NNNN NN__ ____ NNNN。 (因此,在总共16位数字中,它会像这样分解:显示的前6位数字,隐藏的中间6位数字,最后显示的最后4位数字。)因此,仅隐藏了6位数字。找到正确的数字将需要1.000.000个猜测,但是还有一个校验和可以将所需的猜测数目进一步减少到100.000(根据我的计算,可能是错误的)。
是否有关于可以显示多少位数?如果公司仅隐藏中间的六个数字,卡是否有危险?
#1 楼
根据PCI,可以显示前6个(BIN)和后4个,其他应屏蔽:摘自2008年官方PDF:PCI数据存储的注意事项:
切勿存储个人识别码(PIN)或PIN块。
确保在显示时遮住PAN。前六位和后四位
是可以显示的最大位数。
PAN是主帐号
到目前为止随着合规性的发展,用于打印收据的数据终端也合规。
评论
当我将PCI规则应用于只有13位数字的卡号并使用Luhn Check时,我总是发现PCI规则非常有趣。我似乎还记得美国可能有不同的规定吗?
– Matthieu M.
16 Dec 12'在10:21
PCI指出最大值而不是最小值。只要您不显示超出PCI要求的范围,您就被认为是合规的。我记得在美国有时只显示最后4个。
– Burhan Khalid
16 Dec 12'在10:22
@BurhanKhalid只显示最后4个并不比显示前6个和最后4个安全得多。因为前6个是发行者标识号,因此它们之间可能没有多少实际差异。
–麦克·斯科特(Mike Scott)
16 Dec 12'在10:37
@MikeScott但是,正如我们所看到的,出于完全与安全性无关的原因,商家仍希望仅显示最后四个:避免引起客户的震惊问题。 ;)(FWIW,在加拿大,最常见的是仅在收据上显示最后四位数字。我不知道这是由于法规还是行业惯例造成的。)
–SevenSidedDie
16/12/12在22:07
一些公司使用这些数字作为验证。因此,即使那样也可能是一种责任。参见Mat Honan的故事。
– Mindwin
16年12月13日在13:21
#2 楼
只要记住敏感并不意味着秘密。卡号是“敏感的”,因为它可用于发起金融交易,但不是秘密的。只是PIN码。以前,完整的号码已写在收据上,就像完整的帐号写在支票上一样。由于在线业务仅使用未经验证的VISA卡号,银行意识到欺诈的风险过高,因此选择部分隐藏收据上的信息。但是,您发起在线购物的网站的几乎所有员工都知道(或至少可以访问)完整的卡号。
TL / DR:如果银行过于懒惰以至于无法隐藏打印的收据上的卡号是他们的问题,而不是您的问题。由于您对此不承担任何责任,因此您不会疏忽。
评论
“如果银行太懒而不愿意在打印的收据上隐藏卡号,那是他们的问题,而不是您的问题”。这意味着对“问题”的定义很差。仅仅因为解决问题是银行的责任并不意味着这也不是客户的问题。如果我的银行的伪劣行为导致我的帐户出现大量欺诈,那我肯定会有问题,我会将钱带到其他地方。
– David Richerby
16 Dec 12'在10:35
@SimZal收据可以在McD上打印。但是谁告诉机器要打印什么是银行。他们甚至可以随意打印促销性声明,例如“您的购买赢得100美元的信用额”。
– Mindwin
16 Dec 12'在10:55
@SergeBallesta实际上,PCI合规性要求屏蔽信用卡信息,除非是在自己进行信用卡处理的公司内部首次输入时,否则该信息将被屏蔽。受信任的IT员工仍然可以访问,但其他员工则没有访问权限。如果您使用外部供应商进行卡处理(就像许多较小的网站一样),那么您甚至根本看不到真实的信用卡号:只有一次交易号。
– jpaugh
16 Dec 12'在22:51
“但是,几乎所有您发起在线购买的网站的员工都知道(或至少可以访问)完整的卡号。”我对此表示怀疑。只有可以直接访问拥有您的卡号的存储系统的员工才能进行这种访问(例如,DBA),并且数量不菲的企业将接受信用卡交易的整个过程外包给PayPal或Authorize等服务.NET避免了所有合规麻烦。你有这个来源吗?
