CVV2 e Sicurezza per le transazioni su Carte di Credito

[whiteHacker]

Caro whiteHacker, se sei convinto di quello che hai scritto (ora) riferito a quello che hai scritto (prima)... Non ci posso far nulla, infatti lo scritto (tuo e mio "precedente") resta e quello e' incontrovertibile. L'ho gia' commentato riga per riga senza cambiare le carte in tavola e quindi non lo rifaro'.
Prendo atto che ti piace impastare le frasi e questo lo terro' in considerazione per il futuro, leggendoti.

Ti faccio ancora una volta notare che non rispondo alle tue offese (ripetute, anche nel tuo ultimo post sopra) gratuite (forse non lo avevi capito prima, e quindi lo ripeto).
Se ti diverti cosi'...: divertiti! Chi te lo vieta? Sei convinto di esserti spiegato? Bravo! (ma senza ironia! Son contento per te).


Caro Peppe: cosa vuoi che ti dica? Leggi tu e trai le tue conclusioni.







Ora mi piacerebbe (finalmente) parlare del cvv2 e della sua necessita' di essere scritto in chiaro sulle carte di credito se fosse possibile

Io non ho impastato proprio nulla sei tu che non hai ne capito cosa ho scritto e ribadito ne tanto meno hai rispopsto a quanto TU hai scritto cioe' NON haoi ancora risposto come fai a phishare-sniffare o altro un sito protetto da token time driven come quello di superflash in cui si generano carte usa&getta che TU hai definito essere insicure perche prodotte da siti phishiabili. Chiunque puo leggere le tue affermazioni mentre io continuo ad affermare sempre le stesse cose...nulla di nuovo.

 

[tobyy]

Ribadisco che l'unico modo di dimenticare il preistorico cvv2 e non usarlo mai in rete e usare le usa&getta mentre per le frodi offline mascherarlo con un pennarello. Io per esempio l ho cancellato altri in questo forum ho sentito dire che l hanno mascherato con dell'adesivo e buonanotte ai sognatori.

Sul consigliare l'uso delle usa e getta sono d'accordo, però non risolve il problema che tutti i dati necessari per l'utilizzo della carta online sono stampati in bella vista sulla carta.

Se cancelli il cvv2 un negoziante troppo pignolo può rifiutarti la carta (anche se è vero che in Italia, dove spesso nemmeno richiedono un documento o controllano la firma sul retro, difficilmente un negoziante controllerà il cvv2 a meno che non abbia in partenza fini truffaldini). Inoltre alcuni siti permettono di effettuare transazioni anche senza il cvv2.

Una soluzione migliore è quella di accoppiare le usa e getta con la possibilità di disabilitare dal proprio account gli acquisti via internet con la carta. Alcune banche lo permettono, ma forse sono troppo poche.

 

[Bagongo]

Un piacere chiesto a tutti

Ho come l'impressione (forte) che si voglia far derivare il 3d e non mi interessa, pregherei tutti di ignorare i flame e non dare seguiti.

Grazie

Se riusciamo a stare In Topic e' meglio.

 

[whiteHacker]

...
La sicurezza sta nel fatto che la usi una volta sola e se te la sniffano non se ne fanno molto...
Ma se invece ti fissciano user e pwd per ottenere i numeri delle virtuali come la mettiamo?
Che anche le virtuali non sono sicure....

ecco la balordata che affermi qui ci sono le prove...continuo ad attendere spiegazioni in merito...perche se scrivi cose FALSE e insensate devi argomentarle e non puoi spaventare la gente con affermazioni FALSE e infondate.
Il leader delle USA&Getta e' superflash che per accedere e generare carte virtuali richiede token time-driven dimostra, se sei in grado, dove starebbe la falla del sistema.
Io non ho affermato altro che questo e continuo ad affermarlo tu invece di rispondere sui fatti ti arrampichi dicendo che "impasto" ...gli utenti del fol giudicano lasciamoli giudicare sui fatti.
So di per certo che qui c'e' gente competente che su queste cose ha discusso e dibattuto a lungo vediamo chi afferma falsità

 

[Pink Panther]

Ora mi piacerebbe (finalmente) parlare del cvv2 e della sua necessita' di essere scritto in chiaro sulle carte di credito se fosse possibile

A parte le polemiche, in effetti è curioso il fatto che il CVV2 sia scritto in chiaro. A questo punto potevano scrivere pure il PIN necessario per i prelievi in chiaro sulla carta...
Eppure ci dev'essere un motivo... forse risalente a quando internet non esisteva nemmeno... in ogni caso è una domanda curiosa e interessante.

