アカウント名:
パスワード:
式内の9を10の9乗とすれば、そのカード会社のすべてのカードのカード番号とセキュリティコードの組を列挙できることになりますね。応答値でカード番号の存在チェックが出来るのであれば非存在カードについての施行回数が1/1000に出来る。
成否のみ応答が得られる場合に該当カード会社の全カードのカード番号とセキュリティコードの列挙に必要な施行回数(10^9)*(5*12)*(1000*0.5)=60兆(60テラ)存在情報も得られる場合(10^9)*(5^12)*(1+((カード存在率)*999*0.5))=一枚だけ探す場合だと大幅に減る。
まぁ10^9を9と間違えたまま計算したと考えれば辻褄はあうかなと。
> あれ? カード番号、有効期限、セキュリティコードの他に、氏名は照合しないのでしょうか?#3535801 [srad.jp]
そもそもクレジット電文の国際規格ISO8583 [wikipedia.org]にカードホルダの氏名なんて存在しないので氏名で所有者確認することは不可能ですよ。サイトとかで入力させてるのは問い合わせ対応のためだけです。デタラメ入れても通る。
らしいです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
計算方法 (スコア:1)
総当たり攻撃の必要回数って、カード発行元に割り当てられた、9桁の数字(10億)のうち、実際に有効なカードの枚数がわからないと計算できないのではないでしょうか?
はじめの "9" というのが、その値だとすると、発行枚数が多いところでは、1億枚程度有効なカードがあるということでしょうか?
Re: (スコア:0)
式内の9を10の9乗とすれば、そのカード会社のすべてのカードのカード番号とセキュリティコードの組を列挙できることになりますね。
応答値でカード番号の存在チェックが出来るのであれば非存在カードについての施行回数が1/1000に出来る。
成否のみ応答が得られる場合に該当カード会社の全カードのカード番号とセキュリティコードの列挙に必要な施行回数
(10^9)*(5*12)*(1000*0.5)=60兆(60テラ)
存在情報も得られる場合
(10^9)*(5^12)*(1+((カード存在率)*999*0.5))=
一枚だけ探す場合だと大幅に減る。
Re:計算方法 (スコア:1)
ただ、"約53万回" というのに辻褄を合わせようとすれば、"10^9" ではなく、やはりただの "9" なのでしょう。
それに、10^9 枚のカードから 1枚だけを探し出す必要もないでしょうから?
あれ? カード番号、有効期限、セキュリティコードの他に、氏名は照合しないのでしょうか?
Re: (スコア:0)
まぁ10^9を9と間違えたまま計算したと考えれば辻褄はあうかなと。
Re: (スコア:0)
> あれ? カード番号、有効期限、セキュリティコードの他に、氏名は照合しないのでしょうか?
#3535801 [srad.jp]
らしいです。