– jpmc26
16 Dec 13'0:18
这个答案几乎是完全错误的。作为开发进行信用卡交易的网站的开发人员,我可以声明PCI声明没有任何人,即使是受信任的员工也可以访问PAN和PIN。必须在很早就丢弃PAN,并且永远不能存储PIN。即使是读卡器也应该对E-TRACK数据进行加密。此外,银行无法使用收据打印。即使在ATM机中(ATM供应商可以和银行都可以要求格式,但实际上他们对收据没有直接控制权)。
–牛羚
16年12月13日在5:23
#3 楼
在美国,2005年《公平准确的信用交易法》(FACTA)禁止打印超过五位数的信用卡号。因此,尽管您的收据符合PCI法规,但如果您在美国,则不符合法律规定。但是,您的个人资料显示您在斯洛文尼亚,并且我不知道任何类似的斯洛文尼亚或欧盟法律。评论
我在泰国得到了这张收据,我想他们的标准比美国低一些。
– SimZal
16 Dec 12'在12:52
这是信用卡吗?美国法律是否适用于芯片卡和密码卡?
– Tim
16 Dec 12'在17:58
根据上周《华尔街日报》的一篇文章,该限制为4,而不是5。
–HiTechHiTouch
16 Dec 14'9:11
@HiTechHiTouch根据法律规定的限制为5,特别是最后5个。
– Xander
16 Dec 14 '16:44
@Simzal鉴于对美国法律的评论,因为它们允许美国法律允许使用最后5位数字,这与PCI的“最后4”个配额相抵触,并且可以相对容易地得出1/6,所以:美国法律(1)不符合符合适用的美国标准,并且(2)低于收据的质量。
–拉塞尔·麦克马洪
16 Dec 15'7:50
#4 楼
由于全球有10亿张Visa卡在流通(2012年为8.835亿张),并且每张卡都有14个唯一数字(第一个数字始终为4,最后一个数字为校验和),因此平均需要进行50.000次猜测查找没有任何先验信息的有效号码。这样,如果黑客对想猜出您的号码不感兴趣,那么即使有收据,他也很可能会忽略您的收据。
评论
您是否还不需要持有人的姓名和有效期来进行无针交易?
– T. Verron
16 Dec 15'在13:34
@ T.Verron可以(而且拥有秘密的CCV代码也不会受到伤害)。我的意思是,潜在的犯罪分子甚至不会更加接近完整的卡号。
–德米特里·格里戈里耶夫(Dmitry Grigoryev)
16 Dec 15'在13:38
我理解您的观点,我应该更加清楚。我的观点是,额外的必填信息可以使攻击者有足够的理由感兴趣,以猜测收据的特定编号(例如,如果他知道或可以对持有人的姓名进行社交设计),而不是“任何”编号。
– T. Verron
16 Dec 15'在13:48
是的,我根本没有阅读过您的问题;)无论如何,您是对的,在这种特殊情况下,攻击者可以尝试的猜测更少。尽管如此,我还是认为攻击者知道您的大部分抄送详细信息,但不知道全部详细信息的情况还是很不正常的,问题中没有任何迹象表明可能是这样。
–德米特里·格里戈里耶夫(Dmitry Grigoryev)
16 Dec 15'在13:57
我无法想象他在不知道完整卡号的情况下就知道CCV代码和有效期。但是,仅知道CCV代码和持有人的名字是可能的,并且猜测到期日期并不像卡片上的其他信息那么难。无论如何,我认为您的回答仍然令人信服,我只是在挑剔。大规模攻击者很可能会锁定前几个数字,然后再针对其猜测的数字尝试一些通用名称,从而将目标锁定到特定国家。
– T. Verron
16 Dec 15'在14:05
#5 楼
正如另一位用户所说的那样,按照PCI兼容规则,这是完全可以接受的。我想澄清一下为什么会这样。首先,卡号的前六位数字构成BIN,该数字被认为是“众所周知”。这是分配给发行您的卡的机构的编号,并且属于该机构的所有其他持卡人都共享BIN。因此,仅通过查看BIN列表,显示BIN并不会为攻击者提供他无法获得的任何信息。由于模糊BIN仅提供少量(有些人会说“琐碎”)安全性,为什么要屏蔽它?明文BIN通常用于支付处理中,对其进行屏蔽会给安全性几乎为零的增加带来更多麻烦。如果用于信用卡对帐等,则没有足够的信息来唯一标识该卡。如果您经常使用信用卡号,则偶尔会遇到两个相同的被屏蔽的卡号,但确实有1 / 10,000的可能性。
