Re: Zmienny cvv - Grupy dyskusyjne w eGospodarka.pl

Data: 2025-07-16 17:04:14
Temat: Re: Zmienny cvv
Od: Kamil Jońca <k...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
"J.F" <j...@p...onet.pl> writes:

> On Wed, 16 Jul 2025 15:24:25 +0200, Kamil Jońca wrote:
>> "J.F" <j...@p...onet.pl> writes:
>>> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>>>> "J.F" <j...@p...onet.pl> writes:
>>>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>>> [...]
>>>>>>>
>>>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>>>> karcie. Więc żadne zabezpieczenie.
>>>>>>
>>>>>> A jakieś źródło tej rewelacji?
>>>>>
>>>>> np
>>>>>
>>>>> https://www.chargebackgurus.com/blog/cvv2
>>>>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>>>>
>>>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>>>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>>>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>>>
>>> I myśliśz, że bank za każdą kartą zmienia?
>>> Czy raczej raz na parę lat, albo wcale?
>>
>> Ja myślę, że spokojnie może być inny klucz per transakcja.
>
> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?

Co to znaczy losoowy?
[...]

>>>
>>> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
>>> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
>>
>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>
> To chyba było z jakiejs innej strony - że issuer dostaje od "payment"
>
>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>> wysyłany do Visy - spełnia to.
>
> Tylko jaki miałoby to sens, przy zwykłych kartach?
> CVV2 jest jeden, się nie zmienia.

Cała dyskusja zaczęła się od tego że SIĘ ZMIENIA.

> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.

Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
kluczem.

> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
> to by Visa musiała sprawdzić losowy kod przydzielony przez
> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...

Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
kryptograficznego?

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Vests are to suits as seat-belts are to cars.