パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

クレジットカードのセキュリティコードを数秒で割り出せるシステム」記事へのコメント

  • by Anonymous Coward on 2016年12月08日 9時39分 (#3126584)
    セキュリティコード って、ほとんどのカードで 3桁の数字
    CID 使ってる AMEXでも 4桁の数字。
    カード番号と有効期限までわかってるケースなら、残りの3桁か4桁の数字なんて、素人でも総当たりで調査出来るレベルの規模だとわかる話

    いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。
    • by Anonymous Coward on 2016年12月08日 11時29分 (#3126650)

      いまどきのオンライン決済だと、その上にカードに紐づけたユーザーIDやパスワード認証なんかもないと決済できんわけだし。

      1)どこからかクレジット番号と有効期限を入手
      2)BOTを使って適当な通販サイトでアカウントを作成、クレジット情報を登録
      3)その際にセキュリティコードは辞書攻撃で当たっていく
      4)2~3の手順を複数回行うことで「正しい」セキュリティコードを入手
      5)本命のサイトでセキュリティコードを不正利用し買い物をする

      という流れでしょう。ユーザーIDやパスワード認証は関係ない。

      VISAに関して言うなら、VISA認証サービス [visa.co.jp]という、VISA側が一元的に提供しているパスワード認証(IDはクレジット番号に相当するが、決済時に店舗側から送信されるので入力する必要はない)があるので、辞書攻撃等を行った場合は検知できる。
      ・・・逆に言えばVISA認証サービスを使っていないオンラインサイトがある限り上記のような問題は発生するので、そういうオンラインサイトはとっとと淘汰されてしまえ、と思うけどね。

      親コメント
      • by Anonymous Coward
        追加でって言うのだからユーザーとパスワードは、カード決済のアカウントでしょ。
        通販サイトのアカウントじゃない。

        VISA 認証は簡易なものだけど、他のカード会社の認証だとクレジットカードとは別に ID とパスワード必須ですよ。
        当然ですけど、カード番号(がわかる情報)は店舗から送信されても、パスワードやIDは送信されたりしません。
      • by Anonymous Coward

        > VISA認証サービス
         
        あの画面ってめっちゃしょぼいですよね。レガシー感あるというか。
        もうちょっとなんとかならんのか。

      • by Anonymous Coward

        JCBにもJ/Secure http://www.jcb.co.jp/service/safe-secure/activity/jsecure/ [jcb.co.jp] ってのがありますが、ここに飛ばされる決済サイトは多くない印象・・・

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...