Article View: pl.biznes.banki
Article #399735Re: Zmienny cvv
From: "J.F"
Date: Wed, 16 Jul 2025 14:16
Date: Wed, 16 Jul 2025 14:16
58 lines
2613 bytes
2613 bytes
On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote: > "J.F" <jfox_xnospamx@poczta.onet.pl> writes: >> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote: >>> "J.F" <jfox_xnospamx@poczta.onet.pl> writes: >>> [...] >>>> >>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na >>>> karcie. Więc żadne zabezpieczenie. >>> >>> A jakieś źródło tej rewelacji? >> >> np >> >> https://www.chargebackgurus.com/blog/cvv2 >> https://docs.aws.amazon.com/payment-cryptography/latest/userguide/use-cases-issuers.generalfunctions.cvv2.html > > Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania > pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc > to nie jest tak, że zalezy tylko od innych cyferek na karcie. I myśliśz, że bank za każdą kartą zmienia? Czy raczej raz na parę lat, albo wcale? No ale jeżeli to pisze Amazon, w kontekscie weryfikacji kart, to ten algorytm i klucz jest chyba jakos bardziej powszechnie znany ? Dobra - to jest chyba dla developerów współpracującyh z Amazon i tyczy się nie bardzo wiadomo czego. Czyli wracamy do pierwszego linka, i innych, i np AI https://developer.visa.com/capabilities/pav/docs-how-to "The Card Verification Value 2 (CVV2) is the three-digit security code that is printed on the signature panel of every Visa card. The CVV2 value is calculated using a secure cryptographic process and a key that is known only to the issuer and to Visa. You can use the CVV2 Validation service to determine if the issuer of the account recognizes the CVV2 value given to you by the user of your project. This will help you to verify that the cardholder has the physical card in their possession. CVV2 Validation is primarily used in the e-commerce or other card-not-present environments, but can also be used in a card-present environment if you are unable to obtain a magnetic stripe or chip read. CVV2 validation is one of the options you can select when you use the Payment Account Validation API. " Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe, są tajne, nie wyciekły ani z banku, ani z Visy/MC, i trudno będzie hackerom znaleźć CVV2 na podstawie innych danych ? A publikowane algorytmy są raczej poglądowe, bo bez kluczy mało użyteczne? Ale, jeśli dobrze myślę/liczę, to wystarczy znac kilkanaście nr kart i ich CVV2 z jednego banku, aby ten tajny klucz metodą brute force ustalić :-) Szczęśliwie to brute force wychodzi nieprzyzwoicie długie ... ciągle jeszcze J.
Message-ID:
<1oze92r7zkr0e$.1l2ab8u3q11cm.dlg@40tude.net>Path:
polish.pugleaf.net!archive.newsdeef.eu!ygg-lux.newsdeef.eu!lux-feed1.newsdeef.eu!srl.newsdeef.eu!weretis.net!feeder8.news.weretis.net!news.chmurka.net!.POSTED.83.4.74.229.neoplus.adsl.tpnet.pl!not-for-mailReferences:
<10559pr$ots$1@news.chmurka.net> <1295im0j6xxtq.15lmje5gwvun0$.dlg@40tude.net> <87ldop6r4r.fsf@intrepid.localdomain> <rj3dmt99q5qe.1p1mz5negffv2.dlg@40tude.net> <87wm88349z.fsf@alfa.kjonca> <13nb23d9oqdp3.p175ze2xrcqi$.dlg@40tude.net> <87jz482z0b.fsf@alfa.kjonca>