¿Número de tarjeta de crédito, entropía?

5

Quiero confirmar que este entendimiento es correcto:

Una tarjeta tiene 16 dígitos más un CV2

Los primeros 6 dígitos son un número de identificación del emisor

El último dígito del 16 es un dígito de control Luhn mod 10.

Esto deja 9 dígitos en el medio. ¿Son estos 9 dígitos aleatorios, como en, no se pueden adivinar?

Los últimos 3 dígitos, el CV2, ¿son aleatorios también?

    
pregunta Cris 06.03.2014 - 22:49
fuente

2 respuestas

4

Sí, los primeros 6 son un ID de emisor

Esos 9 dígitos intermedios no se pueden adivinar en el sentido de que, si intentas atacarlos con fuerza, con un procesador de pagos te atraparán.

Si de alguna manera tuvo un hash del CCN completo (o una versión encriptada y la clave pública) solo debería necesitar un máximo de 10 ^ 8 (100,000,000) intentos de averiguarlo, ya que Luhn reduce la complejidad en una orden de magnitud.

Para calcular un CVV de 3 dígitos, el algoritmo CVV requiere un Número de cuenta principal (PAN), una Fecha de vencimiento de 4 dígitos, un Código de servicio de 3 dígitos y un par de claves DES (CVK). fuente

    
respondido por el David Murdoch 06.03.2014 - 23:28
fuente
4

Los primeros seis dígitos son el Número de Identificación del Banco (BIN). Los últimos cuatro dígitos se encuentran comúnmente en los recibos y no están obligados por la ley de los Estados Unidos a mantenerse en secreto. Suponiendo que conoce (o adivina) el banco, y tiene el recibo con los últimos cuatro dígitos, sabe 10 de los 16 dígitos. El algoritmo de Luhn se puede usar para reconstruir cualquier dígito faltante, no solo el último dígito. Eso significa que solo quedan 5 dígitos desconocidos.

Dada toda la información anterior, si está girando a través de un algoritmo de hash que intenta probar los hashes "encontrados", necesitará ejecutar solo 100,000 pruebas para forzar el número de una tarjeta. Eso ni siquiera requiere un acelerador de tarjeta gráfica en un segundo o menos.

El número CVV2 impreso en el reverso de la tarjeta se deriva de los datos que no están presentes en la tarjeta y no se puede adivinar ni determinar únicamente a partir de la información de la tarjeta o la banda magnética.

    
respondido por el John Deters 06.03.2014 - 23:34
fuente

Lea otras preguntas en las etiquetas