» »

Bodo nove kartice imele spreminjajočo kodo CVV?

Bodo nove kartice imele spreminjajočo kodo CVV?

Slo-Tech - Zlorabe plačilnih kartic za končne uporabnike niso velika nevšečnost, saj škodo in stroške banke načeloma vračajo, a vseeno predstavljajo težavo, ki letno stane več milijard evrov. Ponudniki plačilnih storitev zato iščejo načine za njihovo zajezitev, kamor sodijo tudi čipi in enkratne kode za izvajanje transakcij. Toda vse to bolj malo pomaga pri spletnih zlorabah, kjer se vpisuje zgolj številka kartice in koda CVV na zadnji strani kartic. V ZDA začenjajo preizkus kartic, ki bodo imele spreminjajočo kodo CVV.

Koda CVV je zapisana na zadnji strani kartice, zato bodo nove kartice imele v tem polju e-črnilo (e-ink), ki bo redno spreminjal napis. Statični CVV namreč ne nudi zadostne stopnje zaščite, saj ga je v končni fazi mogoče tudi uganiti. Dinamični CVV so del projekta, ki sega v leto 2016. Že tedaj je podjetje Idemia pokazalo kartice, ki omogočajo dinamično generacijo CVV. Visa je tudi izdala specifikacijo dCVV2, ki omogoča točno to. V novem projektu, ki se je začel novembra, so za 90 dni manjšemu številu uporabnikov razdelili kartice, kjer se bo CVV spreminjal. V preizkusu bodo ugotavljali zlasti, kako pogosto je treba spreminjati CVV za zadostno zaščito. Kartice z e-inkom imajo majhno litij-ionsko baterijo, ki omejuje število možnih sprememb zapisa. Če bi ga variirali enkrat na uro, bi kartice zdržale štiri leta. Takšna kartica stane okrog 15 dolarjev, medtem ko običajne kartice dobimo že za 2-4 dolarjev (proizvodna cena).

36 komentarjev

Lonsarg ::

A ni point da se CVV počasi ukine, ko imamo sedaj Visa 3D in podobne konkurenčne dvofaktorske avtentikacije.

Tole je potem že ene vrste 3-faktorska avtentikacija, razni amazon in podobni pa itak kakršnokoli več-faktorsko avtentikacijo ignorirajo, ker nočejo da uporabniki vsakič ob nakupu vpisujejo.

Ganon ::

Delavska hranilnica mi ob spletnih nakupih na telefon pošilja gesla. Ne zdi se mi potrebno, da bi se spreminjala še CVV koda.

martincek1 ::

Exactly, dvofaktorska verifikacija in pametna banka z možnostjo nastavitev limitov in blokado kartic je vse kar rabim.

dottor ::

Sam imam ločeno kartico za to, tako da kolko je gor tolko lahko poberejo, ampak dajem sproti gor denar ko rabim. Tako da načeloma imajo čas 10 minut da mi spraznijo tistih nekaj 10€ iz kartice kolkr rabim od banke do doma.
Xeon X5650@3.8GHz |Asus P6T|
2x4GB+4x2GB|ASUS R9 280X@1100MHz|
WD Green 240GB SSD + 4x1TB Hitachi

kow ::

aahh.. bancni certifikat mi velja se dobri 2 leti, potem pa mi bodo vsilili OTP.

Drugace pa itak kripto resi vse probleme, ki jih omenjajo zgornji komentarji.

Zgodovina sprememb…

  • spremenil: kow ()

mrTwelveTrees ::

Tudi to bodo zaobšli. Bi bilo potrebno najti kakšno drugo rešitev, sej se ljudje plačani zato.

kow ::

Je pa slika ob clanku noro smesna. Leto 2019, banke pa si predstavljajo, da bomo kupovali preko spleta tako, da bomo pretipkavali vecmestne stevilke. In to firme, ki so vredne milijarde.

modelno1 ::

Slovnična napaka v naslovu: spreminjajočo se kodo CVV.
Respect the bacteria! They are the only culture some people have.

Furbo ::

Kul, dobra ideja.

To mi je bolj všeč, kot tisti trapasti in nerodni generatorji kod.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

blackbfm ::

A ni point da se CVV počasi ukine, ko imamo sedaj Visa 3D in podobne konkurenčne dvofaktorske avtentikacije.


Delavska hranilnica mi ob spletnih nakupih na telefon pošilja gesla.


Dejansko kartica deluje mimo tega, 2fa je za trgovino opcijski. Torej se v vecji meri pred zlorabami zavaruje predvsem trgovec.

Zgodovina sprememb…

  • spremenilo: blackbfm ()

SuperVeloce ::

Tako je, dokler ni avtentifikacija obvezna s strani banke, mi cvv in visa 3d itd nic ne pomaga.
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

NubCake ::

1x na uro je preveč, že 1x na teden bi bilo dovolj

Lonsarg ::

SuperVeloce je izjavil:

Tako je, dokler ni avtentifikacija obvezna s strani banke, mi cvv in visa 3d itd nic ne pomaga.

