Безопасность CVV2 и CVC2 кодов


1 0

Сегодня прочитал в интернете не совсем верное утверждение в отношении CVV2 и CVC2 кодов, которые расположены на обратной стороне кредитной карты. Это всего лишь три цифры, которые предназначены для повышения безопасности и не гарантируют, что этот код никто не уведет. 

Основное правило в отношении кодов безопасности кредитных карт заключается в том, что интернет магазины (да и вообще это касается всех) не имеют права хранить этот код в своих базах данных. Смысл в том, что если кто-то спиониздит базу данных, то код безопасности не окажется в руках хакера. 

Теоретически код нужен продавцу только для авторизации транзакции и после этого его можно удалять, а точнее, его даже сохранять не нужно. Но где гарантия, что магазин не сохранил CVV код? Абсолютно никакой гарантии.

Обычно интернет магазины запрашивают кредитную карту уже в самом конце. В ответе от клиента с данными карты они тут же отправляются банку, который проводит авторизацию. Если ты видишь где-то на сайте, что кредитную карту просят до указания адреса доставки или после ввода кредитки показывают еще и какую-то страницу предварительного просмотра перед отправкой, то значит код всё же был где-то сохранен. Это прямое нарушение правил работы с кредиткой и я удивлен, что кредитные организации не отслеживают это.

Хорошо, если информацию о CVV сохранят в сессии, которая устаревает и чистится. А если сессия в базе данных и ее не чистят? Или вообще сохранили CVV в постоянной базе?

По идее кредитную карту должны спрашивать в самом конце процесса оформления заказа. Если у вас спросят кредитку с кодом безопасности, а потом страница перезагрузится и будут еще какие-то вопросы, подтверждения или просьбы ввести адрес доставки, то скорей всего CCV уже сохранен где-то, как минимум в сессии, а это нарушение правил использования кода. 

Кстати, почему код сзади. Однажды я оплачивал с помощью карты на выставке, где не было автоматов. Так вот, там продавец просто взял, вставил карту в специальную фигню, которая сделала копию морды. Заднюю сторону копировать ему запрещено. Хотя с другой стороны, в любом магазине продавец может смотреть на заднюю сторону, чтобы увидеть подпись, а запомнить три цифры уже не проблема. 

Так что безопасность кода достаточно сомнительна. Да, он помогает немного, но не является панацеей. 


Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым


Комментарии

Коля

10 Июля 2015

Смс авторизация придет на помощь. В газпроме и сбере ничего не переведешь и не купишь онлайн без смс кодов. Поэтому для покупок в магазинах чипкарты теперь даже не требуют пин. То есть  главное беречь карту физически от потерь и краж. Для каждого дня, ходить в магазины, лавки я завел простой дебитовый мастеркард. На нем еще приятные бонусы на каждую покупку идут, которые потом можно потратить в сетевых магазинах  и заправках.


Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне