Question:
Combien de chiffres d'un numéro de carte Visa les vendeurs peuvent-ils divulguer sur les reçus?
SimZal
2016-12-12 10:12:39 UTC
view on stackexchange narkive permalink

J'ai visité un McDonald's local et j'ai remarqué qu'une partie de mon numéro de visa était répétée sur le reçu comme ceci: NNNN NN__ ____ NNNN . (Donc sur un total de 16 chiffres, cela se décompose comme ceci: six premiers chiffres révélés, six chiffres du milieu masqués, quatre derniers chiffres révélés à nouveau.)

Donc, seuls 6 chiffres ont été masqués. Trouver le bon nombre prendrait 1.000.000 de suppositions, mais il y a aussi une somme de contrôle qui réduit encore le nombre de suppositions nécessaires à 100.000 (par mon calcul, peut-être faux).

Existe-t-il une politique sur la plusieurs chiffres peuvent être révélés? Les cartes pourraient-elles être en danger si les entreprises ne cachent que les six chiffres du milieu?

Les premiers chiffres identifient la carte et l'émetteur, ils sont donc communs à tous les titulaires de carte (et faciles à déterminer si vous voyez les graphiques sur la carte).Les 4 derniers chiffres démasqués pour votre commodité.Je ne sais pas quels risques il pourrait y avoir si quelqu'un était capable de forcer brutalement les nombres masqués.
@schroeder Merci, j'étais paranoïaque à la lumière des rapports de forçage brutal (cvv et dates d'expiration) des informations de carte de crédit.Il existe probablement de nombreux moyens plus simples d'obtenir des informations de carte de crédit.
Les 6 premiers chiffres sont [IIN] (https://en.wikipedia.org/wiki/Payment_card_number#Issuer_identification_number_.28IIN.29), ils sont donc du domaine public.Par PCI, ils peuvent être affichés avec les 4 derniers chiffres.
De plus, le nombre final n'est de toute façon qu'un numéro de contrôle.Si vous faites les calculs sophistiqués nécessaires pour vérifier si un numéro de carte est valide, vous devriez obtenir ce dernier chiffre comme résultat :)
@Takarii: Mais exposer ce dernier chiffre signifie que le brute-forcer doit deviner un chiffre de moins - ils peuvent déterminer ce que cela devrait être pour obtenir le chiffre de garde correct.
@MartinBonner C'est vrai, mais gardez également à l'esprit qu'un numéro _valide_ n'est pas nécessairement un numéro _actif_.Avec l'expiration et la validité à partir des dates ajoutées, il est possible que plusieurs personnes aient le même numéro de carte.
Ce qui me dérange davantage à ce sujet, c'est qu'un reçu d'un commerçant indiquera que mon numéro de carte est NNNN NN ** **** NNNN et que le reçu d'un autre commerçant indiquera **** ** NN NNNN ****.(Ou une variation à ce sujet où avec suffisamment de reçus montrant différentes parties du nombre, il est possible de reconstituer le nombre entier)
@Michael Cela ne devrait pas être un problème.Ceux qui ont été affichés et qui ne l'ont pas été n'ont pas été choisis au hasard et les chiffres du milieu ne doivent JAMAIS être imprimés sur un reçu d'un marchand.Les 6 premiers chiffres sont le type de carte et la banque avec laquelle la carte est, donc il ne s'agit pas vraiment d'informations secrètes de toute façon.Les quatre derniers sont spécifiquement ceux laissés visibles afin que vous puissiez savoir quelle carte vous avez utilisée.C'est la norme pour toutes les cartes de crédit.
D'un autre côté, les escrocs utiliseront parfois le contraire de la convention et si, par exemple,ciblant l'Irlande, utilisez «4319 XXXX XXXX XXXX» qui couvrirait à peu près toutes les cartes de débit VISA et certaines cartes de crédit VISA dans cette région (d'autres codes sont également courants ailleurs).Quelqu'un qui n'est pas familier avec les schémas de numérotation mais familier avec l'idée générale de divulguer 4 chiffres pourrait, selon l'idée, être dupé en pensant que ce doit vraiment être eux.
Sept réponses:
Burhan Khalid
2016-12-12 14:16:45 UTC
view on stackexchange narkive permalink

Selon PCI, les 6 premiers (BIN) et les 4 derniers peuvent être affichés, les autres doivent être masqués:

À partir d'un PDF officiel de 2008: PCI Data Storage Do's and À ne pas faire :

Ne stockez jamais le numéro d'identification personnel (PIN) ou le bloc PIN. Veillez à masquer PAN chaque fois qu'il est affiché. Les six premiers et les quatre derniers chiffres correspondent au nombre maximal de chiffres pouvant être affichés.

PAN correspond au Numéro de compte principal

Pour ce qui est de la conformité, le terminal de données utilisé pour imprimer le reçu est conforme.

J'ai toujours trouvé les règles PCI assez intéressantes lorsqu'elles sont appliquées aux numéros de carte avec seulement 13 chiffres et en utilisant le Luhn Check.Je me souviens aussi que les États-Unis ont peut-être mis en place une réglementation différente?
PCI indique que le _maximum_ n'est pas le minimum.Tant que vous n'affichez pas plus que ce qui est prescrit par PCI, vous êtes considéré comme conforme.Je me souviens qu'aux États-Unis, parfois seuls les 4 derniers sont affichés.
@BurhanKhalid Afficher uniquement les 4 derniers n'est pas beaucoup plus sûr que d'afficher les 6 premiers et les 4 derniers. Parce que les 6 premiers sont le numéro d'identification de l'émetteur, et il se peut qu'il n'y ait pas beaucoup de variation réelle entre eux.
@MikeScott Mais comme on peut le voir, les commerçants peuvent encore souhaiter afficher uniquement les quatre derniers, pour des raisons totalement indépendantes de la sécurité: pour éviter les questions alarmées de leurs clients.;) (FWIW, il est plus courant au Canada de n'afficher que les quatre derniers chiffres sur les reçus. Que cela soit dû à une réglementation ou à une pratique de l'industrie, je ne sais pas.)
Certaines entreprises utilisent ces chiffres comme validation.Donc même cela peut être un handicap.Voir le [conte de Mat Honan] (https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/).
Notez qu'il y a une différence entre ce qui peut être imprimé sur le reçu du client et ce qui peut être sur le reçu du commerçant.Le commerçant aura souvent le PAN complet imprimé sur son reçu - cela peut ensuite être utilisé pour les litiges, les remboursements, etc.
Même si c'est autorisé, c'est une ** vraiment ** mauvaise idée d'afficher à la fois le BIN et les quatre derniers.J'ai eu des cartes où toutes sauf le BIN et les cinq dernières étaient nulles!
Les 6 premiers chiffres sont utilisés comme code de routage.Il n'y en a pas trop en cours d'utilisation, car il n'y a pas beaucoup de processeurs.Une bonne partie de la gamme est réservée.https://en.wikipedia.org/wiki/Payment_card_number
Pour certaines personnes, y compris moi-même, avoir le premier 6 (ou 4) serait mieux que le dernier.Lorsque j'ai besoin de mettre à jour une carte avec un commerçant (par exemple, la dernière série de réémissions aux États-Unis pour ajouter la puce), j'ai besoin de connaître la BANQUE (BIN) de la carte qu'ils ont.Les 4 derniers chiffres de l'ancienne carte qu'ils ont dans le fichier ont disparu - détruits avec l'ancienne carte.
Une meilleure protection consiste à lister les 4 premiers, car ils sont les mêmes pour de nombreuses personnes qui ont des comptes du même émetteur / sous-traitant.Une récente attaque contre Visa (n'a pas fonctionné sur Mastercard) a profité du fait qu'il n'y a que quelques "six premiers" couramment utilisés, ainsi que la possibilité de "tester" les numéros de carte en ne passant que quelques commandes chacune sur plusieursdifférents sites.Aucun piège de sécurité n'a surgi sur les sites individuels, car le décompte des tentatives non valides sur chaque site individuel était "acceptable", et Visa n'a pas regroupé les tentatives infructueuses des mêmes "4 dernières" pour reconnaître qu'une attaque distribuée était en cours
Serge Ballesta
2016-12-12 13:37:30 UTC
view on stackexchange narkive permalink

N'oubliez pas que sensible ne signifie pas secret . Le numéro de carte est «sensible» car il peut être utilisé pour initier des transactions financières, mais il n'est pas secret. Seul le code PIN l'est.

Auparavant, le numéro complet était inscrit sur le reçu, comme le numéro de compte complet est inscrit sur un chèque. Les entreprises en ligne n'utilisant que les numéros de carte VISA sans validation, les banques ont réalisé que le risque de fraude était trop élevé et ont choisi de masquer partiellement les informations sur le reçu. Mais le numéro complet de la carte est connu (ou du moins accessible) à presque tous les employés d'un site Web sur lequel vous avez initié un achat en ligne.