 

[whiteHacker]

Sul consigliare l'uso delle usa e getta sono d'accordo, però non risolve il problema che tutti i dati necessari per l'utilizzo della carta online sono stampati in bella vista sulla carta.

Se cancelli il cvv2 un negoziante troppo pignolo può rifiutarti la carta (anche se è vero che in Italia, dove spesso nemmeno richiedono un documento o controllano la firma sul retro, difficilmente un negoziante controllerà il cvv2 a meno che non abbia in partenza fini truffaldini). Inoltre alcuni siti permettono di effettuare transazioni anche senza il cvv2.

Una soluzione migliore è quella di accoppiare le usa e getta con la possibilità di disabilitare dal proprio account gli acquisti via internet con la carta. Alcune banche lo permettono, ma forse sono troppo poche.

Esatto infatti molte banche estere hanno implementato l'abilitazione/disabilitazione dell'uso online delle carte.
Si entra nel proprio HB e si abilita la carta solo un attimo prima di effettuare l'acquisto si effettua l'acquisto e si disabilita subito dopo.
Il cvv2 non e' ne necessario ne richiesto per transazioni offline dubito fortemente che esista un commerciante che possa chiederlo...non si tratta di pignoleria si tratta di procedure e lui non accettandoti la carta con cvv2 coperto o illeggibile andrebbe contro le procedure, puoi tranquilllamente impuntarti e chiedere la transazione, ricordiamoci che chi espone VISA/MC/AMEX deve accettare quelle carte non puo rifiutarsi.
Amazon per esempio non chiede cvv2 a quel punto l'uso della virtuale taglia a zero il problema.

 

[whiteHacker]

A parte le polemiche, in effetti è curioso il fatto che il CVV2 sia scritto in chiaro. A questo punto potevano scrivere pure il PIN necessario per i prelievi in chiaro sulla carta...
Eppure ci dev'essere un motivo... forse risalente a quando internet non esisteva nemmeno... in ogni caso è una domanda curiosa e interessante.

Ciao Pink,

se ricordi bene e' stato un problema gia affrontato e dibattuto piu volte...il cvv2 ha una sua insicurezza di base tant'e' che alla fine conveniamo tutti che la miglior cosa e' coprirlo o cancellarlo.
Sulla mia ultima carta di credito a dir il vero l'adesivo del cvv2 era separato da quello del numero e firma...segno che puoi staccarlo disassociando la carta dal suo cvv2 e poi te lo conservi a mo di pin.
Il problema pero e' sempre lo stesso...sei comunque a rischio quando lo immetti in rete.
Resta sempre la virtuale l'unico modo per evitare phishing/cloning/keylogging/storage cracking etc etc...
E come tu ben sai esistono svariati casi qui segnalati di cloning con utenti che dichiarano di non averla mai usata in internet o di averla usata solo su siti cosiddetti sicuri (trenitalia,enel...)

 

[Bagongo]

ecco la balordata che affermi qui ci sono le prove...

Ti pregherei di usare un linguaggio piu' consono e meno "forte"/offensivo, ho gia' segnalato la cosa.

