Re: Zmienny cvv - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Zmienny cvv › Re: Zmienny cvv

Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.chmurka.net!.POSTED.83.4.74.229.ne
oplus.adsl.tpnet.pl!not-for-mail
From: "J.F" <j...@p...onet.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Zmienny cvv
Date: Wed, 16 Jul 2025 14:16:16 +0200
Organization: news.chmurka.net
Message-ID: <1oze92r7zkr0e$.1l2ab8u3q11cm.dlg@40tude.net>
References: <10559pr$ots$1@news.chmurka.net>
<1295im0j6xxtq.15lmje5gwvun0$.dlg@40tude.net>
<8...@i...localdomain>
<r...@4...net> <8...@a...kjonca>
<13nb23d9oqdp3.p175ze2xrcqi$.dlg@40tude.net> <8...@a...kjonca>
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit
Injection-Info: news.chmurka.net; posting-account="jfoxwr";
posting-host="83.4.74.229.neoplus.adsl.tpnet.pl:83.4.74.229";
logging-data="21659";
mail-complaints-to="abuse-news.(at).chmurka.net"
User-Agent: 40tude_Dialog/2.0.15.1
Cancel-Lock: sha1:TO8Dwur4Wqid1qHhcfKjgifnpN8=
sha256:LD8nqg7+B9qkBLBwD/wtenYh7HsqR3s6y9L+oAmO4vU=
sha1:or8mXrmD8edBavPd4+9eUy6Pw5o=
sha256:tHC19mRgHjMc+LPnYQf0OC+IgN05nQjyEeWo93c8dEg=
Xref: news-archive.icm.edu.pl pl.biznes.banki:672805
[ ukryj nagłówki ]
On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>> "J.F" <j...@p...onet.pl> writes:
>>> [...]
>>>>
>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>> karcie. Więc żadne zabezpieczenie.
>>>
>>> A jakieś źródło tej rewelacji?
>>
>> np
>>
>> https://www.chargebackgurus.com/blog/cvv2
>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>
> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
> to nie jest tak, że zalezy tylko od innych cyferek na karcie.

I myśliśz, że bank za każdą kartą zmienia?
Czy raczej raz na parę lat, albo wcale?

No ale jeżeli to pisze Amazon, w kontekscie weryfikacji kart,
to ten algorytm i klucz jest chyba jakos bardziej powszechnie znany ?

Dobra - to jest chyba dla developerów współpracującyh z Amazon i tyczy
się nie bardzo wiadomo czego.
Czyli wracamy do pierwszego linka, i innych, i np AI

https://developer.visa.com/capabilities/pav/docs-how
-to
"The Card Verification Value 2 (CVV2) is the three-digit security code
that is printed on the signature panel of every Visa card. The CVV2
value is calculated using a secure cryptographic process and a key
that is known only to the issuer and to Visa.
You can use the CVV2 Validation service to determine if the issuer of
the account recognizes the CVV2 value given to you by the user of your
project. This will help you to verify that the cardholder has the
physical card in their possession. CVV2 Validation is primarily used
in the e-commerce or other card-not-present environments, but can also
be used in a card-present environment if you are unable to obtain a
magnetic stripe or chip read. CVV2 validation is one of the options
you can select when you use the Payment Account Validation API. "

Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
są tajne, nie wyciekły ani z banku, ani z Visy/MC, i trudno będzie
hackerom znaleźć CVV2 na podstawie innych danych ?
A publikowane algorytmy są raczej poglądowe, bo bez kluczy mało
użyteczne?

Ale, jeśli dobrze myślę/liczę, to wystarczy znac kilkanaście nr kart i
ich CVV2 z jednego banku, aby ten tajny klucz metodą brute force
ustalić :-)
Szczęśliwie to brute force wychodzi nieprzyzwoicie długie ... ciągle
jeszcze

J.