Jeszcze do do cyfry kontrolnej w CVV2/CVC2 zastanawiam się nad kartami wydawanymi "od
ręki".
Sam miałem:
- płaską kredytówkę z "punktu" bnp,
- wypukłą debetówkę citi
a słyszałe jeszcze o:
- "karta tymczasowa" mBąka,
- bezimienna debetówka getout (można 5 bezpłatnych i 5 płatnych do jednego konta)

A sprawa rozbija się o generowanie i nadruk CVV2/CVC2 podczas personalizowania karty
przy wydaniu - i wynikającą z tego możność lub niemożność tego, by CVV2 zawierało
cyfrę kontrolną liczoną również na podstawie numeru karty.

mBąk i getout to nie problem - karty leżą gotowe, z numerem, datą ważności i CVV2 (i,
w przypadku mBąka, "imieniem i nazwiskiem" brzmiącymi "karta tymczasowa").

W bnp pani miała w kopercie gotową kartę z numerem, datą (z lekkim wyprzedzeniem,
karta była ważna 3 lata i chyba 2 miesiące) i CVC2, drukowała tylko imię i nazwisko.

Ale ferment wprowadza citek - tutaj można podejrzewać, że embosują również numer - a
to stąd, że żona dostała w oddziale debetówkę do citi priority ze złoconymi literkami
- a ja dostałem pocztą ze srebrnymi.
No i teraz pytanie, czy blankiet miał już nadrukowane CVC2?
Chyba że i tak było z góry wiadomo, jaki ten blankiet ma dostać numer karty.
Albo może numer już był embosowany na karcie na złoto, bo tak robią wszystkim kartom
wysyłanym do oddziałów, żeby nie musieli taśmy zmieniać?

Hmm, no to nadal nie wiadomo.

do góry

W dniu niedziela, 8 listopada 2020 12:14:03 UTC+1 użytkownik Kamil Jońca napisał:
> Dawid Rutkowski writes:
>
> > W dniu niedziela, 8 listopada 2020 11:53:04 UTC+1 użytkownik Kamil Jońca napisał:
> >> Dawid Rutkowski writes:
> >>
> >> > W dniu niedziela, 8 listopada 2020 02:18:39 UTC+1 użytkownik Krzysztof Halasa
napisał:
> >> >> Dawid Rutkowski writes:
> >> >>
> >> >> > Zaś samo CVC2/CVV2 111 to szansa 1/1000, tyle kart to w PL pewnie
> >> >> > dziennie wydają nowych (bo wznawiają dobrze pobad 20k).
> >> >> > Choć nie wiem, czy ostatnia cyfra nie jest kontrolna - ale widać
> >> >> > algorytm nie przewidział, by wynik nie mógł składać się z trzech
> >> >> > takich samych cyfr.
> >> >>
> >> >> Tam nie ma żadnej cyfry kontrolnej, wszystkie cyfry (cała liczba)
> >> >> powinna być losowa i każda wartość powinna być jednakowo prawdopodobna.
> >> >> I zapewne tak jest, jeśli ktoś czegoś nie skwasił.
> >> >
> >> > Kiedyś czytałem gdzieś, że CVV generowane jest na podstawie numeru karty i
daty ważności. W sumie byłaby to oczywista głupota, taki algorytm byłby złamany,
jeśliby wcześniej nie wyciekł.
> >> > A może to właśnie spowodowało rezygnację z CVV i przejście na CVV2, które jest
losowe?
> >> > Ew. z cyfrą kontrolną - zabezpieczenie 1/100 jest przy kupowaniu w necie
wystarczająco dobre.
> >> >
> >> > A przy cyfrze kontrolnej upieram się, bo tak naprawdę to numery kart są zawsze
19-cyfrowe:
> >> > - 16 cyfr numeru karty dla visa i mc + 3 cyfry CVV2/CVC2
> >> > - 15 cyfr numeru karty dla amex + 4 cyfry jak-tam-ten-kod-się-nazywa
> >> Diners ma 15 cyfr + 3 cyfry "CVV" więc Twoja teoria jest nieprawdziwa.
> >
> > To nie "moja teoria" tylko ISO/IEC 7812.
> > Jedynie w uproszczeniu przedstawiłem - numery do 2017 mogły mieć od 8 do 19 cyfr,
teraz od 10 do 19.
>
> Nie kłam. Nie napisałeś "od 10 do 19" tylko "zawsze 19".

