राहक पिन पैड, बुद्धिमान नियंत्रक और अंतर्निर्मित इलेक्ट्रॉनिक इंटरफ़ेस पैकेज सम्मिलित था। डिवाइस में दो कीपैड सम्मिलित थे, एक ग्राहक के लिए और दूसरा टेलर के लिए। इसने ग्राहक को एक गुप्त कोड टाइप करने की अनुमति दी, जिसे डिवाइस द्वारा माइक्रोप्रोसेसर का उपयोग करके, टेलर के लिए दूसरे कोड में बदल दिया जाता है। वित्तीय लेनदेन के दौरान, ग्राहक का बैंक कार्ड नंबर। इस प्रक्रिया ने मैन्युअल प्रविष्टि को बदल दिया और संभावित कुंजी स्ट्रोक त्रुटियों से बचा। इसने उपयोगकर्ताओं को पारंपरिक ग्राहक सत्यापन विधियों जैसे हस्ताक्षर सत्यापन और परीक्षण प्रश्नों को एक सुरक्षित पिन प्रणाली से बदलने की अनुमति दी। सूचना सुरक्षा प्रबंधन की पिन प्रणाली पर उनके काम की मान्यता में, अटाला को पिन के पिता के रूप में संदर्भित किया गया है। अटाला बॉक्स की सफलता ने पिन-आधारित हार्डवेयर सुरक्षा मॉड्यूल को व्यापक रूप से अपनाया। इसकी पिन सत्यापन प्रक्रिया बाद के आईबीएम 3624 के समान थी। 1998 तक संयुक्त राज्य में सभी एटीएम लेनदेन का अनुमानित 70% विशेष अटला हार्डवेयर मॉड्यूल के माध्यम से किया गया था, और 2003 तक अटाला बॉक्स ने दुनिया की सभी एटीएम मशीनों का 80% सुरक्षित कर लिया, 2006 तक 85% तक बढ़ रहा है। अटाला के एचएसएम उत्पाद 250 की रक्षा करते हैं2013 तक हर दिन मिलियन कार्ड लेनदेन डेटा, और अभी भी 2014 तक दुनिया के अधिकांश एटीएम लेनदेन सुरक्षित हैं।

पिन उपयोग
एक वित्तीय लेनदेन के संदर्भ में, सामान्यतः एक निजी पिन कोड और सार्वजनिक उपयोगकर्ता पहचानकर्ता दोनों को एक उपयोगकर्ता को सिस्टम में प्रमाणित करने की आवश्यकता होती है। इन स्थितियों में, सामान्यतः उपयोगकर्ता को सिस्टम तक पहुंच प्राप्त करने के लिए एक गैर-गोपनीय उपयोगकर्ता पहचानकर्ता या टोकन (उपयोगकर्ता आईडी) और एक गोपनीय पिन प्रदान करने की आवश्यकता होती है। यूजर आईडी और पिन प्राप्त होने पर, सिस्टम यूजर आईडी के आधार पर पिन को देखता है और प्राप्त पिन के साथ देखे गए पिन की तुलना करता है। उपयोगकर्ता को केवल तभी प्रवेश दिया जाता है जब अंकित की गई संख्या सिस्टम में संग्रहीत संख्या से मेल खाती है। इसलिए, नाम के अतिरिक्त, पिन व्यक्तिगत रूप से उपयोगकर्ता की पहचान नहीं करता है। पिन मुद्रित या कार्ड पर एम्बेड नहीं किया गया है, लेकिन स्वचालित टेलर मशीन (एटीएम) और बिक्री केन्द्र (पीओएस) लेनदेन (जैसे कि ईएमवी का अनुपालन करने वाले) के दौरान कार्डधारक द्वारा मैन्युअल रूप से अंकित किया गया है, और कार्ड में इंटरनेट पर या फोन बैंकिंग के लिए लेनदेन उपस्थित नहीं है।

