アカウント名:
パスワード:
ランダムで生成→ダメなのをのぞく(同じ文字が連続とか)→それを利用だといままでずっと思ってた
カード番号、有効期限、サービスコードを暗号化キー(CVK = Card Verification Keyという)によって符号化、十進化した結果から算出される。
なんで256ビットのCVKキーさえ知ってれば計算できることはカード会社としては既知のリスクだったのかも。まあ漏れるわけないだろと思ってたんだろうけど。
本件のはリンク先記事の画像見た感じ桁がフツーに対応関係持ってるぽいので、そういう構造になってなかった(その記述(Wikipedia?)の取材元はそうしてたというだけ)か、肝心の暗号(?)アルゴリズムがXORに毛が生えた様な暗号化関数でスクランブルしてたか、暗号アルゴリズムの穴や使い方の問題でシャッフルされない構造になってたか…………まぁその記述から予想される妥当な実装にはなっていなかったっぽい。まともな暗号アルゴリズムを採用していてもCFB、OFB、CTRの暗号利用モードでストリームとして暗号化してたら実質ただのXORになったりするので使い方は非常に大事。
暗号関係のしょーもないヤラカシとしてはPHPのがいい例かな。PHPみたいなのを作ってる連中でも、ミスって何を暗号化しても同じ結果返す関数作っちゃったりする。外に実情が見えない開発の底辺は如何ほどか、推して知るべし。# PHPも底辺だろとかは言っちゃだめ。
何のためかというと電子決済で不正利用が爆増したからその対策として導入されたものであって、その目的を果たすためにはデータベースに「電子決済の時だけ参照されるランダムな3桁の数字」の列を追加するのが現実的で妥当だと思ってた
何のためのセキュリティコードで、何が非現実的なのか、説明オナシャス大先生!
初期パスワードをランダム発行している機器やサービスって割と見かけるけどあれって非現実を現実にしてたってこと!?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
ランダム生成だとおもってた (スコア:0)
ランダムで生成→ダメなのをのぞく(同じ文字が連続とか)→それを利用
だといままでずっと思ってた
Re:ランダム生成だとおもってた (スコア:1)
なんで256ビットのCVKキーさえ知ってれば計算できることはカード会社としては既知のリスクだったのかも。
まあ漏れるわけないだろと思ってたんだろうけど。
Re: (スコア:0)
本件のはリンク先記事の画像見た感じ桁がフツーに対応関係持ってるぽいので、
そういう構造になってなかった(その記述(Wikipedia?)の取材元はそうしてたというだけ)か、
肝心の暗号(?)アルゴリズムがXORに毛が生えた様な暗号化関数でスクランブルしてたか、
暗号アルゴリズムの穴や使い方の問題でシャッフルされない構造になってたか……
……まぁその記述から予想される妥当な実装にはなっていなかったっぽい。
まともな暗号アルゴリズムを採用していてもCFB、OFB、CTRの暗号利用モードで
ストリームとして暗号化してたら実質ただのXORになったりするので使い方は非常に大事。
暗号関係のしょーもないヤラカシとしてはPHPのがいい例かな。
PHPみたいなのを作ってる連中でも、ミスって何を暗号化しても同じ結果返す関数作っちゃったりする。
外に実情が見えない開発の底辺は如何ほどか、推して知るべし。
# PHPも底辺だろとかは言っちゃだめ。
Re: (スコア:0)
何のためかというと電子決済で不正利用が爆増したからその対策として導入されたものであって、
その目的を果たすためにはデータベースに「電子決済の時だけ参照されるランダムな3桁の数字」の列を追加するのが現実的で妥当だと思ってた
Re: (スコア:0)
何のためのセキュリティコードで、何が非現実的なのか、説明オナシャス大先生!
Re: (スコア:0)
初期パスワードをランダム発行している機器やサービスって割と見かけるけどあれって非現実を現実にしてたってこと!?