Проще сточить CVV код и нанести риски для нечитаемости лазерной гравировки.
При этом карта остаётся рабочей, правда могут возникнуть вопросы в родном российском банке,
где к тебе относятся как смерду, не имеющему права бесплатно и самостоятельно повышать безопасность.
Остальные банки не могут предьявить пртензий, на карте не написано что это их безраздельная собственность, все учетные данные совпадают с вашим загран паспортом.
Да и кто c картой за границей обращается в банк?
Просто мне интересно - ради безопасности можно стереть CVV код. При оффлайн транзакциях он не нужен, а нужен только для онлайн. Если карту украдут - одних лишь данных на карте хватит что бы вывести деньги через онлайн. Поэтому много инфы в инете по поводу "сотрите CVV". В оффлайне есть 2 способа вывода денег - через людей и через банкомат. Банкомату то пофиг на стёртый CVV, а вот люди могут забрать карточку и признать её без него юридически недействительной.
К чему я всё это написал - а что если стерев CVV написать на нём другой? Сам везде в онлайне пишешь реальный CVV, а на карте пусть другой написан будет. Ну, т.е. если он в оффлайне не нужен, то и верифицировать его нельзя, можно лишь наличие проверить. Существует ли способ у человека, которому даёшь карту на оплату, верифицировать этот CVV и верифицируют ли они его при получении карты? Т.е. я хочу узнать можно ли таким способом избежать возможности юридического забракования.
Не загоняйся. Никто в банке не смотрит на состояние карты пока сам не заявишь на замену... Даже подпись со временем стирается вместе со слоем для подписи.
Загонюсь. Это моя специальность - видеть недостатки в системах и придумывать как обезопасить их. Другое дело что я никогда ещё не интересовался как обезопасить банковские карты, поэтому и задаю такие вопросы, может кто уже знает ответ.
Ты сейчас предлагаешь обезопасить карты от банка владельца. Серьезно, если они захотят твои деньги, то просто поменяют единички на нули в компьютерах, но им это ни к чему.
Я чётко представляю себе зачем это нужно и чего можно этим добиться - этот способ обезопасит CVV в случае его компрометации посторонним лицом, которая может быть в случае утраты карты либо в случае переписывания с неё данных злоумышленником и возврата карты владельцу (например в каком-нибудь ресторане, когда официант унёс карту, произвёл оплату, заодно данные скопировал, и вернул карту владельцу). От чего этот способ не поможет - от дурака, от фишинга.
Я же спрашиваю за юридические последсвтия такого способа.
Вам нужно понять одну простую вещь - всё что удобно для вас, удобно для злоумышленника вдвойне.
По поводу измененной карты - банку глубоко похуй на этот кусок пластика. На соответствие cvv не смотрит никто. Да и вообще, при обращениях в банк карту предъявить просят наверное только в 2/5% случаев. Т.к. все данные по карте они выводят себе по вашим документам. А сам пластик - фи.
так что, курочь его как хочешь. Я свою одну наклейками обклеивал. Другая у меня расползлась по слоям от старости, там бахрома, тут куска нет. Всем пох. Говорят: захотите - перевыпустим
Есть ещё вариант. "Лимит на оплату в Интернет" - который не позволяет оплатить при помощи CV2 кода больше определённой суммы. На картах которые нужно обезопасить он устанавливается в 0, и меняется когда надо сделать оплату.
Как уже написали выше. Никаких реальных юридических последствий у этого способа нет. Можешь даже аккуратно вырезать этот кусок карты.
Ну а те кто в банке до этого докопаются, ну тут сам виноват. Это уже когда тётку за стойкой в край достанешь. Но она тут может даже докопаться по поводу обшарпаных краёв карты или до того, что у тебя носки не того цвета. Короче если захочет тебе жизнь усложнить - усложнит и ничего ты с этим не поделаешь. Хотя сейчас во всех банках работают милые девицы, а то что у клиента есть голосовалка для оценки качества обслуживания заставляет их почти что мёдом тебя поливать и облизывать. Так что хоть в жопе карточку носи.
Чувак. Тем кто спиздит твою карту, достаточно будет просто затаварится на все деньги у частного коммерса с терминалом paywave. просто проведут карточкой над терминалом и гудбай денежки. Потом конечно можно узнать где их потратили. Но сам факт.
Ещё до появления paywave я случайно узнал что вводя свой пинкод - я никак не влияю на оплату. Просто введя неверный пинкод и вместо ввод, нажав на кассе cancel. Оплата всё равно прошла. Ходил потом сраться в банк. Но бестолку.
А с появлением paywave все эти загоны совсем потеряли смысл.
Но CVV конечно лучше сточить и заменить на другой.
Даже подпись со временем стирается вместе со слоем для подписи...
...а под ней проявляется надпись void, после чего карту перестают принимать в любом приличном месте, не только в банке.
хз как у вас, сейчас в большинстве магазинов терминал стоит так, что продавцы-кассиры до карты вообще не дотрагиваются и не видят ийо во всех подробностях
А при чем тут алгоритм и его угадывать? Код получается из составления времени, секретной соли (тут вобще что угодно может быть) и "волшебных преобразований. Чтобы узнать код, тебе нужно знать алгоритм его генерации, текущее время и ту самую СОЛЬ, которая есть только в БД банка и в памяти карты. Ну и как ты собираешься их узнавать не получив доступ к карте или БД банка?
