🚀 go-pugleaf

On Wed, 16 Jul 2025 15:24:25 +0200, Kamil Jońca wrote:
> "J.F" <jfox_xnospamx@poczta.onet.pl> writes:
>> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>>> "J.F" <jfox_xnospamx@poczta.onet.pl> writes:
>>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>>> "J.F" <jfox_xnospamx@poczta.onet.pl> writes:
>>>>> [...]
>>>>>>
>>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>>> karcie. Więc żadne zabezpieczenie.
>>>>>
>>>>> A jakieś źródło tej rewelacji?
>>>>
>>>> np
>>>>
>>>> https://www.chargebackgurus.com/blog/cvv2
>>>> https://docs.aws.amazon.com/payment-cryptography/latest/userguide/use-cases-issuers.generalfunctions.cvv2.html
>>>
>>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>>
>> I myśliśz, że bank za każdą kartą zmienia?
>> Czy raczej raz na parę lat, albo wcale?
>
> Ja myślę, że spokojnie może być inny klucz per transakcja.

W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?

No ale teraz, jak CVV/C2 zmienne, to musieli coś zrobic ...
albo nic nie musieli, bo sprzedawca/agent rozliczeniowy nic z kluczami
sprawdzał, tylko słał do banku/wydawcy do sprawdzenia?

>> No ale jeżeli to pisze Amazon, w kontekscie weryfikacji kart,
>> to ten algorytm i klucz jest chyba jakos bardziej powszechnie znany ?
>>
>> Dobra - to jest chyba dla developerów współpracującyh z Amazon i tyczy
>> się nie bardzo wiadomo czego.
>> Czyli wracamy do pierwszego linka, i innych, i np AI
>>
>>
>> https://developer.visa.com/capabilities/pav/docs-how-to
>> "The Card Verification Value 2 (CVV2) is the three-digit security code
>> that is printed on the signature panel of every Visa card. The CVV2
>> value is calculated using a secure cryptographic process and a key
>> that is known only to the issuer and to Visa.
>> You can use the CVV2 Validation service to determine if the issuer of
>> the account recognizes the CVV2 value given to you by the user of your
>> project. This will help you to verify that the cardholder has the
>> physical card in their possession. CVV2 Validation is primarily used
>> in the e-commerce or other card-not-present environments, but can also
>> be used in a card-present environment if you are unable to obtain a
>> magnetic stripe or chip read. CVV2 validation is one of the options
>> you can select when you use the Payment Account Validation API. "
>>
>> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
>> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
>
> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,

To chyba było z jakiejs innej strony - że issuer dostaje od "payment"

> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
> wysyłany do Visy - spełnia to.

Tylko jaki miałoby to sens, przy zwykłych kartach?
CVV2 jest jeden, się nie zmienia.

Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.

Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
to by Visa musiała sprawdzić losowy kod przydzielony przez
bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...

J.