3D Visa je res opcijska, ampak trgovec v primeru da je ne uporabi prevzame čisto vso odgovornost, tako da si ti kot user čisto safe tudi če tega ni.

srus ::

"V ZDA začenjajo preizkus kartic, ki bodo imele spreminjajočo kodo CVV."

Novica bi bila, če bi v ZDA nehali uporabljati kreditne kartice z magnetnimi trakovi, njihove poštne ZIP kode in papirnate slipe, ki jih je potrebno podpisovati. In bi povsod preklopili na čip kartice z PIN kodo, ali bog ne daj celo na kartice z NFC tehnologijo.

Kremenčkovi.

Uporabnik ::

Na fotki so sicer kartice z LCD in ne eink.

BorutK-73 ::

NubCake je izjavil:

1x na uro je preveč, že 1x na teden bi bilo dovolj

1x na dan bi bilo ok.

Daniel ::

Odvisno kdaj so ti odtujili podatke kartice. Če so hitri je 1x na uro kar ok, v kakem dnevu brez težav s temi podatki spraznijo račune.

euagrus ::

Ganon je izjavil:

Delavska hranilnica mi ob spletnih nakupih na telefon pošilja gesla. Ne zdi se mi potrebno, da bi se spreminjala še CVV koda.


https://www.psafe.com/en/blog/uh-oh-hac...

Pa tega je bilo precej, je samo prvi zadetek.

Naceloma se posiljanje preko smsov primarno uporablja kot nateg, da razni ponudniki storitev dobijo tvojo telefonsko.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

xmetallic ::

euagrus je izjavil:

Naceloma se posiljanje preko smsov primarno uporablja kot nateg, da razni ponudniki storitev dobijo tvojo telefonsko.

Oh, lej. Conspiracy theory again.

kixs ::

Uporabljam PayPal in AliPay... CCV sem enkrat v 10-ih letih uporabil...

xmetallic ::

Lonsarg je izjavil:

amazon in podobni pa itak kakršnokoli več-faktorsko avtentikacijo ignorirajo, ker nočejo da uporabniki vsakič ob nakupu vpisujejo.

Amazon, Paypal & co. so dovolj kredibilni, da jim banke zaupajo in spustijo transakcije skozi brez dodatnih preverjanj.

euagrus ::

xmetallic je izjavil:

euagrus je izjavil:

Naceloma se posiljanje preko smsov primarno uporablja kot nateg, da razni ponudniki storitev dobijo tvojo telefonsko.

Oh, lej. Conspiracy theory again.


Ne, dejstvo. Pa nehaj ze ves cas obkladat, a ni dovolj, da ste izpadli cisti kreteni, ko je Snowden razjasnil nekaj pojmov ravno takim? Bi radi se enkrat? (Verjetno si bil takrat se v vrtcu, pa se ne spomnis)
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

techfreak :) ::

Saj 2-factor je lahko tudi push notification na telefon, kot imajo urejene nekatere mobilne banke.

Uporabnik ::

techfreak :) je izjavil:

Saj 2-factor je lahko tudi push notification na telefon, kot imajo urejene nekatere mobilne banke.


Recimo N26 :)

euagrus ::

techfreak :) je izjavil:

Saj 2-factor je lahko tudi push notification na telefon, kot imajo urejene nekatere mobilne banke.


Seveda ali pa cisto navadni TOTP, ki ga je dalec najbolj preprosto implementirati. Ni razloga, da bi dodaten podatek prenasal preko telefonske stevilke, manj varno je, nerodno, pa se strosek je za ponudnika. Edino prednost, ki jo ima je pridobitev identifikatorja, ki ga je nerodno zamenjat (ce noces, da ga imajo), pa se telemarketing se lahko gres (oz. prodas dostop do stevilk - glearing at facebook).
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

Heisenberg ::

čist by the way, USA so imela že desetletja nazaj način skeniranja za vstop narejen tako da si položil dlan na skener in je premeril kako dolge imaš kosti v dlani/prstih in se je (se?) uporabljalo za vstope v najbolj top secret inštalacije aka Area 51

WhiteAngel ::

Heisenberg je izjavil:

čist by the way, USA so imela že desetletja nazaj način skeniranja za vstop narejen tako da si položil dlan na skener in je premeril kako dolge imaš kosti v dlani/prstih in se je (se?) uporabljalo za vstope v najbolj top secret inštalacije aka Area 51


Ja, temu se rece biometrija in so jo opustili pred desetletjem, ker ko ti jo ukradejo ali pohekajo bazo, si v riti.