TL / DR: si la banque est trop paresseuse pour cacher le numéro de carte sur un reçu imprimé, c'est leur problème, pas le vôtre. Comme vous n'êtes pas responsable de cela, il n'y a aucune négligence de votre part.

En fait, c'est un reçu de Mcdonalds, pas une banque.Merci pour l'explication, je suppose que ma carte est en sécurité pour le moment.:)
"si la banque est trop paresseuse pour cacher le numéro de la carte sur un reçu imprimé, c'est son problème, pas le vôtre".Cela implique une très mauvaise définition du «problème».Ce n'est pas parce que c'est la responsabilité de la banque de réparer le désordre que ce n'est pas non plus le problème du client.Si des pratiques de mauvaise qualité dans ma banque entraînaient une fraude importante sur mon compte, j'aurais certainement un problème avec cela et j'emporterais mon argent ailleurs.
@SimZal le reçu peut être imprimé chez McD.mais qui a dit à la machine quoi imprimer était la banque.Ils peuvent même imprimer des relevés promotionnels comme «votre achat a gagné 100 $ en crédits» à volonté.
@Mindwin Merci, je ne savais pas que les banques contrôlaient cette partie du paiement.
@SimZal Par exemple, j'ai une carte de crédit (la mienne) et une carte d'avantages prépayée de supermarché de la même société de carte (la carte prépayée est débitée par mon employeur - avantages !!).Les deux fonctionnent sur la même machine POS.Lorsque j'utilise la carte de supermarché, le solde est imprimé sur le reçu.
@SimZal par banque, vous pouvez comprendre la banque OU la société de carte.YMMV
@SergeBallesta En fait, la conformité PCI exige que les informations de carte de crédit soient masquées, sauf lors de la première entrée, même en interne au sein d'une entreprise qui effectue son propre traitement de carte de crédit;les employés informatiques de confiance y auraient toujours accès, mais pas les autres employés.Si vous utilisez un fournisseur externe pour le traitement des cartes (comme le font de nombreux sites Web plus petits), vous ne voyez même jamais le numéro de carte de crédit réel: juste un numéro de transaction unique.
"Mais le numéro complet de la carte est connu (ou du moins accessible) à presque tous les employés d'un site Web où vous avez initié un achat en ligne."Je doute sérieusement de cette affirmation.Seuls les employés ayant un accès direct au système de stockage qui contient votre numéro de carte devraient avoir ce type d'accès (DBA, par exemple), et un nombre non négligeable d'entreprises sous-traitent l'ensemble du processus d'acceptation d'une transaction par carte de crédit à des services comme PayPal ou Authorize.NET pour éviter tous les tracas de conformité.Avez-vous une source pour cela?
Cette réponse est presque totalement fausse.En tant que développeur de sites Web qui acceptent les transactions par carte de crédit, je peux affirmer que PCI déclare que PERSONNE, même les employés de confiance, n'a accès à la fois au PAN et au PIN.Le PAN doit être jeté très tôt et un NIP ne peut jamais être stocké.Même les lecteurs de cartes sont censés crypter les données E-TRACK.De plus, une banque n'a pas accès à l'impression des reçus.Même dans les guichets automatiques (le vendeur de guichets automatiques peut et la banque peut demander un format, mais ils n'ont en fait pas de contrôle direct sur le reçu).
Le code PIN @coteyr: ne doit pas être stocké ou affiché, mais 3.3 indique que "seul le personnel ayant un besoin commercial légitime peut voir [PAN non masqué]" et 3.4 permet de le stocker crypté entre autres options.Je doute qu'un QSA approuve «presque tous les employés» ayant des besoins commerciaux légitimes, mais il est clair que certaines personnes peuvent être dans cette catégorie, si le commerçant le justifie.OTOH, le conseil général est de ne pas stocker plus que ce dont vous avez besoin, et si vous utilisez un lecteur P2PE, ou EMV, vous ne _have_ jamais un PAN clair.
Mike Scott
2016-12-12 16:42:53 UTC
view on stackexchange narkive permalink

Aux États-Unis, le Fair and Accurate Credit Transactions Act de 2005 (FACTA) interdit d'imprimer plus de cinq chiffres d'un numéro de carte de crédit. Ainsi, bien que votre reçu soit conforme aux réglementations PCI, il ne serait pas conforme à la loi si vous étiez aux États-Unis. Cependant, votre profil indique que vous êtes en Slovénie et je n'ai connaissance d'aucune législation slovène ou européenne similaire.