E' tutto gia' scritto, esattamente nel post #69, non ripetero' piu' cose gia' scritte (questa e' l'ultima volta), tu ti sei inserito dal post #60 di questo 3d in avanti e hai cominciato a portare Verita' - e non opinioni - ed offendere... perche'?:




[questa sotto riportata e' un'ipotesi, a differenza tua non partorisco Verita', ci scommetto, ma rimane un'ipotesi - d'altra parte una scommessa è sempre un'ipotesi, mai una certezza - e aprirebbe una falla]

-----------------estratto da #69-----------------
Il token generatore casuale forse potrebbe limitare i danni e di parecchio, ma... aspetto di sentire e ci scommetto che tra poco lo sentiremo:
il primo caso di phishing del token :
truffatore si fa spedire in mail i codici ed in casella postale - fisica - il token vero e proprio...

 

[tobyy]

Il cvv2 non e' ne necessario ne richiesto per transazioni offline dubito fortemente che esista un commerciante che possa chiederlo...non si tratta di pignoleria si tratta di procedure e lui non accettandoti la carta con cvv2 coperto o illeggibile andrebbe contro le procedure, puoi tranquilllamente impuntarti e chiedere la transazione, ricordiamoci che chi espone VISA/MC/AMEX deve accettare quelle carte non puo rifiutarsi.

Se ne è parlato in precedenza: la questione non è che il cvv2 non è necessario per transazioni offline, è che se cancelli con un pennarello il cvv2 di fatto alteri la carta ed in quel caso per il negoziante cade l'obbligo di accettarla.

 

[Bagongo]

A parte le polemiche, in effetti è curioso il fatto che il CVV2 sia scritto in chiaro. A questo punto potevano scrivere pure il PIN necessario per i prelievi in chiaro sulla carta...
Eppure ci dev'essere un motivo... forse risalente a quando internet non esisteva nemmeno... in ogni caso è una domanda curiosa e interessante.

Ci avevo pensato anche io, proprio in analogia alla tastiera qwerty che avevo citato (nata per le macchine da scivere a braccetti - incastrabili tra loro - e rimasta nelle tastiere dei PC (i braccetti son spariti).

Ma mi ero risposto:
dato che il cvv2 pare sia stato reso "obbligatorio" dal 2000-2001 (obbligatorio per Visa e Mastercard, se ben ricordo, poi magari posto la fonte)... evidentemente internet c'era gia'...

E pare serva proprio alle transazioni in rete appunto...

...e il mistero s'infittisce

 

[Pink Panther]

Ciao Pink,

se ricordi bene e' stato un problema gia affrontato e dibattuto piu volte...il cvv2 ha una sua insicurezza di base tant'e' che alla fine conveniamo tutti che la miglior cosa e' coprirlo o cancellarlo.
Sulla mia ultima carta di credito a dir il vero l'adesivo del cvv2 era separato da quello del numero e firma...segno che puoi staccarlo disassociando la carta dal suo cvv2 e poi te lo conservi a mo di pin.
Il problema pero e' sempre lo stesso...sei comunque a rischio quando lo immetti in rete.
Resta sempre la virtuale l'unico modo per evitare phishing/cloning/keylogging/storage cracking etc etc...
E come tu ben sai esistono svariati casi qui segnalati di cloning con utenti che dichiarano di non averla mai usata in internet o di averla usata solo su siti cosiddetti sicuri (trenitalia,enel...)

Sì, certo: il CVV2 è molto meno sicuro di altri sistemi che oggi esistono, su questo non ci piove.
Però la domanda base del thread resta irrisolta: perchè lasciarlo "pubblico" e non proteggerlo come ad esempio per il PIN? Deve esserci qualche motivo storico, oggi divenuto incomprensibile. Chiaramente è solo una curiosità.

 

[whiteHacker]

Se ne è parlato in precedenza: la questione non è che il cvv2 non è necessario per transazioni offline, è che se cancelli con un pennarello il cvv2 di fatto alteri la carta ed in quel caso per il negoziante cade l'obbligo di accettarla.