"Zawsze" było w sensie, że nie 15 czy 16, tylko właśnie 19, bo do numeru wlicza się
też CVV2/CVC2.
Nie sądziłem, że ktoś dinersem pojedzie, albo 13-cyfrową visą (ciekawe, kto takie
wydaje, może to już tylko infinite, ale raczej nie getoutowskie czy skarbonkowe ;)
Ale wcale nie jest wykluczone, że z tym wliczaniem nie nazmyślałem, bo są karty,
które mają 19-cyfrowe numery. Choć nie wiem, czy takie karty mają odpowiednik CVV2 -
może właśnie mieć nie mogą?

do góry

IMO oni sami nadają pin, nie musisz nadawać nowego, lecz użyj funkcji "podgląd".
Użyłeś podglądu czy nadałeś własny?


-----
> możesz aktywować kartę kodem e-mail, to jednak bez telefonu jej nie zamówisz - przy
zamawianiu obowiązkowy kod SMS.

do góry

W dniu niedziela, 8 listopada 2020 17:00:05 UTC+1 użytkownik ąćęłńóśźż napisał:
> IMO oni sami nadają pin, nie musisz nadawać nowego, lecz użyj funkcji "podgląd".
> Użyłeś podglądu czy nadałeś własny?

Nie widziałem tego "podglądu" w ST.
W sumie taką funkcję widziałem tylko w apce curve.

W sumie to każda karta ma nadany PIN.
Dla nowych bywa wysyłany w kopercie, wznawianym mądre banki ustawiają taki, jaki ma
karta kończąca ważność (mądre - bo chyba trafił mi się i taki, co tak nie robił).

"Nadanie PINu" jest więc de facto jego zmianą - ew. rozróżnienie jest dla celów TOiP,
bo są banki, gdzie zmiana PIN wciąż jest płatna (oczywiście wysyłają PIN w kopercie).
Np. santander ostrzega, że w przypadku "nadania PIN w ST" może przy pierwszej
płatności być konieczność podania go 4 razy!

Więc i "podgląd" dla nowej karty powinien być możliwy.

Ale po co Ci to?
Przecież telefon jest potrzebny do ZAMÓWIENIA karty.
Aktywację i nadanie/zmianę PIN można potwierdzić kodem z e-maila.

do góry

A była jakaś rozmowa o telefonie?

Z "podglądem" to różnie bywa, często gęsto czegoś zapomnianego nie można podejrzeć
lub odzyskać, a co najwyżej zmienić na nowe
(wiele haseł itp. itd.)


-----
> Przecież telefon jest potrzebny do ZAMÓWIENIA karty.

do góry

W dniu niedziela, 8 listopada 2020 18:56:44 UTC+1 użytkownik ąćęłńóśźż napisał:
> A była jakaś rozmowa o telefonie?

Była.

> Z "podglądem" to różnie bywa, często gęsto czegoś zapomnianego nie można podejrzeć
lub odzyskać, a co najwyżej zmienić na nowe

A jaki to problem zmienić PIN jak i tak zapomnisz?
Chyba że to płatna operacja.

Ogólna rada - ten sam PIN do wszystkich kart.

do góry

Dawid Rutkowski <d...@w...pl> writes:

[...]

>> >> > A przy cyfrze kontrolnej upieram się, bo tak naprawdę to numery kart są
zawsze 19-cyfrowe:
>> >> > - 16 cyfr numeru karty dla visa i mc + 3 cyfry CVV2/CVC2
>> >> > - 15 cyfr numeru karty dla amex + 4 cyfry jak-tam-ten-kod-się-nazywa
>> >> Diners ma 15 cyfr + 3 cyfry "CVV" więc Twoja teoria jest nieprawdziwa.
>> >
>> > To nie "moja teoria" tylko ISO/IEC 7812.
>> > Jedynie w uproszczeniu przedstawiłem - numery do 2017 mogły mieć od 8 do 19
cyfr, teraz od 10 do 19.
>>
>> Nie kłam. Nie napisałeś "od 10 do 19" tylko "zawsze 19".
>
> "Zawsze" było w sensie, że nie 15 czy 16, tylko właśnie 19, bo do numeru wlicza się
też CVV2/CVC2.

