100 år av standarder - PIN-koden
VISA BILDTEXT
Foto: Michal Jarmoluk/Pixabay.

NÄRINGSLIVET AV: Gustav Norqvist-Svensson 2022-11-13

100 år av standarder – PIN-koden

Kan fyra siffror bevisa din identitet? För de flesta banker anses det alldeles tillräckligt, åtminstone om du till exempel ska ta ut kontanter i en uttags­automat. Idag är det kortköp och inte kontantuttag som är det vanligaste användnings­området för den standardiserade PIN-koden, och principen att verifiera användarens identitet med hjälp av en sifferkod har även spridit sig vidare till andra områden.

Artikeln publicerades i tidskriften SIS 1922-2022 – 100 år av standarder .

ISO 9564 är en serie standarder som rör PIN-koders hantering och säkerhet. I över 50 år har koden varit en vedertagen metod för att verifiera användarens identitet vid en elektronisk penga­överföring, vanligtvis ett kontant­uttag i maskin eller ett köp med betal- och kreditkort. Standarden publicerades i sin ursprungs­version 1991 och har sedan dess reviderats åtskilliga gånger, senast 2017. En ytterligare version är under arbete.

I nuläget består den av tre delar, där den första delen (ISO 9564-1) täcker grunderna till säker PIN-användning i kort­baserade system och de två andra (ISO 9564-2 och ISO 9564-4) rör godkända algoritmer för kryptering av koder respektive PIN-hantering vid e-handel.

Läs även: När plastpengarna kom till Sverige

PIN, en förkortning för Personal Identification Number, är ett numeriskt lösenord på minst fyra siffror. Även om ISO 9564 medger koder på upp till tolv siffror är en fyr­siffrig PIN-kod den absolut vanligaste varianten, vilken ger användaren 10 000 möjliga siffer­kombinationer.

Koden matas in i en knappsats som enligt standarden måste innehålla siffrorna 0-9. I praktiken följer knappsatsens utformning ITU Tele­communication Standardizing Sectors (ITU-T) rekommendationer. Många knapp­satser har även bokstäver, vilka dock ligger utanför standardens ramar och saknar teknisk betydelse.

Sparbankens uttagsautomat Minuten lanserades över hela landet 1977. Foto: Swedbanks arkiv hos Centrum för Näringslivshistoria.

RELATERADE ARTIKLAR

NÄRINGSLIVET

Lucka 3: Ambulans

Redan 1935 har Svenska Institutet för Standarder utvecklat den första...

NÄRINGSLIVET

Lucka 2: A4

A4-formatet är idag så inarbetat att de flesta nog tar...

NÄRINGSLIVET

Lucka 1: Vad är en standard?

En standard kan ses som en gemensam lösning på ett...

Få vårt nyhetsbrev, varannan vecka, direkt i mejlen.

Annat som hände under 1990-talet

  • World wide web lanserades 1990.
  • Mobiltelefonerna slog igenom och användarna började skicka textmeddelanden, sms, till varandra.
  • Fastighetsbubblan från 1980-talets byggboom sprack med en lågkonjunktur som följd.
  • Miljöfrågorna fick ökad betydelse och allt fler miljömärkningar på produkter började dyka upp.
  • Sökmotorn Google lanserades 1998 och snart surfade svenskarna på nätet för både nytta och nöje.
  • Inför millennieskiftet oroade sig många för att så kallade Y2K-buggar skulle slå ut hela det uppkopplade samhället. Men allt rullade på utan större problem och snart var det nya årtusendet här.

STARTADE MED KONTANTUTTAG
Alltsedan PIN-kodens tillkomst under 1960-talet och under nästkommande decennier var den nära förknippad med kontant­uttag i maskin. Hela banksektorn genomgick en aldrig tidigare skådad teknisk utveckling under 1970-talet, inom både it och automatisk kontant­hantering.

Under 1980- och 1990-talen började dessa tekniska land­vinningar även märkas för den breda allmänheten. Som ett ovanligt tidigt exempel på denna utveckling såg uttags­automaterna dagens ljus redan 1967 och blev tidigt omfamnade i väst­världen. De första automaterna hanterade maskin­läsbara checkar och inte plast­kort. Checkarna matchades med särskilda lösen­koder, genom vilka användaren verifierade sin identitet.

