?

Log in

Две вещи, уже многие годы непонятные моему разумению - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Две вещи, уже многие годы непонятные моему разумению [Nov. 11th, 2009|03:30 am]
ArkanoiD
[Tags|, ]

- Зачем печатать CVV2 на самой карточке, а не давать в конверте, как PIN?

- Почему практически все сервисы, где есть "секретный вопрос", предлагают выбрать из вариантов, которые, мягко говоря, не очень секретны?
linkReply

Comments:
[User Picture]From: deka
2009-11-11 12:48 am (UTC)
Первое -- да, доставляет.

Второе -- непонятно, почему не дают выбрать свой вопрос. Точнее, предлагают, но очень нечасто. Хотя то, что эффективность защиты "секретным вопросом" ниже плинтуса, давно известно.
(Reply) (Thread)
[User Picture]From: kamushka
2009-11-11 12:55 am (UTC)
Да дело даже не в том, что иногда предлагают самим сконструировать свой вопрос, а в том, что ответы на шаблонные вопросы известны, при условии, что известна личность человека.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: daedmen
2009-11-11 12:54 am (UTC)
1)чтоб тратить было легче=> что бы неважно кто тратили больше
2)наверно боятся знать про личную жизнь :)
(Reply) (Thread)
[User Picture]From: avnik
2009-11-11 01:22 am (UTC)
У нас кстати банк делает пару электрон+виртуал -- когда тебе дают два конверта с этими номерами (ccn+cvv2) -- удобно и вполне себе safe
(Reply) (Thread)
(Deleted comment)
[User Picture]From: vvs2002
2009-11-11 01:27 am (UTC)
1 - потому что так гораздо удобнее. Запомнить десяток случайных номеров средний потребитель не в состоянии.
(Reply) (Thread)
(Deleted comment)
[User Picture]From: crevice
2009-11-11 01:48 am (UTC)
Концепция правильная
достаточно себе один раз придумать такой вопрос с ответом, не попадающий под стандартные шаблоны и никто Ваш пароль не украдет.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: crevice
2009-11-11 01:46 am (UTC)
cvv2 печатают на карте потому как используют его гораздо реже, чем пин
поэтому сам автоматически он не запомнится
если его не напечатать на карте большая часть покупок через интернет не состоится
конвертов с cvv никто с собой не носит
компенсируется это дополнительным тем, что теоретически любую оплату через интернет можно оспорить.
ситуация дурацкая, согласен.

а кто мешает в ответ на секретный вопрос "Девичья фамилия вашей мамы" везде писать "Зингельшухер"?
(Reply) (Thread)
[User Picture]From: cathody
2009-11-11 01:52 am (UTC)
Зингельшухер - можно подобрать. А вот куда более распространённую фамилию "Рессора от трактора Беларусь" будут подбирать гораздо дольше.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: sanches
2009-11-11 05:17 am (UTC)
Я бы с нескрываемым любопытством посмотрел на того оригинала, что угадает девичью фамилию моей матери. ;-)
(Reply) (Thread)
From: blog.vnaum.com
2009-11-11 06:07 am (UTC)
После прихода всяких одноклассников и вконтактов это стало сильно проще.
Нередко можно найти не только фамилию, но и выпускную фотографию.
И залить эту фотографию может кто угодно - совсем необязательно ваша родительница.
Любой из её одноклассников...
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: nodel
2009-11-11 06:37 am (UTC)
cvv2 отсутствует в магнитном дампе картонки, поэтому применение его вполне целесообразно. иначе очень бы упростилась закупка с дампов - не надо было бы ходить пешком в магазины, достаточно закупаться через инет.

секретный вопрос не панацея, но это все же лучше чем стандартные SSN, DOB, MMN.

если к проблеме подходить трезво, то становится понятно, что проблема безопасности картонок балансирует с удобством их использования. самым оптимальным вариантом является связка карты для накоплений и карты для платежей, на которой вы держите сумму которую не критично проебать.
(Reply) (Thread)
From: se7en_ru
2009-11-11 06:41 am (UTC)
имхо, лучше чем подтверждение платежа по sms сложно что-то придумать.