Może po prostu przyznaj się do błędu, zamiast usprawiedliwiać się w
bezsensowny sposób.
KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Kiedyś czytałem gdzieś, że CVV generowane jest na podstawie numeru
> karty i daty ważności. W sumie byłaby to oczywista głupota, taki
> algorytm byłby złamany, jeśliby wcześniej nie wyciekł.

Ktoś to wyssał z palca. Wystarczyłoby przecież wydobyć to z byle
terminala. Ale niczego takiego nie ma.

> A może to właśnie spowodowało rezygnację z CVV i przejście na CVV2,
> które jest losowe?

Nie było żadnej rezygnacji, zarówno CVV (na pasku magnetycznym) jak CVV2
cały czas są losowe.

> Ew. z cyfrą kontrolną - zabezpieczenie 1/100 jest przy kupowaniu w necie
wystarczająco dobre.

Tak sobie. Wyobraź sobie, że masz 1000 "lewych" numerów kart, 1/1000
jest jednak nieco korzystniejsze.

> A przy cyfrze kontrolnej upieram się, bo tak naprawdę to numery kart
> są zawsze 19-cyfrowe:
> - 16 cyfr numeru karty dla visa i mc + 3 cyfry CVV2/CVC2

A czemu tak? 16 cyfr to jest numer konta karty. To już lepiej dodać do
tego datę ważności, bo wraz z numerem głównym identyfikuje to konkretną
kartę. CVV2 teoretycznie może być np. zmienne. Inne CVV mogą być zmienne
nawet nie tylko teoretycznie (generowane przez procesor karty, albo
np. telefonu). CVV2 to tylko dodatkowe zabezpieczenie, wiele sklepów
tego w ogóle nie wymaga (w szczególności wszystkie sklepiki, które
"nabijają" transakcje ręcznie używając klawiatury terminala).

> A dynks polega na tym, że do transakcji żelazkiem wystarcza te 16/15
> cyfr numerukarty + data ważności.

Nawet niekoniecznie data ważności. Do obciążenia bez autoryzacji
wystarczy sam numer karty.

> I ponieważ do przepisania mogą być i 15/16 cyfrowe numery i
> 19-cyfrowe, to i 15/16-cyfrowy i 19-cyfrowy swoją cyfrę kontrolną
> muszą mieć.
> A cyfra kontrolna numeru 19-cyfrowego wyliczana jest również na
> podstawje cyfry kontrolnej numeru 15/16-cyfrowego (więc inaczej niż
> np. W ISBN i "książkowym" EAN-13).

Rozumowanie może jest i ciekawe, ale wadliwe.

> Potrzebne jest zawsze gdy trzeba jakiś długi numer przepisać.

To już ideologia.

> Numer konta znaleźliśmy pewnie w jakimś internecie, ale kazałem
> zadzwonić i powiedzieć pani, że opowiada głupoty, bo teraz numery kont
> mają liczby kontrolne i jak się ktoś nawet pomyli przy zapisywaniu, to
> od razu to wyjdzie - czy to przy przelewie przez net, czy nawet przy
> wpłacie na poczcie.

Wyjdzie - z prawdopodobieństwem 99% (czy jakoś tak, zależnie od tego,
w jaki sposób ktoś ma się pomylić).
W przypadku kart cyfra kontrolna jest jedna, szansa na "przejście" jest
nieco większa.

