Der Magnetstreifen der Postcard

Auf der Rückseite der Karte befindet sich ein Magnetstreifen, der für Transaktionen an GAAs und POS-Terminals verwendet wird, die über keinen eingebauten Chipkartenleser verfügen oder die mit dem Chip der Postcard nicht umgehen können.

Magnetkartenleser und -schreiber sind im Fachhandel erhältlich; Software und Beschreibungen finden sich im Internet.

Aufbau des Magnetstreifens

Die Daten sind auf dem Magnetstreifen in drei Spuren (Tracks) abgelegt; das Format der Daten auf den jeweiligen Spuren ist standardisiert. Speziell der Track 3 der Daten folgt dem Standard ISO 4909, der für Bankkarten verbindlich ist. Eine Beschreibung der Spuren finden Sie unter anderem hier.

Spur Dichte (BPI) Kodierung Umfang
12107 bit79 Alphanumerische Zeichen
2755 bit40 Numerische Zeichen
32105 bit107 Numerische Zeichen

Spur 1

Die Belegung der Spur 1 wurde von der "International Air Transportation Association (IATA)" entwickelt.

SS FC PAN FS CARDHOLDER NAME FS ADDITIONAL DATA DISCRETIONARY DATA ES LRC
%

Formatcode

(2 Zeichen)

Kontonummer

(max. 19 Zeichen)
^

Name

(max. 26 Zeichen)
^

Zusätzliche Daten

Ablaufdatum (YYMM)
ServiceCode (SSS)

Vertrauliche Daten

PVKIPIN Verification Key Indicator1
PVVPIN Verification Value4
CVVCard Verification Value3
CVCCard Validation Code3
? Prüf-
ziffer

Spur 2

Die Belegung der Spur 2 wurde von der "American Bankers Association (ABA)" entwickelt.

SS PAN FS ADDITIONAL DATA DISCRETIONARY DATA ES LRC
0xB

Kontonummer

(max. 19 Zeichen)
0xD

Zusätzliche Daten

Ablaufdatum (YYMM)
ServiceCode (AAA)

Vertrauliche Daten

PVKIPIN Verification Key Indicator1
PVVPIN Verification Value4
CVVCard Verification Value3
CVCCard Validation Code3
0xF Prüf-
ziffer

Spur 3 (ISO 4909)

SS FC PAN FS USE AND SECURITY DATA ADDITIONAL DATA ES LRC
0xB

Formatcode

(2 Zeichen)

Kontonummer

(max. 19 Zeichen)
0xD

Sicherheits-Daten

Country Code (opt.)3
Currency Code3
Currency Exponent1
Amount Authorized per Cycle4
Amount Remaining this Cycle4
Cycle Begin (Validity Date)4
Cycle Length2
Retry Count1
PIN Control Parameters (opt.)6
Interchange Controls1
PAN Service Restriction2
SAN-1 Service Restriction2
SAN-2 Service Restriction2
Expiration Date (opt.)4
Card Sequence Number1
Card Security Number (opt.)9

Zusätzliche Daten

First subsidiary Account Number (opt.) 
Secondary Subsidiary Account Number (opt.) 
Relay Marker1
Cryptographic Check Digits (opt.)6
Discretionary Data 
0xF Prüf-
ziffer

Magnetstreifen-Daten einer Postcard

Der Magnetstreifen der Postcard ist schmaler als auf ec-Karten und enthält keine Spur 3. Lesen wir den Magnetstreifen einer Postcard aus, werden nur auf Spur 2 Daten gefunden:

Spur 2

;5016230000023420815=09081004196603030?>

Damit können wir die Daten analysieren:

Feld Wert Bemerkung
PAN 5016230000023420815 Erweiterte Kartennummer
Ablaufdatum 0908 August 2009
ServiceCode 100
1 Available for international interchange.
0 Transactions are authorized following the normal rules.
0 No range restrictions and PIN required.
PVKI 4 Daten zur Offline-PIN-Validierung
PVV 1966
PostFinance-
Erweiterung
0303  
0 Zu Testen: PIN-Fehlversuchszähler?

Analyse der Magnetstreifen-Daten

Die letzten vier Felder des Magnetstreifen-Datensatzes sind besonders interessant:

PIN-Validierung

Mit den Werten PVKI und PVV kann ein ATM die PIN-Validierung durchführen. Dazu wird aus der PAN mittels eines Verschlüsselungs-Verfahrens (DES) mit dem durch PKVI adressierten Schlüssel und einer Dezimalisierungstabelle ein sogenannter Natural PIN berechnet. Auf diesen wird der PVV addiert und die letzten vier Stellen mit dem eingegebenen PIN verglichen: Sind die Werte gleich, liegt die korrekte PIN vor.

Beispiel: Der Natural PIN sei 1594 und der PVV sei 1966; der korrekte einzugebende PIN ist dann 1594 + 1966 = 3560. Umgekehrt lässt sich der Natural PIN aus der eigenen PIN und dem gelesenen PVV berechnen: Sei die einzugebende PIN 4522 und der PVV sei 1966, dann hat die Natural PIN den Wert 4522 - 1966 = 2666.

Karten-Validierung

CVV (Visa) und CVC (Mastercard) sind kryptographische Quersummen über den Dateninhalt und sollen Manipulationen verhindern. Sowohl der DES-basierte CVV als auch der CVC (96-Zeichen Schlüssel) wurden kompromittiert.