पिन की लंबाई
वित्तीय सेवाओं के लिए अंतर्राष्ट्रीय मानक पिन प्रबंधन, आईएसओ 9564-1, चार से बारह अंकों तक के पिन की अनुमति देता है, लेकिन अनुशंसा करता है कि प्रयोज्य कारणों से कार्ड जारीकर्ता छह अंकों से अधिक का पिन निर्दिष्ट न करे। एटीएम के आविष्कारक, जॉन शेफर्ड-बैरन ने सबसे पहले छह अंकों के संख्यात्मक कोड की कल्पना की थी, लेकिन उनकी पत्नी केवल चार अंक ही याद रख सकीं, और यह कई जगहों पर सबसे अधिक उपयोग की जाने वाली लंबाई बन गई है, चूंकि स्विट्जरलैंड और कई अन्य देशों के बैंकों को छह अंकों के पिन की आवश्यकता होती है।

पिन सत्यापन
पिन को मान्य करने के कई मुख्य विधियाँ हैं। नीचे चर्चा किए गए ऑपरेशन सामान्यतः हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) के अंदर किए जाते हैं।

आईबीएम 3624 विधि
सबसे प्रारंभिकी एटीएम मॉडलों में से एक आईबीएम 3624 था, जो प्राकृतिक पिन कहे जाने वाले उत्पन्न करने के लिए आईबीएम पद्धति का उपयोग करता था। विशेष रूप से इस उद्देश्य के लिए उत्पन्न एन्क्रिप्शन कुंजी का उपयोग करके, प्राथमिक खाता संख्या (पैन) को एन्क्रिप्ट करके प्राकृतिक पिन उत्पन्न किया जाता है। इस कुंजी को कभी-कभी पिन जनरेशन कुंजी (PGK) कहा जाता है। यह पिन सीधे प्राथमिक खाता संख्या से संबंधित है। पिन को मान्य करने के लिए, जारीकर्ता बैंक उपरोक्त विधि का उपयोग करके पिन को पुन: उत्पन्न करता है, और अंकित किए गए पिन के साथ इसकी तुलना करता है।

प्राकृतिक पिन उपयोगकर्ता द्वारा चयन योग्य नहीं हो सकते क्योंकि वे पैन से प्राप्त होते हैं। यदि कार्ड को नए पैन के साथ फिर से जारी किया गया है, तो एक नया पिन जनरेट करना होगा।

प्राकृतिक पिन बैंकों को पिन अनुस्मारक पत्र जारी करने की अनुमति देते हैं क्योंकि पिन उत्पन्न किया जा सकता है।

आईबीएम 3624 + ऑफसेट विधि
उपयोगकर्ता-चयन योग्य पिन की अनुमति देने के लिए पिन ऑफ़सेट मान को संग्रहीत करना संभव है। मॉड्यूलर अंकगणितीय 10 का उपयोग करके ग्राहक द्वारा चुने गए पिन से प्राकृतिक पिन घटाकर ऑफ़सेट पाया जाता है। उदाहरण के लिए, यदि प्राकृतिक पिन 1234 है, और उपयोगकर्ता 2345 का पिन रखना चाहता है, तो ऑफ़सेट 1111 है।

ऑफ़सेट या तो कार्ड ट्रैक डेटा पर संग्रहीत किया जा सकता है, या कार्ड जारीकर्ता के डेटाबेस में।

पिन को मान्य करने के लिए, जारीकर्ता बैंक उपरोक्त विधि के अनुसार प्राकृतिक पिन की गणना करता है, फिर ऑफसेट जोड़ता है और इस मान की अंकित पिन से तुलना करता है।

वीजा विधि
वीज़ा पद्धति का उपयोग कई कार्ड योजनाओं द्वारा किया जाता है और यह वीज़ा-विशिष्ट नहीं है। वीज़ा पद्धति एक पिन सत्यापन मूल्य (पीवीवी) उत्पन्न करती है। ऑफ़सेट मान के समान, इसे कार्ड के ट्रैक डेटा पर या कार्ड जारीकर्ता के डेटाबेस में संग्रहीत किया जा सकता है। इसे संदर्भ पीवीवी कहा जाता है।

वीज़ा विधि पैन के सबसे दाहिने ग्यारह अंकों को लेती है, चेकसम मान को छोड़कर, एक पिन सत्यापन कुंजी सूचकांक (PVKI, एक से छह में से चुना गया, 0 का एक PVKI इंगित करता है कि पिन को PVS के माध्यम से सत्यापित नहीं किया जा सकता है) ) और 64-बिट संख्या बनाने के लिए आवश्यक पिन मान, PVKI इस संख्या को एन्क्रिप्ट करने के लिए एक सत्यापन कुंजी (128 बिट्स का PVK) चुनता है। इस एन्क्रिप्टेड मान से, पीवीवी पाया जाता है। पिन को मान्य करने के लिए, जारीकर्ता बैंक अंकित किए गए पिन और पैन से पीवीवी मूल्य की गणना करता है और इस मूल्य की तुलना संदर्भ पीवीवी से करता है। यदि संदर्भ पीवीवी और परिकलित पीवीवी मेल खाते हैं, तो सही पिन अंकित किया गया था।

