Perché si dovrebbe aumentare il codice di sicurezza della carta per una nuova carta di pagamento

3

Ho una carta di debito, una volta scaduta ne ho ricevuta una nuova. I numeri delle carte assomigliano a questo

Vecchia scheda xxxx xxxx 1111 1111
Nuova carta xxxx xxxx 2222 2222

dove x sono i numeri corrispondenti e 1 e 2 sono diversi (dispari, ma forse i primi 8 numeri sono assegnati al particolare banca / filiale che non ho modificato).

Ora, il codice di sicurezza della carta in base a Wikipedia è

[...] is calculated by encrypting the bank card number, expiration date and service code with encryption keys known only to the card issuer, and decimalising the result.

Ma il mio nuovo codice è solo aumentato di uno. Esempio:

Vecchio CSC: 111 Nuovo CSC: 112

Questo potrebbe essere per puro caso (1 su 1000), ma se non lo fosse.

Domanda: si tratta di un incremento reale di CSC per una carta sostitutiva o una coincidenza? Se è incrementale, è sbagliato?

    
posta oleksii 01.08.2013 - 18:46
fonte

2 risposte

4

Il fatto che il codice appaia "appena incrementato" non è un problema. Non sarebbe nemmeno un problema se il codice non fosse cambiato affatto, il che dovrebbe verificarsi casualmente per 1/1000 di aggiornamenti delle schede.

Il CSC è un valore segreto e la sua forza non deriva dal suo valore reale, ma dallo spazio valore : è un numero di 3 cifre che gli attaccanti fanno non so e non può ricalcolare (almeno, finché il processo di generazione in banca - la "crittografia" - è stato eseguito correttamente). Dal punto di vista dell'attaccante, hanno probabilità di indovinarlo esattamente di 1/1000. Ne più ne meno. Gli aggressori sanno che con probabilità 1/1000 sarà lo stesso codice di quello precedente; sanno anche che con probabilità 1/1000 sarà uguale al codice precedente con un incremento di +1. Questo non fornisce alcuna informazione.

Che cosa potrebbe aiutare gli aggressori se il CSC non è stato generato con un processo adeguato (che si tratti di "crittografia", hashing con chiave o anche pura casualità), ma con qualcosa di debole che si traduce in alcuni valori più probabili di altri, in un modo che può essere tracciato dagli attaccanti. Quindi , e solo allora, la forza del CSC diminuisce. Tuttavia, una singola osservazione non è assolutamente sufficiente per inferire tale sciatteria. Come ho detto, un apparente incremento di +1 sul CSC avverrà "per puro caso" per ogni millesimo di rinnovo della carta (in media). Succede migliaia di volte ogni giorno in tutto il mondo. Ti è appena successo questa volta.

    
risposta data 01.08.2013 - 19:03
fonte
1

Le prime 4 cifre identificano la rete e possibilmente la banca e non dovrebbero mai cambiare per la tua carta, in questo caso il secondo 4 potrebbe anche identificare la banca o potrebbe non essere stata ancora utilizzata. I numeri delle carte vengono generati in base a una combinazione di pattern e checksum. In questo modo i sistemi di acquisizione delle carte offline "convalidano" le informazioni della carta di credito. Se il checksum non corrisponde, allora qualcosa è stato inserito in modo errato.

Se la carta non viene smarrita o cambia anche il numero della carta di credito, non ci dovrebbero essere motivi per preoccuparsi che il CSC non cambi in modo significativo. È quasi sempre un valore non banale, dal momento che è ragionevolmente possibile indovinare un numero di carta di credito valido per alcuni account.

    
risposta data 01.08.2013 - 19:35
fonte

Leggi altre domande sui tag