¿Por qué un código de seguridad de tarjeta de incremento para una nueva tarjeta de pago

3

Tengo una tarjeta de pago de débito, una vez que expiró recibí una nueva. Los números de las tarjetas se ven así

Tarjeta antigua xxxx xxxx 1111 1111
Nueva tarjeta xxxx xxxx 2222 2222

donde x son los números coincidentes y 1 y 2 son diferentes (impares, pero tal vez los primeros 8 números estén asignados a un determinado banco / sucursal que no cambié).

Ahora, el código de seguridad de la tarjeta según Wikipedia es

  

[...] se calcula mediante el cifrado de la tarjeta bancaria   Número, fecha de caducidad y código de servicio con claves de cifrado conocidas.   solo al emisor de la tarjeta, y decimando el resultado.

Pero mi nuevo código solo se incrementa en uno. Ejemplo:

CSC antiguo: 111
Nuevo CSC: 112

Esto podría ser por pura casualidad (1 en 1000), pero si no lo es.

Pregunta: ¿Es un incremento real de CSC para una tarjeta de reemplazo o una coincidencia? Si es un incremento, ¿es malo?

    
pregunta oleksii 01.08.2013 - 18:46
fuente

2 respuestas

4

Que el código parezca estar "solo incrementado" no es un problema. Incluso no sería un problema si el código no se modificara en absoluto, lo que se espera que ocurra al azar para 1/1000 de las actualizaciones de la tarjeta.

El CSC es un valor secreto y su fuerza no proviene de su valor real, sino del espacio de valores : es un número de 3 dígitos que los atacantes No se sabe y no se puede volver a calcular (al menos, siempre que el proceso de generación en el banco, el "cifrado", se haya realizado correctamente). Desde el punto de vista del atacante, tienen probabilidades de adivinarlo exactamente 1/1000. Ni mas ni menos. Los atacantes saben que con probabilidad 1/1000 será el mismo código que para uno anterior; también saben que con probabilidad 1/1000 será igual al código anterior con un incremento de +1. Esto no produce información alguna.

Lo que ayudaría a los atacantes es si el CSC no se generó con un proceso adecuado (ya sea "cifrado", hashing codificado o incluso aleatoriedad pura), pero con algo débil que hace que algunos valores sean más probables que otros, en una forma que puede ser rastreada por los atacantes. Luego , y solo entonces, disminuye la fuerza del CSC. Sin embargo, una sola observación no es suficiente para inferir tal descuido. Como dije, un incremento aparente de +1 en el CSC ocurrirá "por pura casualidad" por cada milésima renovación de cartas (en promedio). Suceden miles de veces todos los días en todo el mundo. Te acaba de pasar esta vez.

    
respondido por el Tom Leek 01.08.2013 - 19:03
fuente
1

Los primeros 4 dígitos identifican la red y posiblemente el banco y nunca deben cambiar para su tarjeta, en este caso, los segundos 4 también pueden identificar al banco o pueden no haber sido utilizados todavía. Los números de tarjeta se generan en base a una combinación de patrón y suma de verificación. Así es como los sistemas de captura de tarjetas sin conexión "validan" la información de la tarjeta de crédito. Si la suma de comprobación no coincide, se ingresó algo incorrectamente.

Siempre que la tarjeta no se pierda, o si el número de la tarjeta de crédito también cambia, entonces no debería haber ninguna razón para preocuparse por el hecho de que el CSC no cambie significativamente. La mayoría de las veces es solo un valor no trivialmente posible, ya que es razonablemente posible adivinar un número de tarjeta de crédito que sea válido en algunas cuentas.

    
respondido por el AJ Henderson 01.08.2013 - 19:35
fuente

Lea otras preguntas en las etiquetas