J'ai reçu ce reçu en Thaïlande, je suppose que leurs normes sont un peu inférieures à celles des États-Unis.
Est-ce une carte de crédit?Et la loi américaine s'applique-t-elle aux cartes à puce et à code PIN?
Selon un article du Wall Street Journal la semaine dernière, la limite est de 4 et non de 5.
@HiTechHiTouch La limite selon le texte de la loi est de 5, et spécifiquement les 5 derniers.
@Simzal Compte tenu des commentaires sur la loi américaine, ** comme ** ils autorisent les 5 derniers chiffres par la loi américaine, contrevenant à la tolérance PCI "4 derniers", ** et comme ** les 6 premiers peuvent être dérivés avec une relative facilité, ** Alors: ** La loi américaine est (1) non conforme aux normes américaines applicables et (2) moins bonne que ce que fait votre reçu.
@Xander Veuillez fournir une référence source, acceptable pour un article Wiki.Merci!
@HiTechHiTouch je l'ai fait.La référence source est le texte de la loi.
Dmitry Grigoryev
2016-12-12 17:46:53 UTC
view on stackexchange narkive permalink

Puisqu'il y a environ 1 milliard de cartes Visa en circulation dans le monde (il y en avait 883,5 millions en 2012) et que chaque carte comporte 14 chiffres uniques (le premier est toujours 4 et le dernier est la somme de contrôle), il faudrait en moyenne 50 000 suppositions pour trouver un numéro valide sans aucune information préalable.

De cette manière, si le pirate n'est pas intéressé à deviner votre numéro en particulier , il ignorera probablement simplement votre reçu, même s'il l'a reçu.

N'avez-vous pas également besoin du nom du titulaire et de la date d'expiration pour effectuer une transaction sans pin?
-1
Je comprends votre point, j'aurais dû être plus clair.Ce que je veux dire, c'est que les informations supplémentaires requises pourraient donner à un attaquant une raison suffisante pour être intéressé à deviner le numéro spécifique du reçu (par exemple, s'il connaît ou peut concevoir le nom du titulaire) au lieu de "n'importe quel" numéro.
Ouais, je n'ai pas du tout lu ta question comme ça;) Quoi qu'il en soit, ** tu as raison, dans ce cas particulier, l'attaquant aura beaucoup moins de suppositions à essayer **.Pourtant, je dirais que la situation où l'attaquant connaît la plupart de vos détails CC mais pas le nombre complet est assez inhabituelle, et rien dans la question ne suggère que cela pourrait être le cas.
Je ne peux pas l'imaginer connaître le code CCV et la date d'expiration sans connaître le numéro complet de la carte, en effet.Il est cependant possible de connaître * seulement * le code CCV et le nom du titulaire, et deviner la date d'expiration n'est pas aussi difficile que les autres informations sur la carte.Quoi qu'il en soit, je pense que votre réponse est encore assez convaincante, je ne fais que pinailler.Un attaquant à grande échelle peut très bien cibler un pays spécifique en verrouillant les premiers chiffres, puis essayer quelques noms communs contre ses nombres supposés.
Jon Jenkins
2016-12-15 01:14:13 UTC
view on stackexchange narkive permalink

Comme un autre utilisateur l'a déclaré, selon les règles de conformité PCI, cela est parfaitement acceptable.

Je voulais clarifier un peu exactement pourquoi les choses sont ainsi. Tout d'abord, les six premiers chiffres du numéro de carte constituent le BIN, un numéro considéré comme "bien connu". Il s'agit d'un numéro attribué à l'institution qui a émis votre carte, et tous les autres titulaires de carte qui sont membres de cette institution partagent le BIN. Donc, montrer le BIN ne donne à un attaquant aucune information qu'il ne peut pas obtenir simplement en regardant la liste BIN. Puisque l'obscurcissement du BIN ne fournit qu'une quantité marginale (certains diraient «insignifiante») de sécurité, pourquoi le masquer? Le BIN en texte clair est couramment utilisé dans le traitement des paiements, et le masquer créerait beaucoup plus de maux de tête pour une augmentation presque nulle de la sécurité.

