No że q... ćam :-(
Kto to wymyślił?
Jesteś w środku niczego i musisz ustalić sobie dzisiejszy cvv do własnej posiadanej
od lat karty :-(

Wg dezinfolinii "wszystkie karty wszystkich banków tak mają".
No nie mają.

do góry

On Tue, 15 Jul 2025 12:16:26 +0200, ąćęłńóśźż wrote:
> No że q... ćam :-(
> Kto to wymyślił?
> Jesteś w środku niczego i musisz ustalić sobie dzisiejszy cvv do własnej posiadanej
od lat karty :-(
>
> Wg dezinfolinii "wszystkie karty wszystkich banków tak mają".
> No nie mają.

Ale może "powinny miec" ?

Taki CVV to w zasadzie żadne zabezpieczenie, szczególnie, że
generowany algorytmem ...

J.

do góry

On Tue, 15 Jul 2025, ąćęłńóśźż wrote:

> No że q... ćam :-(
> Kto to wymyślił?
> Jesteś w środku niczego i musisz ustalić sobie dzisiejszy cvv do własnej
> posiadanej od lat karty :-(

No ja naprawdę podziwiam twoje szczęście w życiu.
Oraz dyskrecję - jak zwykle nie napisałeś, co to za bank.

Tylko tak się zastanawiam z tym środkiem niczego...
Bo dzisiaj chyba też nie miałeś internetu, a ten post to telepatycznie się
pojawił.
No jeszcze można sobie wyobrazić robienie zamówienia "mail order" przez
Overland Pony Express...
Ewentualnie "telephone order" w miejscu, gdzie linia telefoniczna jest,
ale tzw. "internetu" bez stacji starlinka lub innego telefonu
satelitarnego jednak nie uświadczysz?
Sławosz wrócił już z orbity, więc raczej nie jesteś jego alter-ego, no
chyba że to właśnie reminescencje z pobytu na ISS (ale czy tam nie ma
"internetu"? Już Challenger się był wziął i popsuł niestety mocno
skutecznie bo się spieszyli z satelitą TDRS, a wtedy to jeszcze w PL o
internecie można był pomarzyć, nawet nie wiem, czy bitnet i fido już były,
prędzej stan wojenny) - w takim razie zazdraszczam bardzo.
Chyba że CVV ma jeszcze inne zastosowanie niż MO/TO/IO (z czego MO i TO to
już anegdotycznie, stąd pewnie w ogóle pomysł zmiennego CVV) i mój sarkazm
jest zdecydowanie nie na miejscu, lub wręcz robię z siebie publicznie
idiotę?

> Wg dezinfolinii "wszystkie karty wszystkich banków tak mają".
> No nie mają.

No tym bardziej na takie dictum acerbum trzeba napisać, jaki to bank.
Inna sprawa że mogli cię uratować przed fraudem.

A ty to jedną kartę masz?

do góry

"J.F" <j...@p...onet.pl> writes:

> Taki CVV to w zasadzie żadne zabezpieczenie, szczególnie, że
> generowany algorytmem ...

Domyślam się, że chodzi o CVV2 (aczkolwiek CVV jest zapewne podobnie
generowany). A czym miałby być generowany jak nie algorytmem?
Klucze szyfrujące też są generowane algorytmem.
--
Krzysztof Hałasa

do góry

On Wed, 16 Jul 2025 00:11:48 +0200, Krzysztof Hałasa wrote:
> "J.F" <j...@p...onet.pl> writes:
>> Taki CVV to w zasadzie żadne zabezpieczenie, szczególnie, że
>> generowany algorytmem ...
>
> Domyślam się, że chodzi o CVV2 (aczkolwiek CVV jest zapewne podobnie
> generowany). A czym miałby być generowany jak nie algorytmem?
> Klucze szyfrujące też są generowane algorytmem.

Google ma podobno scianę "Lava lamp" do generacji kluczy.

To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
karcie. Więc żadne zabezpieczenie.


P.S.
https://en.wikipedia.org/wiki/Card_security_code

"As a security measure, merchants who require the CVV2 for "card not
present" transactions are required by the card issuer not to store the
CVV2 once the individual transaction is authorized.[12] This way, if a
database of transactions is compromised, the CVV2 is not present and
the stolen card numbers are less useful. "


Taa ...
-może i nie przechowują,
-czyli cykliczne obciążenia się robi bez CVV2 ...

J.

do góry

"J.F" <j...@p...onet.pl> writes:

[...]
>
> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
> karcie. Więc żadne zabezpieczenie.