Läs även: Teknik för nytta och nöje

Under det tidiga 1970-talet utfärdades de första plast­korten med magnet­remsor där information kunde lagras. Riktigt utbredda blev uttags­automaterna i Sverige under slutet av decenniet, då landets stor­banker genomförde riks­täckande installationer av Bankomater respektive Minuten-automater.

Nymodigheten automatiserade ett av de vanligaste bank­ärendena: enkla kontant­uttag över disk. Utöver att spara tid och pengar för bankerna skapade automaterna stor kundnytta då gemene man inte längre behövde anpassa sig till bankernas öppet­tider för något så grund­läggande som tillgång till kontanter. De innebar också trygghet eftersom ingen längre var tvungen att bära med sig några större mängder pengar i plånboken. Men där ett säkerhets­hål täpps igen öppnas ett annat: en kod på fyra siffror kan enkelt få fötter.

Foto: Ola Torkelsson/Pressens Bild, ur SEBs Arkiv hos Centrum för Näringslivshistoria.

INGEN ABSOLUT SÄKERHET
PIN-standarden syftar till att skydda koden från obehörig åtkomst under dess livscykel. Därigenom minimeras risken för bedrägerier, vilka förstås kan innebära kapital­förluster och olägenheter för både bankerna och deras kunder.

I ursprungs­standarden från 1991 är hållningen pragmatisk då den fastslår att absolut säkerhet inte är praktiskt möjlig att uppnå. Standarden ska i stället på ett effektivt sätt minska möjligheterna till bedrägeri och säkerhets­brister, och om de ändå äger rum ska sannolikheten att de avslöjas vara hög.

Standarden medger att en PIN-kod tillkommer på tre olika sätt. Antingen genom att kunden väljer sin kod själv, genom slump­generering eller genom att den baseras på något annat nummer kopplat till kunden (till exempel ett bank­konto­nummer) som sedan krypteras. Säkerheten måste förstås vara hög vid alla steg under PIN-koden livs­cykel – och stegen är många: tillkomst, utfärdande, aktivering, inmatning, överföring och validering. Den centrala delen under kodens livscykel är förstås att den hålls hemlig och inte sprids. Här ligger ett stort ansvar på användaren. PIN-koden ska skyddas vid inmatning och bör vara svår att lista ut.

Precis som vid val av andra lösenord är det dock inte alla som tar dessa uppmaningar på största allvar. Kända årtal, fyra likadana siffror, stigande och fallande nummer­sekvenser eller siffror i rad på knapp­satsen (2580) är alla vanliga alternativ när användaren själv får välja. Likaså personliga nummer kopplade till födelsedagar och liknande. Bristande fantasi vid val av PIN-kod gör sannolikheten att någon obehörig gissar rätt långt större än en på 10 000.

ANDRA ANVÄNDNINGSOMRÅDEN
Uttagsärenden var länge det huvudsakliga användnings­området för PIN-koderna, något som förstås har ändrats i takt med att kort­köp blivit allt vanligare och att samhället blivit mindre och mindre kontant­baserat. Lösningar som direkt­överföringar, PayPal, Swish och e-plånböcker har gjort att uttags­automaterna och faktiskt även kort­köpen blivit färre och färre.

Idag efterfrågas PIN-koder dessutom alltmer sällan vid mindre kortköp. Verifierings­metodens princip lever ändå vidare i andra typer av inloggnings­aktiviteter. Exempel på detta är mobil­telefonernas SIM-kort och lås­skärmar samt BankID.

En SEB-kund betalar med ett Cashcard hos Pressbyrån, 1996. Foto: Bertil Ericson, Pressens bild, ur SEB:s arkiv hos Centrum för Näringslivshistoria.

Svenska Institutet för Standarder (SIS) 100 år

En standard är en gemensam lösning på ett återkommande problem. Syftet med standarder är att skapa enhetliga rutiner för att generera största möjliga nytta inom ett visst område. Som svenskt standardiseringsorgan har SIS tagit fram tusentals standarder och verkat för användningen av dessa.

Till Svenska Institutet för Standarder hundraårsjubileum 2022 har vi på Centrum för Näringslivshistoria uppmärksammar de ett antal banbrytande standarder. Läs mer på www.naringslivshistoria.se.