опять же сотовая связь не очень надежна...
(Reply) (Parent) (Thread)
[User Picture]From: amavlyanov
2009-11-11 07:13 am (UTC)
по второму пункту меня другое бесит - у некоторых нельзя задать кастомный вопрос.
(Reply) (Thread)
[User Picture]From: denis_d
2009-11-11 08:49 am (UTC)
+1
(Reply) (Parent) (Thread)
[User Picture]From: evolver
2009-11-11 07:40 am (UTC)
1. Предположу, что просто для удобства конечного пользователя, т.к. вероятость того, что транзакция с CVV2 проводится при наличии оригинала карты в руках довольно высока. Не 100%, но достаточно согласно модели безопасности и рисков для банка.
(Reply) (Thread)
From: vp
2009-11-11 07:57 am (UTC)
Речь о том, что засунув карточку "в ксерокс" мы махом за пару секунд получаем все, что нужно чтобы провести платеж вне зависимости от владельца в интернете.
МАРАЗМ!!!!
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: denis_d
2009-11-11 07:56 am (UTC)
А еще бесит когда в договоре банк говорит что снимает с себя всякую ответственность если информация карты была передана по открытым каналам. И сам же потом по телефону для активации карты просит назвать её номер, срок действия, номер и серию паспорта, все контактные телефоны, контрольное слово, адрес и место работы.
(Reply) (Thread)
[User Picture]From: hvd
2009-11-11 08:01 am (UTC)
Пользуйтесь сотовой связью - там есть шифрование. :)
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: denis_d
2009-11-11 07:57 am (UTC)
Кстати к вопросу а правомерности требования ID.
Виза прислала ответ.

Visa merchants are not permitted to:
Establish minimum or maximum transaction amounts, even on sale items.
Submit a Visa sales draft for a dishonored check.
Pass on the merchant's transaction fee to the cardholder as a Visa "service charge," "service fee," or "surcharge," even on sale items.
Require a Visa cardholder to sign a sales draft that does not have a specific amount indicated.
Merchants may not refuse to honor a Visa card simply because the cardholder refuses a request for supplementary information or ID.

То есть требовать то можно, но показывать необязательно.
(Reply) (Thread)
[User Picture]From: dil
2009-11-11 08:42 am (UTC)
"not permitted to:
Establish minimum or maximum transaction amounts"

а в ближайшем ко мне магазине не принимают кредитки, если сумма покупки меньше 5 евро :) только наличные или дебетовые карты.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: rblaze
2009-11-11 10:00 am (UTC)
Потому что CVV2 предназначен для борьбы с угрозами, не включающими в себя кражу или отксеривание карты?
(Reply) (Thread)
[User Picture]From: reedcat
2009-11-11 11:31 am (UTC)
Затем, что его все кому не лень требуют себе как "card details".

А самое приятное - это запросы прислать ксерокс обоих сторон карты для проведения платежа.
(Reply) (Thread)
[User Picture]From: alexeyk77
2009-11-11 12:01 pm (UTC)
Работю в банке в безопасности и одной из работ является как раз расследование мошеннических транзакций. Что хочу сказать, у меня сложилось такое впечатление, что сама платежная система поощиряет мошенничество, не явно конечно. Т.е. в каждой технологии заложены "дырки", которыми и пользуются воры. Начиная с cvv2 карте и заканчивая (не буду говорить чем). Но сама система построено насквозь дыряво, такое ощущение что ее сутдент троечник проектировал.
Вам хочу посоветовать одно, заклейте или замажьnе cvv2. Но помните, что эт как -бы нарушает правила платежной системы и теоретически карту в платежной сети как-бы не должны принимать к оплате из-за этого. Но свои деньги дороже, так что правила ПС смело игнорируем.
Насчет оспорить платежи через интернет. Все зависит от политики конкретного банка. И если за рубежом можно прийти в банк и сказать - не мое и вам поверят, то в наших краях такой номер не пройдет. Кстати находятся умники, что таким образом пытаются вернуть денежки себе обратно, из-за этого приходится проверять каждый случай.
Есть один хороший вариант, при котором даже cvv2 можно светить не боясь. Ваш банк должне поддерживать 3dsecure. В этом случае авторизация интернет платежей разбивается на 2 этапа, вторым из которых яляется перенаправление покупателя на родной сайт банка, на котором покупатель проходит дополнительную проверку. Но таких бкнков в наших краях очень очень мало.
(Reply) (Thread)
[User Picture]From: shnur0vka
2009-11-11 01:26 pm (UTC)
Что это все пишут CVV2? Даже специально посмотрела - CVC2 код.