L'affichage des quatre derniers est généralement le meilleur compromis entre afficher trop d'informations et pas assez d'informations pour identifier de manière unique la carte lorsqu'elle est utilisée pour le rapprochement, etc. Si vous travaillez beaucoup avec des numéros de carte de crédit, vous rencontrez parfois deux numéros de carte masqués identiques, mais avec une probabilité de 1/10 000 que cela se produise.

Ces deux choses prises ensemble, vous allez probablement revenir au point "vous donnez à un voleur de données dix des nombres, ce qui réduit son espace de recherche à 1 million, et la somme de contrôle, ce qui le réduit à 100 000! "

Vous avez un argument valable, mais qu'est-ce que cela signifie? Cela signifie que le voleur a maintenant une liste de 99 999 mauvais numéros de carte de crédit et 1 bon numéro, sans aucun moyen de savoir lequel est le bon. Le numéro de carte de crédit ne contient en soi aucune information vous permettant de savoir quand vous avez le «bon» numéro. Ce n'est pas comme résoudre un puzzle cryptographique; vous devez présenter la carte pour un paiement pour savoir si elle est "bonne" ou non. Cela signifie que pour déchiffrer ne serait-ce qu'une seule carte, vous devez compromettre la plate-forme de paiement d'un commerçant et effectuer en moyenne 50000 transactions pour la trouver. Étant donné que les commerçants sont facturés par transaction, il est grandement dans leur intérêt de s'assurer que quelqu'un ne peut pas faire ce genre de chose. Et même si le commerçant était en retard dans la protection des informations d'identification de son compte marchand, les processeurs de paiement détectent souvent ce genre de chose et ferme le compte en quelques secondes.

Myles
2016-12-12 16:02:59 UTC
view on stackexchange narkive permalink

Dans les années 90, vous auriez dû vous inquiéter un peu. De nos jours, ce n'est pas le cas, le clonage de la puce RFID, ou l'obtention du code de sécurité à 3 chiffres et de la date d'expiration avec votre numéro de carte est bien plus inquiétant que de simplement pouvoir "deviner votre numéro de carte".

En théorie, je connais déjà votre numéro de carte grâce à l'algorithme que vous avez mentionné, module 10 ou Luhn. Cette information seule est sans valeur sans le reste des données. Si le reçu de la carte de crédit ne l'a pas, tout va bien.

"Je connais déjà votre numéro de carte grâce à l'algorithme que vous avez mentionné, module 10 ou Luhn" - hein?Un seul chiffre de contrôle ne compensera pas 6 chiffres manquants.
Mais ce n'est pas seulement 6 chiffres.Les 4 premiers d'une carte de crédit sont également assez statiques.Il y a le MII, l'IIN, le code de l'émetteur, le chiffre de contrôle et quelques "codes supplémentaires" bien connus qui sont liés à la date d'expiration, à la date d'émission, etc.et même dans ces 9, il y a des modèles qui peuvent être suivis.
@Blorgbeard Je suppose que vous n'avez pas compris ce qui a été écrit.En utilisant l'algorithme, chaque numéro de carte de crédit jamais créé peut être généré.Sans faute, je connais chaque numéro de carte de crédit dans le monde.Cependant, je n'ai pas les dates d'expiration ou de début OU les 3 chiffres de contrôle ..... ce qui signifie simplement connaître le numéro de carte est sans conséquence.Avant de répondre, comprenez à quoi vous répondez.
C'est n'importe quoi.Vous pouvez générer des numéros de carte de manière aléatoire, mais cela ne signifie pas que vous savez quels sont les numéros réels, émis, et encore moins lequel est le mien.
@Blorgbeard encore une fois, vous semblez avoir mal compris ce que je dis et il vous arrive de tomber sur exactement ce que j'essaie de dépeindre.La chose exacte que je dis est "je pourrais générer toutes les cartes dans le monde, dont une serait la vôtre, mais je n'aurais aucune information pour m'aider au-delà du fait que je savais que j'avais votre numéro de carte dans ma liste.Avoir le numéro complet de la carte de crédit n'est d'aucune utilité pour un fraudeur car il a besoin de plus d'informations, donc que les numéros affichés soient ou non affichés sur le reçu n'a pas d'importance ».J'espère que vous comprenez maintenant.
Thiyagu
2016-12-14 16:30:09 UTC
view on stackexchange narkive permalink

Le numéro PAN peut être compris entre 13 et 19 chiffres et conformément à la norme de sécurité des données de l'industrie des cartes de paiement les six premiers chiffres et les quatre derniers chiffres du PAN peuvent être visibles et le numéro entre les chiffres doit être masqué



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...