आईबीएम पद्धति के विपरीत, वीज़ा पद्धति में कोई पिन नहीं होता है। पीवीवी मान का उपयोग टर्मिनल पर अंकित पिन की पुष्टि करने के लिए किया जाता है, इसका उपयोग संदर्भ पीवीवी उत्पन्न करने के लिए भी किया जाता था। पीवीवी उत्पन्न करने के लिए उपयोग किया जाने वाला पिन बेतरतीब ढंग से उत्पन्न किया जा सकता है, उपयोगकर्ता-चयनित या आईबीएम विधि का उपयोग करके भी प्राप्त किया जा सकता है।

पिन सुरक्षा
वित्तीय पिन अधिकांशतः 0000-9999 की सीमा में चार अंकों की संख्या होती है, जिसके परिणामस्वरूप 10,000 संभावित संयोजन होते हैं। स्विट्ज़रलैंड डिफ़ॉल्ट रूप से छह अंकों का पिन जारी करता है। कुछ सिस्टम डिफ़ॉल्ट पिन सेट करते हैं और अधिकांश ग्राहक को पिन सेट करने या डिफ़ॉल्ट को बदलने की अनुमति देते हैं, और कुछ पर पहली पहुंच पर पिन बदलना अनिवार्य है। ग्राहकों को सामान्यतः सलाह दी जाती है कि वे अपने या अपने जीवनसाथी के जन्मदिन, ड्राइवर लाइसेंस नंबरों, लगातार या दोहराव वाले नंबरों या कुछ अन्य योजनाओं के आधार पर पिन सेट न करें। कुछ वित्तीय संस्थान पिन नहीं देते हैं या अनुमति नहीं देते हैं जहां सभी अंक समान होते हैं (जैसे 1111, 2222, ...), लगातार (1234, 2345, ...), संख्याएं जो एक या अधिक शून्य से प्रारंभ होती हैं, या अंतिम कार्डधारक की सामाजिक सुरक्षा संख्या या जन्म तिथि के चार अंक। कई पिन सत्यापन प्रणालियां तीन प्रयासों की अनुमति देती हैं, जिससे कार्ड चोर को कार्ड ब्लॉक होने से पहले सही पिन का अनुमान लगाने की संभावना 0.03% हो जाती है। यह केवल तभी होता है जब सभी पिन समान रूप से होने की संभावना हो और हमलावर के पास कोई और जानकारी उपलब्ध न हो, जो कि कई पिन पीढ़ी और सत्यापन एल्गोरिदम में से कुछ के मामले में नहीं है जो कि वित्तीय संस्थानों और एटीएम निर्माताओं ने अतीत में उपयोग किया है। सामान्यतः उपयोग किए जाने वाले पिन पर शोध किया गया है। परिणाम यह है कि बिना पूर्व विचार के, उपयोगकर्ताओं का एक बड़ा हिस्सा अपने पिन को असुरक्षित पा सकता है। केवल चार संभावनाओं से लैस, हैकर्स सभी पिनों का 20% क्रैक कर सकते हैं। उन्हें पंद्रह से अधिक संख्या की अनुमति नहीं है, और वे एक चौथाई से अधिक कार्ड-धारकों के खातों को टैप कर सकते हैं। भंग करने योग्य पिन लंबाई के साथ खराब हो सकते हैं, बुद्धि के लिए: "अनुमानित पिन के साथ समस्या आश्चर्यजनक रूप से खराब हो जाती है जब ग्राहकों को अतिरिक्त अंकों का उपयोग करने के लिए मजबूर किया जाता है, पंद्रह नंबरों के साथ लगभग 25% संभावना से 30% से अधिक (उन सभी फोन नंबरों के साथ 7-अंकों की गिनती नहीं) की ओर बढ़ रहा है। वास्तव में, सभी 9-अंकीय पिनों में से लगभग आधे को दो दर्जन संभावनाओं तक कम किया जा सकता है, बड़े पैमाने पर क्योंकि 35% से अधिक लोग अत्यधिक आकर्षक 123456789 का उपयोग करते हैं। शेष 64% के लिए, एक अच्छा अवसर है कि वे उपयोग कर रहे हैं उनकी सामाजिक सुरक्षा संख्या, जो उन्हें असुरक्षित बनाती है। (सामाजिक सुरक्षा नंबरों में उनके अपने जाने-माने पैटर्न होते हैं।)"

