Проще сточить CVV код и нанести риски для нечитаемости лазерной гравировки.
При этом карта остаётся рабочей, правда могут возникнуть вопросы в родном российском банке,
где к тебе относятся как смерду, не имеющему права бесплатно и самостоятельно повышать безопасность.
Остальные банки не могут предьявить пртензий, на карте не написано что это их безраздельная собственность, все учетные данные совпадают с вашим загран паспортом.
Да и кто c картой за границей обращается в банк?
Просто мне интересно - ради безопасности можно стереть CVV код. При оффлайн транзакциях он не нужен, а нужен только для онлайн. Если карту украдут - одних лишь данных на карте хватит что бы вывести деньги через онлайн. Поэтому много инфы в инете по поводу "сотрите CVV". В оффлайне есть 2 способа вывода денег - через людей и через банкомат. Банкомату то пофиг на стёртый CVV, а вот люди могут забрать карточку и признать её без него юридически недействительной.
К чему я всё это написал - а что если стерев CVV написать на нём другой? Сам везде в онлайне пишешь реальный CVV, а на карте пусть другой написан будет. Ну, т.е. если он в оффлайне не нужен, то и верифицировать его нельзя, можно лишь наличие проверить. Существует ли способ у человека, которому даёшь карту на оплату, верифицировать этот CVV и верифицируют ли они его при получении карты? Т.е. я хочу узнать можно ли таким способом избежать возможности юридического забракования.
Не загоняйся. Никто в банке не смотрит на состояние карты пока сам не заявишь на замену... Даже подпись со временем стирается вместе со слоем для подписи.
Загонюсь. Это моя специальность - видеть недостатки в системах и придумывать как обезопасить их. Другое дело что я никогда ещё не интересовался как обезопасить банковские карты, поэтому и задаю такие вопросы, может кто уже знает ответ.
Ты сейчас предлагаешь обезопасить карты от банка владельца. Серьезно, если они захотят твои деньги, то просто поменяют единички на нули в компьютерах, но им это ни к чему.
Я чётко представляю себе зачем это нужно и чего можно этим добиться - этот способ обезопасит CVV в случае его компрометации посторонним лицом, которая может быть в случае утраты карты либо в случае переписывания с неё данных злоумышленником и возврата карты владельцу (например в каком-нибудь ресторане, когда официант унёс карту, произвёл оплату, заодно данные скопировал, и вернул карту владельцу). От чего этот способ не поможет - от дурака, от фишинга.
Я же спрашиваю за юридические последсвтия такого способа.
Вам нужно понять одну простую вещь - всё что удобно для вас, удобно для злоумышленника вдвойне.
По поводу измененной карты - банку глубоко похуй на этот кусок пластика. На соответствие cvv не смотрит никто. Да и вообще, при обращениях в банк карту предъявить просят наверное только в 2/5% случаев. Т.к. все данные по карте они выводят себе по вашим документам. А сам пластик - фи.
так что, курочь его как хочешь. Я свою одну наклейками обклеивал. Другая у меня расползлась по слоям от старости, там бахрома, тут куска нет. Всем пох. Говорят: захотите - перевыпустим
Есть ещё вариант. "Лимит на оплату в Интернет" - который не позволяет оплатить при помощи CV2 кода больше определённой суммы. На картах которые нужно обезопасить он устанавливается в 0, и меняется когда надо сделать оплату.
Как уже написали выше. Никаких реальных юридических последствий у этого способа нет. Можешь даже аккуратно вырезать этот кусок карты.
Ну а те кто в банке до этого докопаются, ну тут сам виноват. Это уже когда тётку за стойкой в край достанешь. Но она тут может даже докопаться по поводу обшарпаных краёв карты или до того, что у тебя носки не того цвета. Короче если захочет тебе жизнь усложнить - усложнит и ничего ты с этим не поделаешь. Хотя сейчас во всех банках работают милые девицы, а то что у клиента есть голосовалка для оценки качества обслуживания заставляет их почти что мёдом тебя поливать и облизывать. Так что хоть в жопе карточку носи.
Чувак. Тем кто спиздит твою карту, достаточно будет просто затаварится на все деньги у частного коммерса с терминалом paywave. просто проведут карточкой над терминалом и гудбай денежки. Потом конечно можно узнать где их потратили. Но сам факт.
Ещё до появления paywave я случайно узнал что вводя свой пинкод - я никак не влияю на оплату. Просто введя неверный пинкод и вместо ввод, нажав на кассе cancel. Оплата всё равно прошла. Ходил потом сраться в банк. Но бестолку.
А с появлением paywave все эти загоны совсем потеряли смысл.
Но CVV конечно лучше сточить и заменить на другой.
Даже подпись со временем стирается вместе со слоем для подписи...
...а под ней проявляется надпись void, после чего карту перестают принимать в любом приличном месте, не только в банке.
хз как у вас, сейчас в большинстве магазинов терминал стоит так, что продавцы-кассиры до карты вообще не дотрагиваются и не видят ийо во всех подробностях
А при чем тут алгоритм и его угадывать? Код получается из составления времени, секретной соли (тут вобще что угодно может быть) и "волшебных преобразований. Чтобы узнать код, тебе нужно знать алгоритм его генерации, текущее время и ту самую СОЛЬ, которая есть только в БД банка и в памяти карты. Ну и как ты собираешься их узнавать не получив доступ к карте или БД банка?