Зачем его давать в конверте? У меня есть карточка, я этим кодом пользуюсь не так часто, а надо, так взял и посмотрел на карточке. Тем более, что все равно обычно ее необходимо подтвердить.

Вообще, очень удобно виза + виртуальная карта мастеркард. Она привязана к одному из счетов. Кладу на рублевый, при необходимости, конвертирую на долларовый(куда и привязана карта). Стырили твои номера - закрыл карту, открыл другую виртуальную.
(Reply) (Thread)
[User Picture]From: alexeyk77
2009-11-11 01:41 pm (UTC)
есть нечистые на руку продавцы магазинов и официанты ресторанов, которым, что-бы получить оступ к вашим деньгам, достаточно подержать ее в руках недолгое время.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: za1chas
2009-11-11 02:39 pm (UTC)
Вот ты мир учишь жизни, а Алексей Петрович тем временем нашел себе на ебае за 500 рублей охуительный складной цилиндр:

(Reply) (Thread)
[User Picture]From: arkanoid
2009-11-11 07:26 pm (UTC)
Ух еб, я тоже такой хочу!
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: auto194419
2009-11-11 05:42 pm (UTC)
найдёшь мой первый номер телефона? ;)
(Reply) (Thread)
[User Picture]From: arkanoid
2009-11-11 07:24 pm (UTC)
В старых нодлистах его не было? ;-)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: toxa
2009-11-11 08:53 pm (UTC)
Авторитетно отвечаю, что cvv2 на карте пишут для того, чтобы третья сторона (т.е. кассир) могла проводить беспиновые транзакции.
(Reply) (Thread)
[User Picture]From: arkanoid
2009-11-11 10:18 pm (UTC)
гм? ты хочешь сказать, они набирают cvv2 на кассе?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: od_mask
2009-11-12 05:22 am (UTC)
Имхо код CVV2 призван был защищать от поддельных карт в свое время, затем пришел в инет-транзакции как пережиток требований платежной системы для операций категории "no present", то бишь без физического участия карты. Данный код отсутствует на магнитной полосе и его невозможно получить при ее незаконном копировании. Дыр, конечно, немеряно :)
По поводу секретного вопроса: идея изначально хороша, но практическая реализация то смешит, то бесит. Достаточно один раз подслушать (любым удобным способом) разговор человека с банком и ты уже знаешь о нем все, что нужно, а уединиться,например, в наших магазинах практически нереально... А необходимость применения секретных вопросов-ответов как правило вызвана проблемами с оплатой товара - уточнить остаток, снять блокировку и т.п., т.е. звонок делается не отходя от кассы.
(Reply) (Thread)
From: ext_176062
2009-11-13 10:35 am (UTC)
На первое. Это Вы помните свой PIN, а я и номера своих карт. Многие же не могут запомнить эти простые 4е цифры, две из которых практических всегда одинаковые.

На второе. А Вы подумайте с другой стороны, отвечайте "не логично" на эти вопросы. Пример, на вопрос: "девичья фамилия матери", можно написать девичью фамилию жены )))
(Reply) (Thread)
[User Picture]From: arkanoid
2009-11-13 05:30 pm (UTC)
Проблема в том, что во-первых, типовой пользователь, когда у него спрашивают девичью фамилию матери, назовет девичью фамилию матери, это раз, и что более сложный ответ на порядок сложнее запомнить, это два.
(Reply) (Parent) (Thread)