アカウント名:
パスワード:
PCや今のスマホでも一日あれば突破できてしまうが
暗号解読のようなものならオフラインで高速に試行を繰り返せるけど、カード番号の総当たりはサーバからのレスポンスを待つ必要がある。チェックディジット間違いを繰り返してもロックしないくらいだから同一IPから短時間に繰り返しアクセスもロックしないと仮定して24時間で53万回トライすると秒間約6回の間隔。不可能とはいえないけどちょっと厳しそう。ただしこれは53万通りのうち有効な番号の組み合わせがひとつしかない場合。
現実にはそんなことありえなくて、カード発行元によっては万単位の「あたり」が存在すると思われるので、数百回か悪くても数千回のチャレンジで十分成功が見込めそう。
カード決済ネットワークに流すのに端末から投げるわけない普通にPayPayサーバから投げられるから分からん
で、セキュリティコードも暗号の一種カード番号とカード会社のパラメータを使って算出しているだけ
セキュリティコードの算出が目的ならそういう理屈も成り立ちますが、セキュリティコードやチェックディジットに矛盾はなくても空き(未使用)の番号や未払いなどで停止された番号、すでにPayPayに登録済みの番号はサーバに投げてみないことには確認のしようがないですよ。
>PayPayに登録済みの番号既にpaypayの他のアカウントに登録ずみのカードでも登録できちゃう件。なんで、チェックディジットも総当たりにしたとしても
((10^10)/(そのカードの会員数))*60*999が「想定される最大試行回数」まぁ、やっぱり数千から数万回の試行でカード番号もわからないゼロからカード番号、有効期限、セキュリティコードの全てのあたりが出るわな。
53万通りのうち有効な番号の組み合わせがひとつしかないでしょっておもったら元の式がおかしいのか、最初の9の意味が分からないな。
1つのカード番号の有効期限とセキュリティコードを特定するのにかかる最大回数は12ヶ月*5年*999回=59940回の試行が必要ですさらにこのカード番号が未使用の可能性があるので通常は更なる試行回数が必要ですが、番号の利用率(利用可能番号特定率)はカード会社の運用しだいでしょうね
少なくとも数百回で特定なんて相当運が無いと無理。53万は意味の無い数字ですね
53万通りのうち有効な番号の組み合わせがひとつしかないでしょ
ぜんぜん違います。この場合「一つのカード番号」に対応するセキュリティコードや有効期限を探すわけではなく、「まだPayPayに登録されていなくて、未使用番号やカード会社の方で停止措置などをしていない番号」でありさえすればいいので、有効な番号の組み合わせは数千とか数万のオーダーで存在しますよ。
1つのカード番号の有効期限とセキュリティコードを特定するのにかかる最大回数は6万回なのですそれを10回繰り返して、60万ためしても得られるカード番号は最小で10個ですよ、元の計算53万が異常なの
53万のうち1万有効だというのなら平均53回試せば使えるカード番号と有効期限とセキュリティコードのくみあわせが得られるということになってしまいます。有効期限が分かっていてもセキュリティコード特定のための999回以下なのですが
勘違いしていたのに気づきました。確かにカード番号も込みの総当たりだったら530万でもぜんぜん少ないですね。
「まだPayPayに登録されていなくて、未使用番号やカード会社の方で停止措置などをしていない番号」でありさえすればいい
PayPayは複数アカウントでクレカ番号は共有できるそうな。ソースは仕事場の同僚。嫁さんと共有できたって。
連番発行されていてカード番号と有効期限が推測できるものなら1000通りくらいで成功する(例:dカードプリペイド)
セッション1つでやろうとするからそうなる。53万セッション張ればワントライの時間で終わる。現実的には53万セッションは張れないけど、一日で十分。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
計算が雑 (スコア:1)
PCや今のスマホでも一日あれば突破できてしまうが
