Antecedentes: el número CVV / CVV2 ("Valor de verificación de la tarjeta") en una tarjeta de crédito o débito es un número de 3 o 4 dígitos impreso en la tarjeta. Tiene 3 dígitos en las tarjetas de crédito y débito VISA, MasterCard y Discover, y 4 dígitos en una tarjeta de crédito o débito American Express. El código CVV no está grabado en ninguna de estas tarjetas.
Mi pregunta: ¿Son suficientes 3 o 4 dígitos para que las transacciones en línea sean seguras?
Las compañías de tarjetas de crédito son conscientes de esto, su software de detección antifraude bloqueará una tarjeta si ve más de una pequeña cantidad de intentos con códigos CVV incorrectos. Incluso teniendo una comprensión de los algoritmos para generar CVV, un pirata informático todavía tendría que tener suerte para poder realizar una transacción con éxito.
En cuanto a si es un gran sistema, la respuesta es no. Todavía es vulnerable al fraude, sin embargo, es mucho mejor que ningún código CVV. Es una solución rápida y fácil para agregar más seguridad al sistema hasta que la industria pueda acordar una solución más permanente.
Eso no es realmente para lo que es el número CVV2, no es una contraseña para su tarjeta de crédito .
El propósito del código de seguridad de la tarjeta es indicar si la tarjeta está presente durante la transacción. Si la tarjeta no está presente, entonces la transacción DEBE se debe enviar sin el código de verificación. De hecho, si la compañía de tarjetas se entera de que almacena este número de alguna manera, obtendrá grandes multas para usted.
Entonces, en lugar de simplemente preguntar, "¿Está la tarjeta presente: sí / no" , las compañías de tarjetas le hacen ingresar un número que se encuentra en la tarjeta? Evita que las personas den la respuesta equivocada. Es un poco como decir "ok, si tienes la tarjeta en la mano, entonces dime de qué color es". La información no es en absoluto secreta: está impresa allí mismo en la tarjeta. Es trivial de obtener si alguna vez tiene acceso a la tarjeta. Por lo tanto, hacer que el código sea más largo no cambia nada.
Lo más importante es que si realmente no tiene el número disponible, entonces lo más efectivo es enviar la transacción sin él. Si envía la transacción con el número, su transacción probablemente será aceptada. Si envía la transacción sin el número, probablemente aún será aceptado. Pero si lo envía con el número incorrecto , siempre será rechazado.
Entonces, en el juego de números, las posibilidades de que se acepte la transacción son más altas si simplemente ignora el número CVV2 de lo que sería si lo adivinara al azar.
Y dado que cada intento de transacción es registrado por la compañía de la tarjeta, tampoco se puede lanzar un ataque de fuerza bruta contra él. Demasiadas conjeturas incorrectas y su cuenta de comerciante podría ser marcada. Entonces todo el juego ha terminado.
El número esperado de intentos antes de un pago exitoso es 500 para un CVV de 3 dígitos y 5000 para un CVV de 4 dígitos. Para una fuerza bruta fuera de línea, esto sería cómicamente trivial de romper, pero una verificación CVV requiere comunicación con el proveedor de la tarjeta. Como tal, incluso un pequeño número de intentos desencadenará una prevención de fraude automática y bloqueará la tarjeta.
Aunque esto no previene el 100% de fraude, ese no es el objetivo del banco. Saben que es imposible evitarlo por completo, por lo que su objetivo es simplemente reducir el fraude a un nivel en el que se alcance un equilibrio entre los costos de prevención y los costos de seguro. Pueden prevenir el 95% del fraude con medidas relativamente baratas, pero el último 5% cuesta tanto prevenir como todos los otros fraudes combinados. En ese momento, pueden cubrir el resto con seguro a un costo menor que las medidas de seguridad estrictas y costosas.
Entonces, sí, 3 o 4 dígitos son suficientes para la verificación durante las transacciones con tarjeta.
Es lo suficientemente bueno.
No es necesario que sea increíblemente seguro, ya que los bancos lo bloquearán bastante rápido si lo hace mal, e incluso si lo hace bien, tienen programas heurísticos que bloquearán las transacciones.
Las brechas de seguridad serán pagadas por la compañía de seguros del banco, por lo que tienen que equilibrar el costo de una brecha de seguridad contra el costo de perder a un cliente porque sus medidas de seguridad hacen que sea casi imposible realizar una transacción en línea.
Lea otras preguntas en las etiquetas credit-card