Auf der Rückseite der Karte befindet sich ein Magnetstreifen, der für Transaktionen an GAAs und POS-Terminals verwendet wird, die über keinen eingebauten Chipkartenleser verfügen oder die mit dem Chip der Postcard nicht umgehen können.
Magnetkartenleser und -schreiber sind im Fachhandel erhältlich; Software und Beschreibungen finden sich im Internet.
Die Daten sind auf dem Magnetstreifen in drei Spuren (Tracks) abgelegt; das Format der Daten auf den jeweiligen Spuren ist standardisiert. Speziell der Track 3 der Daten folgt dem Standard ISO 4909, der für Bankkarten verbindlich ist. Eine Beschreibung der Spuren finden Sie unter anderem hier.
| Spur | Dichte (BPI) | Kodierung | Umfang |
| 1 | 210 | 7 bit | 79 Alphanumerische Zeichen |
| 2 | 75 | 5 bit | 40 Numerische Zeichen |
| 3 | 210 | 5 bit | 107 Numerische Zeichen |
Die Belegung der Spur 1 wurde von der "International Air Transportation Association (IATA)" entwickelt.
| SS | FC | PAN | FS | CARDHOLDER NAME | FS | ADDITIONAL DATA | DISCRETIONARY DATA | ES | LRC | ||||||||||||
| % | Formatcode (2 Zeichen) |
Kontonummer (max. 19 Zeichen) |
^ | Name (max. 26 Zeichen) |
^ | Zusätzliche Daten Ablaufdatum (YYMM)ServiceCode (SSS) |
Vertrauliche Daten
|
? | Prüf- ziffer |
Die Belegung der Spur 2 wurde von der "American Bankers Association (ABA)" entwickelt.
| SS | PAN | FS | ADDITIONAL DATA | DISCRETIONARY DATA | ES | LRC | ||||||||||||
| 0xB | Kontonummer (max. 19 Zeichen) |
0xD | Zusätzliche Daten Ablaufdatum (YYMM)ServiceCode (AAA) |
Vertrauliche Daten
|
0xF | Prüf- ziffer |
| SS | FC | PAN | FS | USE AND SECURITY DATA | ADDITIONAL DATA | ES | LRC | ||||||||||||||||||||||||||||||||||||||||||
| 0xB | Formatcode (2 Zeichen) |
Kontonummer (max. 19 Zeichen) |
0xD | Sicherheits-Daten
|
Zusätzliche Daten
|
0xF | Prüf- ziffer |
Der Magnetstreifen der Postcard ist schmaler als auf ec-Karten und enthält keine Spur 3. Lesen wir den Magnetstreifen einer Postcard aus, werden nur auf Spur 2 Daten gefunden:
;5016230000023420815=09081004196603030?>
|
Damit können wir die Daten analysieren:
| Feld | Wert | Bemerkung | |||||||||
| PAN | 5016230000023420815 | Erweiterte Kartennummer | |||||||||
| Ablaufdatum | 0908 | August 2009 | |||||||||
| ServiceCode | 100 |
|
|||||||||
| PVKI | 4 | Daten zur Offline-PIN-Validierung | |||||||||
| PVV | 1966 | ||||||||||
| PostFinance- Erweiterung |
0303 | ||||||||||
| 0 | Zu Testen: PIN-Fehlversuchszähler? |
Die letzten vier Felder des Magnetstreifen-Datensatzes sind besonders interessant:
Mit den Werten PVKI und PVV kann ein ATM die PIN-Validierung durchführen. Dazu wird aus der PAN mittels eines Verschlüsselungs-Verfahrens (DES) mit dem durch PKVI adressierten Schlüssel und einer Dezimalisierungstabelle ein sogenannter Natural PIN berechnet. Auf diesen wird der PVV addiert und die letzten vier Stellen mit dem eingegebenen PIN verglichen: Sind die Werte gleich, liegt die korrekte PIN vor.
Beispiel: Der Natural PIN sei 1594 und der PVV sei 1966; der korrekte einzugebende PIN ist dann 1594 + 1966 = 3560. Umgekehrt lässt sich der Natural PIN aus der eigenen PIN und dem gelesenen PVV berechnen: Sei die einzugebende PIN 4522 und der PVV sei 1966, dann hat die Natural PIN den Wert 4522 - 1966 = 2666.
CVV (Visa) und CVC (Mastercard) sind kryptographische Quersummen über den Dateninhalt und sollen Manipulationen verhindern. Sowohl der DES-basierte CVV als auch der CVC (96-Zeichen Schlüssel) wurden kompromittiert.