>Код получается из составления времени, секретной соли (тут вобще что угодно может быть) и "волшебных преобразований?
Вы уверенны? Я просто не могу понять, разве нельзя в таком случае разработать механизм, подобный кей-гену для игр и программ например? Что будет мешать в конкретно этом случае?
В таком случае (как и с другими механизмами аутентификации) неизвестной для третьего лица остаётся та самая соль. Без неё код ты не восстановишь. А по аналогии с программами ты не сможешь поступить, потому что в случае с кейгеном у тебя в руках приложение (по аналогии с прошлым примером - банковская карта) а вытащить из приложения все нужные данные не составляет огромного труда.
То есть, я правильно понимаю, что получив доступ к карте, при условии _одинаковых_ алгоритмов (а это было указанно в исходном сообщении) будет скомпрометирована вся система?
Нет, потому что часть составляющей кода уникальна для каждой карты. Давай так объясню на очень упрощенном примере. У тебя есть алгоритм: ВРЕМЯ + X = Y. В нем время это обрезаный до определённой точности текущий таймштамп (25.07.2017 17:00:00.000) и переведеный в количество секунд прошедших от 1 января 1970 года, например 152672722722 (цифра от болды написана тут, лень конвертировать). А вот X это секретный код, который генерируется при выдаче карты, и он уникален для каждой карты (т.е. У каждой карты X разный) таким образом зная алгоритм, ты не сможешь получить код без того самого секретного X, а даже есть и получишь секретный код для одной карты, это не даст возможность получить коды других карт.
В этом деле меня смущает момент со сменой часа. Если я смотрю код на 59:59 часа X, то в 00:05 часа Y, когда я непосредственно его ввожу - этот код уже не действителен.
и в чем проблема? карта не блокируется из за этого, тем более обычно предусмотрен механизм проверки на недавно истекший код (хотя бы потому, что время на сервере и токене может не совпадать с точностью до секунды).
Как живет сейчас страна:
30 000 000 человек
не имеют собственного жилья
При этом:
99% территории России не заселено
Число бедных превысило
20 000 000 человек
При этом:
«Газпром» - генеральный спонсор немецкого футбольного клуба «Шальке 04»
За последние 15 лет закрыты:
школ
поликлиник
18:28,15 мая 2018
В России приготовились вернуть продуктовые карточки
ISO
Добавить в «Мою Ленту»
605O\jг.ш) 18 /о
¿/а
>ЦШ 1Г--0 рек «i»
Щбозу-.ъ
П^л\кт«ш клрпы
К1
Фото: Антон Денисов / РИА Новости
Минпромторг подготовил законопроект о введении в России системы продуктовых карточек. О
При этом карта остаётся рабочей, правда могут возникнуть вопросы в родном российском банке,
где к тебе относятся как смерду, не имеющему права бесплатно и самостоятельно повышать безопасность.
Да и кто c картой за границей обращается в банк?
К чему я всё это написал - а что если стерев CVV написать на нём другой? Сам везде в онлайне пишешь реальный CVV, а на карте пусть другой написан будет. Ну, т.е. если он в оффлайне не нужен, то и верифицировать его нельзя, можно лишь наличие проверить. Существует ли способ у человека, которому даёшь карту на оплату, верифицировать этот CVV и верифицируют ли они его при получении карты? Т.е. я хочу узнать можно ли таким способом избежать возможности юридического забракования.
Я же спрашиваю за юридические последсвтия такого способа.
Вам нужно понять одну простую вещь - всё что удобно для вас, удобно для злоумышленника вдвойне.
так что, курочь его как хочешь. Я свою одну наклейками обклеивал. Другая у меня расползлась по слоям от старости, там бахрома, тут куска нет. Всем пох. Говорят: захотите - перевыпустим
Ну а те кто в банке до этого докопаются, ну тут сам виноват. Это уже когда тётку за стойкой в край достанешь. Но она тут может даже докопаться по поводу обшарпаных краёв карты или до того, что у тебя носки не того цвета. Короче если захочет тебе жизнь усложнить - усложнит и ничего ты с этим не поделаешь. Хотя сейчас во всех банках работают милые девицы, а то что у клиента есть голосовалка для оценки качества обслуживания заставляет их почти что мёдом тебя поливать и облизывать. Так что хоть в жопе карточку носи.
Ещё до появления paywave я случайно узнал что вводя свой пинкод - я никак не влияю на оплату. Просто введя неверный пинкод и вместо ввод, нажав на кассе cancel. Оплата всё равно прошла. Ходил потом сраться в банк. Но бестолку.
А с появлением paywave все эти загоны совсем потеряли смысл.
Но CVV конечно лучше сточить и заменить на другой.
...а под ней проявляется надпись void, после чего карту перестают принимать в любом приличном месте, не только в банке.
Приличное место это где клиент всегда прав?
Вы уверенны? Я просто не могу понять, разве нельзя в таком случае разработать механизм, подобный кей-гену для игр и программ например? Что будет мешать в конкретно этом случае?