Diskussion:Card Validation Code

Letzter Kommentar: vor 5 Jahren von HB Jepsen in Abschnitt Effektivität

Rechtliche Implikationen

Bearbeiten

Zweck des CVC ist die Überprüfung, ob bei einer Fernübermittlung der Kreditkartennummer (KKN) die Karte dem Übermittelnden auch tatsächlich physisch vorliegt. Aus diesem Grund ist es meines Wissens auch verboten, die Nummer zusammen mit der KKN irgendwo zu speichern oder aufzuschreiben - wenn die Karte selbst nicht mehr das einzige Dokument ist, auf dem beide Nummern zusammen vorliegen, ist das Verfahren ja schon in seiner Grundidee ausgehebelt. Ich verstehe es so, dass also ein rechtlich korrekt arbeitender Webshop kurz checkt, ob CVC und KKN zueinander passen, die CVC dann aber nicht abspeichert. Wie ist das aber, wenn ein Verkäufer KKN und CVC gemailt haben möchte? Ist diese Aufforderung bereits rechtswidrig? Noch wichtiger: darf ich als Kunde so eine Mail überhaupt schicken? Die Frage ist nicht, ob das clever ist (ist es nicht), sondern ob es im Betrugsfall rechtlich relevant ist (also etwa vergleichbar zu der Situation, wenn mir die Bank beweisen kann, dass ich die PIN auf der Karte notiert hatte). George Stobbart (Diskussion) 16:49, 6. Jun. 2013 (CEST)Beantworten

---

Hallo,

meines Wissens berechnet sich die CVC2 aus Datum und Kreditkatennummer mit Hilfe eines geheomen Schlüssels des Kartenherstellers (mittels DES Algorithmus). 1. Stimmt das ? 2. Wie ist die Struktur des CVC1 ung existiert ein Zusammenhang mit dem CVC1

Grüße

---

Die Links zu beiden Quellenangaben sind mittlerweile ungültig. Könnte das bitte jemand entsprechend korrigieren?

-- 87.163.195.89 21:50, 27. Apr. 2011 (CEST) --- Hallo, warum soll man sich überhaupt die Mühe machen, die CVC2 zu hacken. Bei jedem Zahlvorgang an der Tanke oder im Supermarkt muss das Kassenpersonal die Unterschriften auf Quittung und Karte vergleichen. Wer sagt mir, dass sich der/die Kassierer/in nicht die dreistellige Nummer merkt. Man braucht ja lediglich die 3 stellige Nummer und die Laufzeit der Karte. Die Kartennummer dürfte doch auf der Abrechnung stehen, die im Laden bleibt. Wer sagt mir, dass das unterbezahlte Personal die Daten nicht im Internet verkauft? ME hat man hier "0" Sicherheit. (nicht signierter Beitrag von 176.198.149.65 (Diskussion) 21:50, 25. Feb. 2014 (CET))Beantworten

CVV2 geknackt?!?

Bearbeiten

http://www.zeit.de/2011/21/Kreditkarten-Sicherheit (nicht signierter Beitrag von 84.157.21.179 (Diskussion) 12:14, 21. Mai 2011 (CEST)) Beantworten

Warum fällt das nicht auf?

Bearbeiten

Ich verstehe nicht, wie das dort beschriebene Vorgehen funktionieren kann, nämlich alle Nummern durchzuprobieren. Ob die CVV2 korrekt ist, stellt man ja erst bei einem Autorisierungsversuch fest. Das muss die Kartengesellschaft doch bemerken, dass laufend Autorisierungen wegen falscher CVV2 abgewiesen werden. Es heißt in dem Artikel zwar "Manchmal muss er etwas warten, um nicht aufzufallen" - aber um unauffällig zu sein, kann man sich doch allenfalls 4-5 Versuche leisten und danach frühestens eine Woche später den nächsten.

Aber ganz leicht zu "knacken" ist die CVV2 für einen Angestellten bei einer Akzeptanzstelle, indem man sie einfach abliest - wegen der Unterschriftenprüfung ein völlig unauffälliger Vorgang. Warum steht die CVV2 auf der Karte? Spricht etwas dagegen, sie abzukratzen? Sie hat dort m.E. ebensowenig zu suchen wie die PIN.

Kann jemand diese Punkte aufklären? --Reinhard-eo (Diskussion) 19:42, 16. Jul. 2013 (CEST)Beantworten

Es wird empfohlen den CVC Code einfach abzukleben, somit ist es schwieriger z.B. an der Kasse den Code auszuspähen. http://www.girokonto.one/kartenpruefnummer-auf-kreditkarte/

Widerspruch

Bearbeiten

Diese beiden Sätze widersprechen sich:

Sie kann ausschließlich vom ausgebenden Kreditinstitut verifiziert werden, da es keinen mathematischen Zusammenhang zur Kartennummer gibt. Einige Kreditinstitute erstellen die Prüfziffer mit dem DES-Algorithmus u. a. aus Kartennummer und Gültigkeitsdatum.

Aus den weiteren Ausführungen schließe ich, dass wahrscheinlich der zweite Satz zutrifft.--Inschenör (Diskussion) 20:49, 12. Okt. 2013 (CEST)Beantworten

Es gibt da keine standards bezüglich CVC generation und jeder kann da seinen eigenen Kram haben und einige machen halt irgendwas mit dem DES...
My1 (Diskussion) 02:21, 13. Jan. 2016 (CET)Beantworten

Prägung und Maschinenlesbarkeit

Bearbeiten

Zitat: "Es handelt sich dabei um eine [..] Zahlenkombination, die zusätzlich zur Kreditkartennummer auf der Kreditkarte aufgedruckt (nicht geprägt) ist. Dadurch ist die Prüfnummer nicht maschinenlesbar."

Seit wann sind nicht geprägte Daten nicht maschinenlesbar? ich habe ja noch nie geprägte QR Codes gesehen... und da die schrift sehr gut lesbar ist könnte man einfach beide seiten scannen, etwas OCR und schon hat man alle daten ohne sich die karte aucg nur anschauen zu müssen.

My1 (Diskussion) 02:28, 13. Jan. 2016 (CET)Beantworten

Effektivität

Bearbeiten

Was nützt die CVC überhaupt? Dass sie auf der Rückseite anstatt auf der Vorderseite steht, ist doch keine Sicherheitsvorkehrung. Wenn ich in den Besitz der Kreditkartennummer komme, dann dürfte ich auch in den Besitz der CVC kommen können. Schließlich muss ich die Karte dazu bloß umdrehen, wenn sie physisch vorliegt bzw. bei elektronischer Verwendung die gleichen Daten abhören! Was also soll die CVC? Im Artikel steht, die CVC sei leicht zu errechnen. Das ist ein irreführender Hinweis. Man muss diese Nummer ja nicht einmal "ermitteln", sie steht einfach so ohne jede Beschränkung auf der Karte aufgedruckt. Der Abschnitt vermittelt den Eindruck, dass die CVC der Kreditkarte *irgendeine* Form von Sicherheit hinzufüge, die bloß "leicht zu knacken" sei. Das ist aber nicht der Fall: Die CVC bietet *keinerlei* Sicherheit irgendeiner Art. Man hätte genau so gut die eigentliche Kreditkartennummer um drei Stellen verlängern können. --HB Jepsen (Diskussion) 14:06, 26. Jul. 2019 (CEST)Beantworten