Tak czy owak, terminale nie analizują CVV2, tylko wysyłają to w całości
do banku. Zresztą łatwo przecież sprawdzić.
--
Krzysztof Hałasa

do góry

Np. taki, że *PO ZMIANIE* na www wyskoczy komunikat "w POS zmiana może być
niewidoczna, użyj bankomatu" (jakby nie mogli uprzedzić z
góry).
Idziesz coś pilnie kupić w InMedio, wprowadzasz nowy PIN, d... blada.
Mówisz "chwileczkę", idziesz do bankomatu PKO BP obok, wkładasz kartę, na ekranie
wielki czerwony napis "karta nierozpoznana,
skontaktuj się z Twoim bankiem", łaskawca że państwomat laskę zrobił i nie połknął
(chyba przepisy Covid).
No to przechodzisz do bankomatu Euronet obok, wstukujesz nowy PIN, bla bla przyjęło
ile chcesz wypłacić, robisz cancel (bo nie
chcesz cashu), wracasz do sklepu, wklepujesz ten nowy PIN co właśnie wszedł w
bankomacie... błąs..., sprzedawca patrzy na Ciebie
podejrzliwie, wyraźnie chce zabrac kartę, ale co gorsza Ty jeszcze bardziej chcesz
zapłacić.
Ostatnia szara komórka telepie Ci "wprowadź ten stary PIN" i bingo, stary pin
wchodzi, zapłaciłeś w InMedio starym nieaktualnym
pinem :-))
Natychmiast idziesz na zakupy do Carrefour naprzeciwko, płacisz, wklepujesz... no
przecież stary pin, zonk, odmowa
Wklepujesz nowy pin, działa :-)
No ja pierdolę :-)))


-----
> A jaki to problem zmienić PIN jak i tak zapomnisz?

do góry

W dniu poniedziałek, 9 listopada 2020 10:33:05 UTC+1 użytkownik ąćęłńóśźż napisał:

> > A jaki to problem zmienić PIN jak i tak zapomnisz?

> Np. taki, że *PO ZMIANIE* na www wyskoczy komunikat "w POS zmiana może być
[...]
> No ja pierdolę :-)))

No piękna historia, sam napisałeś czy skopiowałeś?
Tyle że kupy/tematu się nie trzyma, bo podobno stary PIN jest zapomniany.
Widać skopiowałeś.
Ciekawe w takim razie, po co autor oryginał w ogóle ten PIN zmieniał, skoro nie
zapomniał?

Inne ciekawostki:
- "państwomat" (no to akurat jedno dobre w tym opowiadaniu ;) zapewne był popsuty,
- w euronecie - zrób test, jak się nie boisz (albo weź nieważną kartę), i wstukaj
sobie dowolny PIN na wejściu - najprawdopodobniej łyknie i przejdzie do wyboru kwoty,
- bankomat do banku wysyła PIN dopiero przy autoryzacji (a PINu offline to w ogóle
nie stosuje) - a skoro było "cancel, bo nie chcesz cashu" to ani nic do banku nie
poszło, ani nic z banku nie przyszło, więc PIN offline nie mógł się zmienić - dużo
razy było o tym na p.b.b., że jak chcesz na pewno przeprogramować chip, to nie PIN i
cancel - jedynie próba wypłaty ponad dostępne środki da pewność, że nastąpiła
komunikacja z bankiem, zabawa obowiązkowa dla każdej karty przygotowywanej na wyjazd
zagraniczny (czy też gdzieś, gdzie może być potrzebny PIN offline, np. samolot czy
statek),
- nawet kiedyś spotkałem taki euronet, który o PIN zawołał dopiero po wybraniu kwoty
- na tyle mnie to przestraszyło, że nie podałem i zrezygnowałem z transakcji - widać
bankowcy wiedzę o odruchach Pawłowa mają i umówili się na bezsensowną, choć "wydającą
się bezpieczniejszą" kolejność ;P
- ciekawostka, że koleś akurat miał "tak dobrą kartę", że pozwalała na PIN offline -
i jednocześnie terminale w inmedio na to pozwalały,
- może rzeczywiście info na www niepełne, santander informuje, że może być konieczne
podanie nowego PINu 4 razy (3 próby offline, dopiero 4. idzie online)
- a carrefour mądry, tam od razu PIN online, po co kombinować.

do góry