A jakieś źródło tej rewelacji?
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
There are more dead people than living, and their numbers are increasing.
-- Eugene Ionesco

do góry

On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
> [...]
>>
>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>> karcie. Więc żadne zabezpieczenie.
>
> A jakieś źródło tej rewelacji?


np

https://www.chargebackgurus.com/blog/cvv2
https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html


A jak się ktoś odważy
https://neapay.com/online-tools/calculate-cvv-cvc-ic
vv-cvv2-cvc2-dcvv.html

ale trzeba znać jakiś MDK ...

J.

do góry

"J.F" <j...@p...onet.pl> writes:

> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>> "J.F" <j...@p...onet.pl> writes:
>> [...]
>>>
>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>> karcie. Więc żadne zabezpieczenie.
>>
>> A jakieś źródło tej rewelacji?
>
>
> np
>
> https://www.chargebackgurus.com/blog/cvv2
> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html

Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
to nie jest tak, że zalezy tylko od innych cyferek na karcie.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
HOW YOU CAN TELL THAT IT'S GOING TO BE A ROTTEN DAY:
#1040 Your income tax refund cheque bounces.

do góry

Wyobraź sobie sytuację pierwszą z brzegu: kupujesz coś z tabletu bez sim działającego
pod wifi.
Aplikacja bankowa (przynajmniej tego banku wg dezinfolinii) nie działa aktywnie pod
wifi, potrzebuje sim (bez sim możesz sobie
pooglądać obrazki i poczytać cyferki).
Zrozumiał?
Albo wziąłeś viagrę i chcesz panience zapłacić lub zonie kolię kupić, a tu nagle w
banku trzeba przejść procedurę nadawania nowego
cvv i viagra poszła się nomen omen j...ć ;-)

BTW zrób doktorat z apek bankowych bez sim ;-)
Bo mogą nie mieć racji.
No może da się przeglądarkę odpalić z systemem banku.


-----
> Tylko tak się zastanawiam z tym środkiem niczego...
> Bo dzisiaj chyba też nie miałeś internetu, a ten post to telepatycznie się pojawił.
> No jeszcze można sobie wyobrazić robienie zamówienia "mail order" przez Overland
Pony Express...
> Ewentualnie "telephone order" w miejscu, gdzie linia telefoniczna jest, ale tzw.
"internetu" bez stacji starlinka lub innego
> telefonu satelitarnego jednak nie uświadczysz?

do góry

On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>> "J.F" <j...@p...onet.pl> writes:
>>> [...]
>>>>
>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>> karcie. Więc żadne zabezpieczenie.
>>>
>>> A jakieś źródło tej rewelacji?
>>
>> np
>>
>> https://www.chargebackgurus.com/blog/cvv2
>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>
> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
> to nie jest tak, że zalezy tylko od innych cyferek na karcie.

I myśliśz, że bank za każdą kartą zmienia?
Czy raczej raz na parę lat, albo wcale?

No ale jeżeli to pisze Amazon, w kontekscie weryfikacji kart,
to ten algorytm i klucz jest chyba jakos bardziej powszechnie znany ?

Dobra - to jest chyba dla developerów współpracującyh z Amazon i tyczy
się nie bardzo wiadomo czego.
Czyli wracamy do pierwszego linka, i innych, i np AI


https://developer.visa.com/capabilities/pav/docs-how
-to
"The Card Verification Value 2 (CVV2) is the three-digit security code
that is printed on the signature panel of every Visa card. The CVV2
value is calculated using a secure cryptographic process and a key
that is known only to the issuer and to Visa.
You can use the CVV2 Validation service to determine if the issuer of
the account recognizes the CVV2 value given to you by the user of your
project. This will help you to verify that the cardholder has the
physical card in their possession. CVV2 Validation is primarily used
in the e-commerce or other card-not-present environments, but can also
be used in a card-present environment if you are unable to obtain a
magnetic stripe or chip read. CVV2 validation is one of the options
you can select when you use the Payment Account Validation API. "

Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
są tajne, nie wyciekły ani z banku, ani z Visy/MC, i trudno będzie
hackerom znaleźć CVV2 na podstawie innych danych ?
A publikowane algorytmy są raczej poglądowe, bo bez kluczy mało
użyteczne?

Ale, jeśli dobrze myślę/liczę, to wystarczy znac kilkanaście nr kart i
ich CVV2 z jednego banku, aby ten tajny klucz metodą brute force
ustalić :-)
Szczęśliwie to brute force wychodzi nieprzyzwoicie długie ... ciągle
jeszcze

J.

do góry