Puo essere ma a dir il vero se la copri e' altamente improbabile che un negoziante ti faccia questioni, e' tenuto a verificare l'autenticità della firma (quando ne ha voglia) non la manomissione della carta...quella se funziona ok altrimenti non procede.
Si dovrebbe limitare alla firma infatti come dicevo la mia ultima carta di credito mi e' arrivata con l'adesivo del cvv2 separato dal resto e l ho facilmente tolto senza manomettere null'altro.
Per l'amex purtroppo il problema e' differente perche come ben sai e' scirtto sulla plastica e non e' dato staccarlo dalla carta.

 

[whiteHacker]

Sì, certo: il CVV2 è molto meno sicuro di altri sistemi che oggi esistono, su questo non ci piove.
Però la domanda base del thread resta irrisolta: perchè lasciarlo "pubblico" e non proteggerlo come ad esempio per il PIN? Deve esserci qualche motivo storico, oggi divenuto incomprensibile. Chiaramente è solo una curiosità.

 

[Bagongo]

Sulla mia ultima carta di credito a dir il vero l'adesivo del cvv2 era separato da quello del numero e firma...segno che puoi staccarlo disassociando la carta dal suo cvv2 e poi te lo conservi a mo di pin.

Come ha gia' detto tobyy, ne avevamo gia' discusso prima in questo stesso 3d...

Il fatto e' che se io lo trovo scritto su una lettera di accompagnamento:
"Ecco la Sua nuova Carta, stacchi pure il cvv2 adesivo e lo conservi a parte per quando fara' le transazioni in internet".

Posso accettare "senza se e senza ma" il suggerimento che riporti... ma dato che rimane una interpretazione, non posso esserne sicuro e non si da' liceita' al comportamento.
Oltreche' l'esercente potrebbe pure rifiutarti la carta (e avere anche ragione, stante il regolamento di Cartasi' citato nei post prima)

 

[peppe_roma]

Bagongo, whiteHacker,

non ci siamo capiti, state dando un pessimo spettacolo. Battutine, allusioni, insulti più o meno espliciti:

...uno sostituisce le parole per fare risposte ad arte...

ma lo fai apposta a cambiare le mie parole?

dimenticavo: ...e non mi hai risposto sul cvv2!!!

...credo che tu non hai capito un capzo di sicurezza token e farfugli cose insensate.

... ti interessa solo trolleggiare

...e vediamo chi dei due e' un trollista.

...
Prendo atto che ti piace impastare le frasi e questo lo terro' in considerazione per il futuro, leggendoti.

Quando 2 si confrontano sono entrambi convinti di avere ragione, ma non spetta nè a me, nè a voi stabilire chi ha ragione (soprattutto se battibeccate), il giudice delle vostre idee è chi vi legge ed il suo giudizio ha validità solo per sè.
Nel metodo, invece, state sbagliando entrambi, da persone intelligenti e preparate quali siete, che frequentano il forum da tempo e che hanno all'attivo tanti msg ci si aspetta un comportamento diverso e che sia d'esempio per gli altri.

Tornate all'argomento del thread secondo un confronto corretto. Alla prossima intemperanza vi metto a sbollire fuori dal forum per qualche giorno.

Peppe.

 

[whiteHacker]

Bagongo, whiteHacker,

non ci siamo capiti, state dando un pessimo spettacolo. Battutine, allusioni, insulti più o meno espliciti:











Quando 2 si confrontano sono entrambi convinti di avere ragione, ma non spetta nè a me, nè a voi stabilire chi ha ragione (soprattutto se battibeccate), il giudice delle vostre idee è chi vi legge ed il suo giudizio ha validità solo per sè.
Nel metodo, invece, state sbagliando entrambi, da persone intelligenti e preparate quali siete, che frequentano il forum da tempo e che hanno all'attivo tanti msg ci si aspetta un comportamento diverso e che sia d'esempio per gli altri.

Tornate all'argomento del thread secondo un confronto corretto. Alla prossima intemperanza vi metto a sbollire fuori dal forum per qualche giorno.

Peppe.