कार्यान्वयन दोष
2002 में, कैम्ब्रिज विश्वविद्यालय के दो पीएचडी छात्रों, पियोटर ज़िलिन्स्की और माइक बॉन्ड ने आईबीएम 3624 के पिन जनरेशन सिस्टम में एक सुरक्षा दोष की खोज की, जिसे बाद के अधिकांश हार्डवेयर में दोहराया गया था। दशमलवकरण तालिका हमला के रूप में जाना जाने वाला यह दोष किसी ऐसे व्यक्ति को अनुमति देता है जिसके पास बैंक के कंप्यूटर सिस्टम तक पहुंच है, वह औसतन 15 अनुमानों में एटीएम कार्ड के लिए पिन निर्धारित कर सकता है।

रिवर्स पिन होक्स
ई-मेल और इंटरनेट सर्कुलेशन में यह स्वत्व किया गया है कि एटीएम में पीछे की ओर पिन अंकित करने की स्थिति में, कानून प्रवर्तन तुरंत सतर्क हो जाएगा और साथ ही पैसा सामान्य रूप से जारी किया जाएगा जैसे कि पिन सही ढंग से अंकित किया गया हो। इस योजना का उद्देश्य डकैती के शिकार लोगों की रक्षा करना होगा; चूंकि, कुछ अमेरिकी राज्यों में उपयोग के लिए एटीएम सुरक्षा पिन सॉफ्टवेयर प्रस्तावित होने के अतिरिक्त, वर्तमान में कोई एटीएम नहीं हैं अस्तित्व में है जो इस सॉफ़्टवेयर को नियोजित करता है।

मोबाइल फोन पासकोड
एक मोबाइल फोन पिन संरक्षित हो सकता है। यदि सक्षम है, तो जीएसएम मोबाइल फोन के लिए पिन (जिसे पासकोड भी कहा जाता है) चार से आठ अंकों के बीच हो सकता है और सिम कार्ड में अंकित है। यदि ऐसा पिन तीन बार गलत अंकित किया जाता है, तो सेवा ऑपरेटर द्वारा प्रदान किए गए व्यक्तिगत अनब्लॉकिंग कोड (पीयूसी या पीयूके) अंकित किए जाने तक सिम कार्ड अवरुद्ध हो जाता है। यदि पीयूसी को दस बार गलत विधियों से अंकित किया जाता है, तो सिम कार्ड को स्थायी रूप से ब्लॉक कर दिया जाता है, जिसके लिए मोबाइल वाहक सेवा से नए सिम कार्ड की आवश्यकता होती है।

व्यक्तिगत प्रमाणीकरण के रूप में, पिन का उपयोग सामान्यतः स्मार्टफोन में भी किया जाता है, ताकि केवल वे ही डिवाइस को अनलॉक कर सकें जो पिन जानते हैं। सही पिन अंकित करने के कई असफल प्रयासों के बाद, उपयोगकर्ता को आवंटित समय के लिए फिर से प्रयास करने से रोका जा सकता है, डिवाइस पर संग्रहीत सभी डेटा को हटा दिया जा सकता है, या उपयोगकर्ता को वैकल्पिक जानकारी अंकित करने के लिए कहा जा सकता है प्रमाणित करने के लिए केवल स्वामी के जानने की अपेक्षा की जाती है। पिन अंकित करने के असफल प्रयासों के बाद पूर्व में उल्लिखित घटनाओं में से कोई भी होता है या नहीं, यह काफी सीमा तक डिवाइस और इसकी सेटिंग्स में मालिक की चुनी हुई प्राथमिकताओं पर निर्भर करता है।

यह भी देखें

 * एटीएम सेफ्टीपिन सॉफ्टवेयर
 * कैंपस कार्ड
 * लेन-देन प्रमाणीकरण संख्या