Un CVV a 3 o 4 cifre è sufficiente per le transazioni online?

14

Sfondo: il numero CVV / CVV2 ("Card Verification Value") su una carta di credito o di debito è un numero di 3 o 4 cifre stampato sulla carta. Si tratta di 3 cifre su carte di credito e debito VISA, MasterCard e Discover e 4 cifre su una carta di credito o di debito con marchio American Express. Il codice CVV non è impresso su nessuna di queste carte.

La mia domanda: sono sufficienti 3 o 4 cifre per garantire la sicurezza delle transazioni online?

    
posta Md Mahbubur Rahman 15.11.2012 - 10:27
fonte

4 risposte

16

Le società delle carte di credito ne sono consapevoli, il loro software di rilevamento antifrode bloccherà una carta se vedono più di un piccolo numero di tentativi con codici CVV errati. Pur avendo una comprensione degli algoritmi per generare CVV, un hacker dovrebbe comunque avere la fortuna di riuscire a effettuare una transazione.

Per quanto riguarda se è un grande sistema, la risposta è no. È ancora vulnerabile alle frodi, tuttavia è molto meglio di nessun codice CVV. È una soluzione rapida e semplice per aggiungere più sicurezza nel sistema fino a quando l'industria non sarà in grado di concordare una soluzione più permanente.

    
risposta data 15.11.2012 - 10:52
fonte
11

Questo non è esattamente ciò che il numero CVV2 è per - non è una password per la tua carta di credito .

Lo scopo del codice di sicurezza della carta è quello di indicare se la carta è presente durante la transazione. Se la carta non è presente, la transazione DEVE deve essere inviata senza il codice di verifica. In effetti, se la società emittente della carta scopre di aver archiviato questo numero in qualsiasi modo, allora grandi multe per te.

Quindi invece di chiedere semplicemente, "La carta è presente: sì / no" , le società di carte ti fanno digitare un numero trovato sulla carta. Mantiene le persone dal dare la risposta sbagliata. È un po 'come dire "ok, se hai la carta in mano, poi veloce, dimmi di che colore è". L'informazione non è affatto segreta: è stampata proprio lì sulla carta. È semplice da ottenere se si ha accesso alla carta. Quindi rendere il codice più non cambia davvero nulla.

Soprattutto, se non hai effettivamente il numero a disposizione, la cosa più efficace da fare è semplicemente inviare la transazione senza di essa. Se si invia la transazione con il numero, la transazione verrà probabilmente accettata. Se invii la transazione senza il numero, probabilmente sarà ancora accettato. Ma se lo invii con il numero sbagliato , sarà sempre rifiutato.

Quindi giocando al gioco dei numeri, le possibilità che la transazione venga accettata sono più alte se si ignora il numero CVV2 di quanto sarebbe se lo indovinassi casualmente.

E dal momento che ogni tentativo di transazione viene registrato dalla società di carte, non si può nemmeno montare un attacco a forza bruta su di esso. Troppe ipotesi errate e il tuo account commerciante potrebbe essere contrassegnato. Quindi l'intero gioco è finito.

    
risposta data 16.11.2012 - 08:18
fonte
6

Il numero previsto di tentativi prima di un pagamento riuscito è 500 per un CVV a 3 cifre e 5000 per un CVV a 4 cifre. Per una bruteforce offline, questo sarebbe comicamente banale da interrompere, ma una verifica CVV richiede la comunicazione con il fornitore della carta. In quanto tale, anche un piccolo numero di tentativi attiverà una prevenzione automatica delle frodi e bloccherà la carta.

Sebbene ciò non impedisca il 100% delle frodi, questo non è l'obiettivo della banca. Sanno che è impossibile prevenire del tutto, quindi il loro obiettivo è semplicemente quello di ridurre le frodi a un livello in cui si raggiunge un equilibrio tra costi di prevenzione e costi di assicurazione. Possono prevenire il 95% delle frodi con misure relativamente a buon mercato, ma l'ultimo 5% costa tanto da prevenire come tutte le altre frodi combinate. A quel punto, possono coprire il resto con un'assicurazione a un costo inferiore rispetto alle rigorose e costose misure di sicurezza.

Quindi sì, 3 o 4 cifre è sufficiente per la verifica durante le transazioni con carta.

    
risposta data 15.11.2012 - 10:58
fonte
2

È abbastanza buono.

Non ha bisogno di essere incredibilmente sicuro perché le banche ti bloccheranno abbastanza rapidamente se ti sbagli e anche se hai ragione, hanno programmi euristici che bloccheranno le transazioni.

Eventuali violazioni della sicurezza saranno pagate dalla compagnia di assicurazioni della banca in modo che debbano bilanciare il costo di una violazione della sicurezza con il costo della perdita di un cliente perché le misure di sicurezza rendono quasi impossibile effettuare una transazione online.

    
risposta data 15.11.2012 - 11:28
fonte

Leggi altre domande sui tag