Ascolta Peppe,

questo forum e' fatto di informazione per quanto se ne puo dare, se una persona iniza a dare informazioni false come quella secondo cui le carte usa&getta sono insicure perche' i siti che le generano sono phisciabili (sono protetti da token event driven) oppure addirittura si scommette che un giorno un ipotetico signor X invii token e password a un ipotetico truffatore per posta su casella postale fisica solo perche ha voglia di generare carte virtuali...bhe francamente non posso che intervenire ...sono stupidaggini fuorvianti la realtà che come ben sai e' differente.
Scusa Peppe ma questa e' disinformazione a prescindere dal titolo del 3d.

 

[Bagongo]

Puo essere ma a dir il vero se la copri e' altamente improbabile che un negoziante ti faccia questioni, e' tenuto a verificare l'autenticità della firma (quando ne ha voglia) non la manomissione della carta...quella se funziona ok altrimenti non procede.
Si dovrebbe limitare alla firma infatti come dicevo la mia ultima carta di credito mi e' arrivata con l'adesivo del cvv2 separato dal resto e l ho facilmente tolto senza manomettere null'altro.
Per l'amex purtroppo il problema e' differente perche come ben sai e' scirtto sulla plastica e non e' dato staccarlo dalla carta.

non e' vero (ne abbiamo gia' parlato)...:

Post #33 di tobyy:

---------------------
Art. 3 - Accettazione della carta
La carta di credito deve essere accettata dall’Esercente a condizione che:
a) sia utilizzata per l’acquisto di beni e/o servizi che costituiscono oggetto della sua attività;
b) sia presentata entro il periodo di validità indicato sulla stessa e comunque mai oltre la scadenza;
c) riporti in rilievo il nome del Titolare e il numero della carta e il periodo di validità o la data di scadenza;
d) abbia le caratteristiche formali di cui al precedente art. 2;
e) non presenti abrasioni o alterazioni rilevabili con la particolare diligenza professionale richiesta dall’art. 1176, 2° comma C.C.;
f) non sia stata inserita negli elenchi delle carte non valide (revocate, smarrite o sottratte) predisposti dall’Emittente.
Fonte: http://www.cartasi.it/download/RegolamentoEsercente.pdf
--------------------

E sulla manomissione, ne avevo gia' disquisito (imho) esattamente qui:
Post #40

 

[whiteHacker]

...

mi sono auto-sospeso dal forum.
Buona continuazione a tutti.

 

[tobyy]

Sì, certo: il CVV2 è molto meno sicuro di altri sistemi che oggi esistono, su questo non ci piove.
Però la domanda base del thread resta irrisolta: perchè lasciarlo "pubblico" e non proteggerlo come ad esempio per il PIN? Deve esserci qualche motivo storico, oggi divenuto incomprensibile. Chiaramente è solo una curiosità.

Resterà una di quelle domande senza risposta...

 

[Moroboshi_84]

Già, perchè per un truffatore sarebbe tanto difficile farsi spedire la merce in qualche casella postale aperta con documenti falsi.


Ma dove sei stato fino ad ora, sulla Luna?

E' una notizia di mesi fa, e di cui in questo forum si è già parlato a lungo.
In quell'occasione avevo anche chiarito come quello studio non avesse conseguenze pratiche. Inoltre che "si possa ricavare il pin in mezz'ora" è una tua invenzione: quello studio non spiega come ricavare il pin ma come bypassarne la sua verifica (cosa fattibile solo in determinate situazioni ed utilizzando un procedimento che, per la strumentazione che richiede, non è applicabile del mondo reale).

Non ho parlato di fonte, bensi' di "link", il link che hai citato tu era come una sorta di "pre-link" del sito (citato), l'intero articolo era riportato nel link che ho citato io e non nel tuo, ne' piu' ne meno. Non andare a cercare la "fonte" (nel commento al mio post), piuttosto commenta sul fatto che la notizia l'hai data per "nuova" e risaliva a nov 2008... se proprio vuoi...
Apprezzo di piu' tobyy che ha detto che iwbank l'ha proposta in via sperimentale: se ne sa di piu'? Link? Come e' andata la sperimentazione?
Guardate che non vorrei apparire "scontroso", non lo sono affatto: sono invece abituato a ragionare sui dati di fatto e quindi apprezzo link e commenti ad essi

Sul fatto che si debba spedire la merce in un posto fisico, se noti io ho commentato la parte prima del tuo scritto, e solo quella (grassetto e sottolineato): tu dicevi che se ti rubavano il portafogli "avrebbero saputo" il tuo nome e cognome,..., in realta' basta la pura carta, anche solo vista per i secondi necessari da un fenomeno della memoria visiva...
E' li' che commentavo...