将这两件事放在一起,您可能仍然会回到“给数据窃贼10个数字,从而将他的搜索空间减少到100万和校验和的意义上,将其减少到100,000!“
您有一个有效的观点,但这意味着什么?这意味着小偷现在拥有99,999个不良信用卡号和1个不良信用卡号的列表,而无法分辨哪个是正确的。信用卡号本身并不带有任何可让您知道何时拥有“正确”号码的信息。这不像解决密码难题。您必须出示该卡才能付款,以了解其是否“好”。这意味着,要破解一张ONE卡,您就必须破坏商家的支付平台并平均运行50,000次交易才能找到它。考虑到商家按交易收取费用,确保他们不能做这种事情对他们的利益非常重要。即使商人在保护其商人帐户的凭证方面不那么认真,付款处理器也经常会检测到这种情况并在几秒钟内关闭该帐户。
#6 楼
在90年代,您将不必担心。如今,您不必担心克隆RFID芯片,获取3位安全代码和有效期以及您的卡号,这比仅仅能够“猜测您的卡号”要担心得多。理论上,由于您提到的算法,模数10或Luhn,我已经知道您的卡号。如果没有其余数据,仅此信息就毫无价值。如果没有信用卡收据,就可以了。
评论
“由于您提到的算法,模数10或Luhn,我已经知道您的卡号了”-是吗?一个校验位不会弥补6个丢失的位。
–蓝胡子出局了
16年12月13日在19:52
不仅是6位数字。信用卡的前四张也是静态的。有MII,IIN,发行人代码,支票号码和一些与到期日期,发行日期等相关的众所周知的“额外代码”。在16位信用卡上,实际上只有大约9位数字是“您的”甚至在这9个中,都有一些可以遵循的模式。
–牛羚
16年12月14日在18:03
@Blorgbeard我猜你不明白写的是什么。使用该算法,可以生成曾经创建的每个信用卡号。毫无疑问,我知道世界上每一个信用卡号。但是,我没有有效期限或开始日期或3个校验位.....意味着只知道卡号没有影响。回复之前,请先了解您要回复的内容。
–迈尔斯
17年1月3日在15:47
那是垃圾您可以随机生成卡号,但这并不意味着您知道哪个是实际的,已发行的编号,更不用说哪个是我的了。
–蓝胡子出局了
17年1月3日,17:10
@Blorgbeard再一次,您似乎误解了我在说什么,并且碰巧发现了我要描述的内容。我确切地说的是:“我可以生成世界上的每张卡,其中一张是您的,但我知道我的清单上有您的卡号,因此我没有任何信息可以帮助我。拥有完整的信用卡号码对欺诈者来说是没有用的,因为他们需要更多信息,因此所显示的号码是否显示在收据上无关紧要。”希望你现在明白了。
–迈尔斯
17年1月4日在9:20
评论
前几个数字标识卡和发卡行,因此它们在所有持卡人之间都是通用的(并且很容易确定您是否看到卡上的图形)。为了方便起见,最后4位数字被屏蔽。我不确定如果有人能够强行使用屏蔽的数字可能会有什么风险。前6位数字是IIN,因此它们是公共域。每个PCI可以显示最后4位数字。
@Takarii:但是暴露最后一位数字意味着暴力破解者必须猜测少一位数字-他们可以算出正确的保护位数字应该是什么。
@Michael那不应该成为问题。显示和未显示的那些不是随机选择的,并且中间号绝对不能印在任何商人的收据上。前6个数字是卡的类型和卡所在的银行,因此实际上并不是真正的机密信息。最后四张特别是留下的,因此您可以分辨出使用了哪张卡。这是所有信用卡的标准。
另一方面,诈骗者有时会使用与约定相反的方式,例如定位到爱尔兰的目标使用4319 XXXX XXXX XXXX,它将涵盖该地区几乎所有的VISA借记卡和一些VISA信用卡(其他代码在其他地方同样常见)。有人可能不熟悉编号方案,但熟悉公开4位数字的一般想法,但会愚蠢地认为它一定是它们。