暗号解読のようなものならオフラインで高速に試行を繰り返せるけど、カード番号の総当たりはサーバからのレスポンスを待つ必要がある。
チェックディジット間違いを繰り返してもロックしないくらいだから同一IPから短時間に繰り返しアクセスもロックしないと仮定して24時間で53万回トライすると秒間約6回の間隔。不可能とはいえないけどちょっと厳しそう。
ただしこれは53万通りのうち有効な番号の組み合わせがひとつしかない場合。
現実にはそんなことありえなくて、カード発行元によっては万単位の「あたり」が存在すると思われるので、数百回か悪くても数千回のチャレンジで十分成功が見込めそう。
うじゃうじゃ
Re: (スコア:0)
カード決済ネットワークに流すのに端末から投げるわけない
普通にPayPayサーバから投げられるから分からん
で、セキュリティコードも暗号の一種
カード番号とカード会社のパラメータを使って算出しているだけ
Re:計算が雑 (スコア:1)
セキュリティコードの算出が目的ならそういう理屈も成り立ちますが、セキュリティコードやチェックディジットに矛盾はなくても空き(未使用)の番号や未払いなどで停止された番号、すでにPayPayに登録済みの番号はサーバに投げてみないことには確認のしようがないですよ。
うじゃうじゃ
Re: (スコア:0)
>PayPayに登録済みの番号
既にpaypayの他のアカウントに登録ずみのカードでも登録できちゃう件。
なんで、チェックディジットも総当たりにしたとしても
((10^10)/(そのカードの会員数))*60*999が「想定される最大試行回数」
まぁ、やっぱり数千から数万回の試行でカード番号もわからないゼロからカード番号、有効期限、セキュリティコードの
全てのあたりが出るわな。
Re: (スコア:0)
53万通りのうち有効な番号の組み合わせがひとつしかないでしょ
っておもったら元の式がおかしいのか、最初の9の意味が分からないな。
1つのカード番号の有効期限とセキュリティコードを特定するのにかかる最大回数は
12ヶ月*5年*999回=59940回の試行が必要です
さらにこのカード番号が未使用の可能性があるので通常は更なる試行回数が必要ですが、
番号の利用率(利用可能番号特定率)はカード会社の運用しだいでしょうね
少なくとも数百回で特定なんて相当運が無いと無理。
53万は意味の無い数字ですね
Re:計算が雑 (スコア:1)
53万通りのうち有効な番号の組み合わせがひとつしかないでしょ
ぜんぜん違います。
この場合「一つのカード番号」に対応するセキュリティコードや有効期限を探すわけではなく、「まだPayPayに登録されていなくて、未使用番号やカード会社の方で停止措置などをしていない番号」でありさえすればいいので、有効な番号の組み合わせは数千とか数万のオーダーで存在しますよ。
うじゃうじゃ
Re: (スコア:0)
1つのカード番号の有効期限とセキュリティコードを特定するのにかかる最大回数は6万回なのです
それを10回繰り返して、60万ためしても
得られるカード番号は最小で10個ですよ、元の計算53万が異常なの
53万のうち1万有効だというのなら平均53回試せば使えるカード番号と有効期限とセキュリティコードのくみあわせが得られるということになってしまいます。
有効期限が分かっていてもセキュリティコード特定のための999回以下なのですが
Re:計算が雑 (スコア:1)
勘違いしていたのに気づきました。
確かにカード番号も込みの総当たりだったら530万でもぜんぜん少ないですね。
うじゃうじゃ
Re: (スコア:0)
「まだPayPayに登録されていなくて、未使用番号やカード会社の方で停止措置などをしていない番号」でありさえすればいい
PayPayは複数アカウントでクレカ番号は共有できるそうな。
ソースは仕事場の同僚。嫁さんと共有できたって。
Re: (スコア:0)
連番発行されていてカード番号と有効期限が推測できるものなら1000通りくらいで成功する(例:dカードプリペイド)
Re: (スコア:0)
セッション1つでやろうとするからそうなる。
53万セッション張ればワントライの時間で終わる。
現実的には53万セッションは張れないけど、一日で十分。