Sul link: grazie me lo guardero'.
Per caso e' la stessa Univerita' di Cambridge che aveva poche settimane (meta' febbraio) fa annunciato la bucabilita' del sistema Chip&PIN?...
Ne avevamo parlato da qui in avanti:
http://www.finanzaonline.com/forum/showthread.php?t=1154770

buonissima osservazione, i bollini son sempre finiti e al max cerco vicari

Tra l'altro per la par condicio (visto il periodo ), tutti i sistemi simili, come quello citato da te secure mastercard, ...
Hanno la medesima valenza ai miei occhi!











non per te ma per i pigri di mouse:
http://it.wikipedia.org/wiki/Rasoio_di_Occam

tra il resto, dal link:

Tale principio, alla base del pensiero scientifico moderno, nella sua forma più immediata suggerisce l'inutilità di formulare più assunzioni di quelle che si siano trovate per spiegare un dato fenomeno: il rasoio di Ockham impone di evitare cioè ipotesi aggiuntive, quando quelle iniziali sono sufficienti. Se una teoria funziona è inutile aggiungere una nuova ipotesi. La metafora del rasoio concretizza l'idea che sia opportuno, dal punto di vista metodologico, eliminare con tagli di lama e mediante approssimazioni successive le ipotesi più complicate.

1) Allora, se è facile "taroccare" un qualcosa che è fisico come una casella postale, non dovremmo nemmeno preoccuparci della sicurezza di qualcosa che agisce "immaterialmente" e che quindi è più difficile da indagare poichè non lascia tracce materiali;

2) Una notizia, finchè rappresenta un processo in essere, può sempre essere attuale e non invecchiare, e soprattutto se tu la conosci, non è detto che io la sappia e quindi anche se di anni addietro, potrebbe essere paradossalmente una notizia nuova... Un esempio, Marx analizzando la natura qualitativa e quantitativa dello spostamento del mercato globale dal Mediterraneo all'Atlantico, individuò le linee guida per dire che l'asse dell'economia mondiale si sarebbe spostata sul Pacifico (ciò che avviene oggi), parlando di India e Cina, prima di tutti, in un epoca dove si sostenevano le idee Malthusiane (più popolazione più povertà), una notizia di 150 anni fa come vedi è ancora attualissima e soprattutto misconosciuta ai più;

3) Purtroppo non sono ne oscisciente ne onnipresente;

4) Una critica sul metodo, io sono programmatore, è posso assicurarti che basarsi solo ed esclusivamente sulla tecnica descritta da Ockham, può portare a degli errori di valutazione, poichè si generano modelli, che non rispondono alla realtà, insomma è una riproduzione parziale o se preferisci una "tua verità" (che è differente dalla realtà). L'unico sistema di analisi esistente per spiegare tutto ciò che avviene in natura è il metodo dialettico, della trasformazione della quantità in qualità.

5) In un dibattito, quante più tesi ci sono, per un lettore credo che sia sempre meglio... quindi apprezzo molto gli interventi di persone che hanno cercato di allargare questo discorso ad un livello più generale.

6) Io credo che l'unico motivo dell'esistenza di questi codici sia, che forse in passato, si generavano con un algoritmo, il numero che identificano la carta, quindi questi tizi, senza rubarla, potevano già fare degli imbrogli, e quindi per rendere più complessa la cosa, gli avranno generato con un algoritmo particolare questo "codice oscuro". Ma se la notte non vi fa dormire, posso vedere se la Visa, Mastercard o American Express potranno illuminarci su questo quesito.