Dawid Rutkowski <d...@w...pl> writes:

> Kiedyś czytałem gdzieś, że CVV generowane jest na podstawie numeru
> karty i daty ważności. W sumie byłaby to oczywista głupota, taki
> algorytm byłby złamany, jeśliby wcześniej nie wyciekł.

Ktoś to wyssał z palca. Wystarczyłoby przecież wydobyć to z byle
terminala. Ale niczego takiego nie ma.

> A może to właśnie spowodowało rezygnację z CVV i przejście na CVV2,
> które jest losowe?

Nie było żadnej rezygnacji, zarówno CVV (na pasku magnetycznym) jak CVV2
cały czas są losowe.

> Ew. z cyfrą kontrolną - zabezpieczenie 1/100 jest przy kupowaniu w necie
wystarczająco dobre.

Tak sobie. Wyobraź sobie, że masz 1000 "lewych" numerów kart, 1/1000
jest jednak nieco korzystniejsze.

> A przy cyfrze kontrolnej upieram się, bo tak naprawdę to numery kart
> są zawsze 19-cyfrowe:
> - 16 cyfr numeru karty dla visa i mc + 3 cyfry CVV2/CVC2

A czemu tak? 16 cyfr to jest numer konta karty. To już lepiej dodać do
tego datę ważności, bo wraz z numerem głównym identyfikuje to konkretną
kartę. CVV2 teoretycznie może być np. zmienne. Inne CVV mogą być zmienne
nawet nie tylko teoretycznie (generowane przez procesor karty, albo
np. telefonu). CVV2 to tylko dodatkowe zabezpieczenie, wiele sklepów
tego w ogóle nie wymaga (w szczególności wszystkie sklepiki, które
"nabijają" transakcje ręcznie używając klawiatury terminala).

> A dynks polega na tym, że do transakcji żelazkiem wystarcza te 16/15
> cyfr numerukarty + data ważności.

Nawet niekoniecznie data ważności. Do obciążenia bez autoryzacji
wystarczy sam numer karty.

> I ponieważ do przepisania mogą być i 15/16 cyfrowe numery i
> 19-cyfrowe, to i 15/16-cyfrowy i 19-cyfrowy swoją cyfrę kontrolną
> muszą mieć.
> A cyfra kontrolna numeru 19-cyfrowego wyliczana jest również na
> podstawje cyfry kontrolnej numeru 15/16-cyfrowego (więc inaczej niż
> np. W ISBN i "książkowym" EAN-13).

Rozumowanie może jest i ciekawe, ale wadliwe.

> Potrzebne jest zawsze gdy trzeba jakiś długi numer przepisać.

To już ideologia.

> Numer konta znaleźliśmy pewnie w jakimś internecie, ale kazałem
> zadzwonić i powiedzieć pani, że opowiada głupoty, bo teraz numery kont
> mają liczby kontrolne i jak się ktoś nawet pomyli przy zapisywaniu, to
> od razu to wyjdzie - czy to przy przelewie przez net, czy nawet przy
> wpłacie na poczcie.

Wyjdzie - z prawdopodobieństwem 99% (czy jakoś tak, zależnie od tego,
w jaki sposób ktoś ma się pomylić).
W przypadku kart cyfra kontrolna jest jedna, szansa na "przejście" jest
nieco większa.

Tak czy owak, terminale nie analizują CVV2, tylko wysyłają to w całości
do banku. Zresztą łatwo przecież sprawdzić.
--
Krzysztof Hałasa