¿Número de tarjeta de crédito, entropía?

Sí, los primeros 6 son un ID de emisor

Esos 9 dígitos intermedios no se pueden adivinar en el sentido de que, si intentas atacarlos con fuerza, con un procesador de pagos te atraparán.

Si de alguna manera tuvo un hash del CCN completo (o una versión encriptada y la clave pública) solo debería necesitar un máximo de 10 ^ 8 (100,000,000) intentos de averiguarlo, ya que Luhn reduce la complejidad en una orden de magnitud.

Para calcular un CVV de 3 dígitos, el algoritmo CVV requiere un Número de cuenta principal (PAN), una Fecha de vencimiento de 4 dígitos, un Código de servicio de 3 dígitos y un par de claves DES (CVK). fuente

Los primeros seis dígitos son el Número de Identificación del Banco (BIN). Los últimos cuatro dígitos se encuentran comúnmente en los recibos y no están obligados por la ley de los Estados Unidos a mantenerse en secreto. Suponiendo que conoce (o adivina) el banco, y tiene el recibo con los últimos cuatro dígitos, sabe 10 de los 16 dígitos. El algoritmo de Luhn se puede usar para reconstruir cualquier dígito faltante, no solo el último dígito. Eso significa que solo quedan 5 dígitos desconocidos.

Dada toda la información anterior, si está girando a través de un algoritmo de hash que intenta probar los hashes "encontrados", necesitará ejecutar solo 100,000 pruebas para forzar el número de una tarjeta. Eso ni siquiera requiere un acelerador de tarjeta gráfica en un segundo o menos.

El número CVV2 impreso en el reverso de la tarjeta se deriva de los datos que no están presentes en la tarjeta y no se puede adivinar ni determinar únicamente a partir de la información de la tarjeta o la banda magnética.