>Код получается из составления времени, секретной соли (тут вобще что угодно может быть) и "волшебных преобразований?
Вы уверенны? Я просто не могу понять, разве нельзя в таком случае разработать механизм, подобный кей-гену для игр и программ например? Что будет мешать в конкретно этом случае?
В таком случае (как и с другими механизмами аутентификации) неизвестной для третьего лица остаётся та самая соль. Без неё код ты не восстановишь. А по аналогии с программами ты не сможешь поступить, потому что в случае с кейгеном у тебя в руках приложение (по аналогии с прошлым примером - банковская карта) а вытащить из приложения все нужные данные не составляет огромного труда.
То есть, я правильно понимаю, что получив доступ к карте, при условии _одинаковых_ алгоритмов (а это было указанно в исходном сообщении) будет скомпрометирована вся система?
Нет, потому что часть составляющей кода уникальна для каждой карты. Давай так объясню на очень упрощенном примере. У тебя есть алгоритм: ВРЕМЯ + X = Y. В нем время это обрезаный до определённой точности текущий таймштамп (25.07.2017 17:00:00.000) и переведеный в количество секунд прошедших от 1 января 1970 года, например 152672722722 (цифра от болды написана тут, лень конвертировать). А вот X это секретный код, который генерируется при выдаче карты, и он уникален для каждой карты (т.е. У каждой карты X разный) таким образом зная алгоритм, ты не сможешь получить код без того самого секретного X, а даже есть и получишь секретный код для одной карты, это не даст возможность получить коды других карт.
В этом деле меня смущает момент со сменой часа. Если я смотрю код на 59:59 часа X, то в 00:05 часа Y, когда я непосредственно его ввожу - этот код уже не действителен.
и в чем проблема? карта не блокируется из за этого, тем более обычно предусмотрен механизм проверки на недавно истекший код (хотя бы потому, что время на сервере и токене может не совпадать с точностью до секунды).
Как живет сейчас страна:
30 000 000 человек
не имеют собственного жилья
При этом:
99% территории России не заселено
Число бедных превысило
20 000 000 человек
При этом:
«Газпром» - генеральный спонсор немецкого футбольного клуба «Шальке 04»
За последние 15 лет закрыты:
школ
поликлиник
18:28,15 мая 2018
В России приготовились вернуть продуктовые карточки
ISO
Добавить в «Мою Ленту»
605O\jг.ш) 18 /о
¿/а
>ЦШ 1Г--0 рек «i»
Щбозу-.ъ
П^л\кт«ш клрпы
К1
Фото: Антон Денисов / РИА Новости
Минпромторг подготовил законопроект о введении в России системы продуктовых карточек. О
Bracers of the Eastern Range
№ Dota 2
Наручи, Common
Garbs of the Eastern Range
Wraps of the Eastern Range Pads of the Eastern Range Cape of the Eastern Range Bracers of the Eastern Range Hairstyle of the Eastern Range
Метки: Standard, Common, Украшение, Руки, Invoker, Можно обменивать, Можно
При этом карта остаётся рабочей, правда могут возникнуть вопросы в родном российском банке,
где к тебе относятся как смерду, не имеющему права бесплатно и самостоятельно повышать безопасность.
Да и кто c картой за границей обращается в банк?
К чему я всё это написал - а что если стерев CVV написать на нём другой? Сам везде в онлайне пишешь реальный CVV, а на карте пусть другой написан будет. Ну, т.е. если он в оффлайне не нужен, то и верифицировать его нельзя, можно лишь наличие проверить. Существует ли способ у человека, которому даёшь карту на оплату, верифицировать этот CVV и верифицируют ли они его при получении карты? Т.е. я хочу узнать можно ли таким способом избежать возможности юридического забракования.
Я же спрашиваю за юридические последсвтия такого способа.
Вам нужно понять одну простую вещь - всё что удобно для вас, удобно для злоумышленника вдвойне.
так что, курочь его как хочешь. Я свою одну наклейками обклеивал. Другая у меня расползлась по слоям от старости, там бахрома, тут куска нет. Всем пох. Говорят: захотите - перевыпустим
Ну а те кто в банке до этого докопаются, ну тут сам виноват. Это уже когда тётку за стойкой в край достанешь. Но она тут может даже докопаться по поводу обшарпаных краёв карты или до того, что у тебя носки не того цвета. Короче если захочет тебе жизнь усложнить - усложнит и ничего ты с этим не поделаешь. Хотя сейчас во всех банках работают милые девицы, а то что у клиента есть голосовалка для оценки качества обслуживания заставляет их почти что мёдом тебя поливать и облизывать. Так что хоть в жопе карточку носи.
Ещё до появления paywave я случайно узнал что вводя свой пинкод - я никак не влияю на оплату. Просто введя неверный пинкод и вместо ввод, нажав на кассе cancel. Оплата всё равно прошла. Ходил потом сраться в банк. Но бестолку.
А с появлением paywave все эти загоны совсем потеряли смысл.
Но CVV конечно лучше сточить и заменить на другой.
...а под ней проявляется надпись void, после чего карту перестают принимать в любом приличном месте, не только в банке.
Приличное место это где клиент всегда прав?
Вы уверенны? Я просто не могу понять, разве нельзя в таком случае разработать механизм, подобный кей-гену для игр и программ например? Что будет мешать в конкретно этом случае?