Ce se gremo 2019, potem bi kreditne kartice brez tezav komunicirale prek NFC, naslonjene na telefon ali z NFC readerjem v tipkovnici. Drugi del avtentikacije je lahko geslo, pin z nakljucno razvrscenimi stevilkami ali TOTP.

stara mama ::

Če bi enostavno vsak lastnik kartice imel svoj app s katero jo lahko nadzira, bi bilo dosti manj stroškov in komplikacij.
Recimo zamrzovanje, nastavljanje limita, instantno spreminjanje PINa, obvestila, ipd....
Revolut ima super pri virtualni kartici, ko za vsako plačilo dobiš nove številke (v premium naročnini).
V fizični pa bi lahko imel opcijo izklopit vse razen čipa (ali samo začasni vklop).
Ampak dinozavri pa tlačijo zaslone na kartice.

Zgodovina sprememb…

euagrus ::

stara mama je izjavil:

Če bi enostavno vsak lastnik kartice imel svoj app s katero jo lahko nadzira, bi bilo dosti manj stroškov in komplikacij.
Recimo zamrzovanje, nastavljanje limita, instantno spreminjanje PINa, obvestila, ipd....
Revolut ima super pri virtualni kartici, ko za vsako plačilo dobiš nove številke (v premium naročnini).
V fizični pa bi lahko imel opcijo izklopit vse razen čipa (ali samo začasni vklop).
Ampak dinozavri pa tlačijo zaslone na kartice.


No pri revolutu, me tudi malo zanima poslovni model (in hype, ki se spet zganja okrog njega, vsak moment se najde kdo, ki mu reklamo dela), da ni slucajno tak: https://www.paypal.com/uk/webapps/mpp/u...
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

bbf ::

Itak usa, kdo pa drug. Nepotrebno in neuporabno spreminjanje cvv. Na 1 uro? Ker lopov čaka več kot 5 minut, da ti kej spi*di.. Če ni tipa push-to-calc, potem ni nič bolj varno, kot statična. pnc destručkoti eni..

stara mama ::

euagrus je izjavil:


No pri revolutu, me tudi malo zanima poslovni model (in hype, ki se spet zganja okrog njega, vsak moment se najde kdo, ki mu reklamo dela), da ni slucajno tak: https://www.paypal.com/uk/webapps/mpp/u...

Če ne drugega, so pokazali kaj vse je možno (kar nam naše banke zatrjujejo, da ni).
Poslovni model je pa druga debata.

MrStein ::

euagrus je izjavil:

Naceloma se posiljanje preko smsov primarno uporablja kot nateg, da razni ponudniki storitev dobijo tvojo telefonsko.

Noben ne dobi telefonske.
Aja , to je euagrus...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

techfreak :) ::

No ja, vse mobilne banke zahtevajo telefonsko stevilko kot predpogoj da ustvaris racun. Podobno je tudi pri nasih elektronskih bankah, kjer pogosto rabis telefon kot 2-factor avtentikacijo (koliko je to ne-varno se je tudi ze pisalo na tem forumu).

MrStein ::

Tako, banka ima tvojo telefonsko že 20 let.
Drugi pa je ne dobijo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

erunno ::

Neverjetno kako naiven je folk, tukile.
Varni ste, ker že vrsto let CVV niste nikjer vpisali, ali pa ker uporabljate posrednika. Kej jih vi nikamor ne vpišete, še ne pomeni da ne obstaja (v primeru da ne delate spletnih nakupov), ali da se ne uporablja (v primeru uporabe posrednika).
2FA z SMS? Zlikovci lahko prestrežejo SMS in vam ukradejo avtorizacijsko kodo.

Mavrik ::

erunno je izjavil:

Neverjetno kako naiven je folk, tukile.
Varni ste, ker že vrsto let CVV niste nikjer vpisali, ali pa ker uporabljate posrednika. Kej jih vi nikamor ne vpišete, še ne pomeni da ne obstaja (v primeru da ne delate spletnih nakupov), ali da se ne uporablja (v primeru uporabe posrednika).
2FA z SMS? Zlikovci lahko prestrežejo SMS in vam ukradejo avtorizacijsko kodo.


Tudi če... so what? Načeloma je poanta kreditnih da lahko takoj po tranzakciji narediš chargeback in jo pač menjaš.
The truth is rarely pure and never simple.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bodo nove kartice imele spreminjajočo kodo CVV?

Oddelek: Novice / Varnost
368371 (4937) Mavrik
»

Lastnoroči podpis

Oddelek: Loža
437346 (5242) next3steps
»

Varno nakupovanje preko e-baya

Oddelek: Loža
115472 (4120) THXMASTER
»

Sony zavoljo varnosti primoran izključiti tudi SOE, ukradene nadaljnje številke kredi

Oddelek: Novice / Varnost
228181 (6981) 3furious
»

Plačilo z Mastercard in izogib zlorabam

Oddelek: Loža
125675 (5650) Tr0n

Več podobnih tem