CVV,即 Card Verification Value,而Mastercard 称作Card Validation Code (CVC)。VISA CVV和MC CVC均为由卡号、有效期和服务约束代码生成的3名或4名数字,一般写在卡片磁条的2磁道用户自定义报告区里面。CVV和CVC的生成方法是一样的,导致叫法不一样而已。CVV2是打印在 Visa/MasterCard 卡签名区的一个数字.它位于信用卡号后的3名数字。我们一般在信用卡背面目睹的后三名数字,其实是CVV2,并不是CVV代码。
与CVV2代码的区别
CVV2和CVC2也是同样算法得出的卡片验证值,只然而是在卡片生成的时机印制在签名条上。
CVV/CVC在联机交易(刷卡)的时机核对,CVV2/CVC2在非现场交易/手工交易(刷不足卡)时核对。
CVV密码校验
CVV密码校验是指商业银行在其运用的银行卡号编码规则和磁条报告格式中加入自定义加密算法的验证码(CVN),有关银行卡也就被称为CVN银行卡。
CVV信息被存储在磁条银行卡的磁道中,依据卡号、磁道主账号、发卡银行标志代码等信息,通过各银行自定义的特殊加密算法执行加密,每步都采取CVKA技术加密,得到验证码。受于不同银行的加密算法有差异,所以,利用得到的银行卡信息非法制作的部分假卡在发卡行解密时能够被识别而无法运用。
消费与CVV安全级别
网站收信用卡的流程,差不多是下面三种情形之一:
A:卡号+有效期该种多是航空公司、酒店预订或者租车预定类型的。
B:卡号+有效期+CVV2码
之所以加一项卡片背面的CVV码,是为了证实卡片的确是在持卡人自己手里的。所以平时在外面刷卡的时机,注意不要轻易让人目睹,特别是记录下那个三名号码,以免人家连同卡号有效期一起窃取以后到网上去盗刷
C:卡号+有效期+CVV2码+“Visa验证”码(Verified by Visa)。
这最后一个码是发卡银行预先与持卡人约定的一个专门用于网上刷卡验证的密码。在支持“Visa验证”码的商户支付时,填完B中的信息后,网站会弹出一个页面(这个页面其实是发卡银行的,细心一点可以发现窗口顶部的蓝色地址栏表明的是发卡银行的网址,而且弹出页面上有发卡银行的LOGO),要求填入“Visa验证”码。这个网页事实上是脱离商户,直接由持卡人与银行完成身份验证,也保证了这个“Visa验证”码不会被商户截获。更好的保护了持卡人安全。
“Visa验证”服务基于名叫 “三维安全”的技术平台上,该种技术的规格和通信协议是采取加密安全连接层协议(SSL)技术加密,该种加密技术现为大部分网上商户所接纳。
“Visa验证”服务标志会表明在参与服务的网上商户的网页上,也会在持卡人登记、以及每次网上购物输入个人密码验证时显现。假使选择的购物网站加入了“Visa验证”的购物网立稳,就可以享受VISA验证服务,如此的商户是经历VISA证实的安全购物网站。支付时会弹出一个页面,让你输入Password(就是Visa验证码)。这个网页事实上是调取发卡银行的页面(这一点可以从弹出页面上的发卡银行logo执行分析,由于商户是不或许只通过一串信用卡号而分析出是远在千里之外的某家银行发行的),由持卡人通过预先与银行约定的“Visa验证”密码来完成与发卡银行之间的身份验证。这个页面其实是受于是持卡人在发卡银行网页上直接执行身份验证,所以不会产生密码被商户截取。验证通过后,发卡银行会发送一条信息给商户,对交易执行授权,持卡人所以可以完成与商户的交易。
VISA验证的作用就是,不仅可以验证国外网站的合法性,还可验证持卡人身份,进而减弱了国外网上购物被盗用的风险。
支付诈骗
2009年2月3号,自己的信用卡消失了6000元,打到客服部门,被告知卡主供应银行卡号和后面的三名数字,核对一下个人信息就可以消费了,不需要实物卡也不需要密码。网友形容此为“惊天支付漏洞”。
有网友表明,自己电话订机票,也是只需输入银行卡号和后面的三名数字,仍有信用卡的有效期限就可以了,根本不用密码。昨天中午,携程旅游网客服人士告诉记者,通过信用卡买入机票需要供应的信息是:卡号、信用卡有效期、“后三名”验证码、持卡人身份证号即可。
广州不少市民在接到自称信用卡中心打来的电话时,全将认为只要不说密码就不危险,但有时会被套去生日、手机号等信息。这些信息对不法分子实行诈骗起到了核心性作用。
VISA卡校验值CVV的计算
1 将下方从第二磁道中抽取出的字符从左至右排列,造成26个字符:
主帐号(PAN) 19名 卡有效期(EXPIRE DATE) 4名 服务代码(SERV洲际交易所 CODE) 3名 并转换为104 Bits(26x4),转换方法为将每一名数字转换为4名的BCD码,即: 十六进制数字 /BCD码 0 0000 1 0001 2 0010 3 0011 4 0100 5 0101 6 0110 7 0111 8 1000 9 1001 A 1010 B 1011 C 1100 E 1110 F 1111
2 将步骤1得出的结果的最后补上二进制"0",使之形成128 Bits的字段,
将该字段分为两个64 Bits的报告,其中前64 Bits报告为报告块1,后64 Bits报告为报告块2。 3 用CVKA对报告块1加密(ENCRYPTION)。 4 将步骤3得出的结果与报告块2异或(XOR),并用CVKA对结果加密。 5 用CVKB对步骤4得出的结果解密(DECRYPTION)。 6 用CVKA对步骤5得出的结果加密。 7 对步骤6得出的结果从左到右抽取出所有的数字(0~9)。 8 对步骤6得出的结果从左到右抽取出所有的十六进制字符(A~F),并对每一个十六进制字符减十进制10,使之变为数字,比如十六进制B(十进制为11)变为1。 9 将步骤7和8得出的数字从左至右排列,步骤8得出的数字放在步骤7得出的数字之后。 10 步骤9得出结果的前三名数字即为卡的校验值(CVV)。
(二)试探报告
下方报告可用于编撰CVV算法时检查程序能否正确,其中: CVKA= 0123 4567 89AB CDEF CVKB= FEDC BA98 7654 3210 13名PAN 失效日期 服务代码 CVV 4123 456 789 012 8701 101 370 4999 988 887 777 9105 111 649 4666 655 554 444 9206 120 821 4333 322 221 111 9307 141 697 16名PAN 失效日期 服务代码 CVV 4123 456 789 012345 8701 101 561 4999 988 887 777000 9105 111 245 4666 655 554 444111 9206 120 664 4333 322 221 111222 9307 141 382 以第一个十六名主帐号为例,计算卡校验值的步骤如下: 主帐号: 4123 4567 8901 2345 失效日期: 8701 服务代码: 101 步骤1: 抽取报告 4123 4567 8901 2345 8701 101 步骤2: 报告块 VISA卡校验值CVV的计算 块1 = 4123 4567 8901 2345 块2 = 8701 1010 0000 0000 步骤3: 用CVKA加密 块1 = 4123 4567 8901 2345 CVKA = 0123 4567 89AB CDEF 结果3 = B76A DDCE 71CC C6BE 步骤4: 用块2异或步骤3的结果,并用CVKA对异或结果加密 结果3 = B76A DDCE 71CC C6BE 块2 = 8701 1010 0000 0000 结果 = 306B CDDE 71CC C6BE CVKA = 0123 4567 89AB CDEF 结果4 = A510 46A2 59A4 C467 步骤5: 用CVKB对步骤4的结果解密 结果4 = A510 46A2 59A4 C467 CVKB = FEDC BA98 7654 3210 结果5 = 90F6 DB02 A6F7 E621 步骤6: 用CVKA对步骤5的结果加密 结果5 = 90F6 DB02 A6F7 E621 CVKA = 0123 4567 89AB CDEF 结果6 = 5B61 4982 E03C 97DD 步骤7: 对步骤6的结果抽取数字 结果7 = 5614 9820 397 步骤8: 对步骤6的结果抽取十六进制字符,并转换为10进制数字(每位减10) 抽取结果 = BECD D 结果8 = 1423 3 步骤9: 将步骤8的结果排列在步骤7的数字后面 结果9 = 5614 9820 3971 4233 步骤10: 步骤9的结果前3名数字为CVV VISA卡校验值CVV的计算 结果10 = 561VISA PIN校验值的计算
VISA PIN校验值的计算包含下方要素:
序号 要素 表明 1. PVKA Left part(64 bits) if the PIN Verification Key Pair 2. PVKB Right part(64 bits) if the PIN Verification Key Pair 3. PAN Rightmost 11 digits of the PAN exclude the check digit 4. PVK Index 0-F 5. Consumer PIN First 4 digits of the consumer PIN PIN校验值即PVV的计算方法如下: 1. 由PAN的最右11个数字(不包含校验位)和PVK索引号(一个十六进制数字)及客户个人密码的前4名构成1个16字节的十六进制数字串 2. 将以上16字节的十六进制数字串转换成64比特BCD码,用PVKA作DES加密(Encryption)运算 3. 将以上结果用PVKB作DES解密(Decryption)运算 4. 将以上结果再用PVKA作DES加密(Encryption)运算得结果 5. 对步骤4得出的结果从左到右抽取出所有的数字(0~9). 6. 对步骤5得出的结果从左到右抽取出所有的十六进制字符(A~F),并对每一个十六进制字符减十进制10,使之变为数字,比如十六进制B(十进制为11)变为1. 7. 将步骤5和6得出的数字从左至右排列,步骤6得出的数字放在步骤5得出的数字之后. 8. 步骤7得出结果的前四名数字即为PIN的校验值(PVV).(二)试探报告 下方报告可用于编撰PVV算法时检查程序能否正确,其中:
PVKA = 0123 4567 89AB CDEF PVKB = FEDC BA98 7654 3210 13名PAN PVK Index Consumer PINPVV 4123 456 789 012 x 0 123456 3920 4123 456 789 012 x 0 1234 3920 4999 988 887 777 x 1 234561 4045 4999 988 887 777 x 1 2345 4045 4666 655 554 444 x 2 345612 2635 VISA PIN校验值PVV的计算 4666 655 554 444 x 2 3456 2635 4333 322 221 111 x F 456123 3421 4333 322 221 111 x F 4561 3421 16名PAN PVK Index Consumer PINPVV 4123 4567 8901 2345 x 0 123456 0410 4123 4567 8901 2345 x 0 1234 0410 4999 9888 8777 7000 x 1 234561 0105 4999 9888 8777 7000 x 1 2345 0105 4666 6555 5444 4111 x 2 345612 6307 4666 6555 5444 4111 x 2 3456 6307 4333 3222 2111 1222 x F 456123 7112 4333 3222 2111 1222 x F 4561 7112 注:以上表中x为帐号之校验值,不包含在运算中.运算时,帐号只有x左面11名数字有效. 以第一个十六名主帐号为例,计算卡校验值的步骤如下: 主帐号: 4666 6555 5444 4111 x (注:x为帐号之校验值) PVK Index: 2 Consumer PIN: 345612 步骤1:抽取报告构成报告块 结果1 = 555 5444 4111 2 3456 步骤2:用PVKA作DES加密(Encryption)运算 结果1 = 555 5444 4111 2 3456 PVKA = 0123 4567 89AB CDEF 结果2 = 6568 2AF5 0304 A6CA 步骤3:用PVKB作DES解密(Decryption)运算 结果2 = 6568 2AF5 0304 A6CA PVKB = FEDC BA98 7654 3210 结果3 = 5644 6FB7 C183 CCDF 步骤4:再用PVKA作DES加密(Encryption)运算得结果 结果3 = 5644 6FB7 C183 CCDF PVKA = 0123 4567 89AB CDEF 结果4 = 63C0 DB79 EEB3 FB9D VISA PIN校验值PVV的计算 步骤5:从左到右抽取出所有的数字(0~9) 结果5 = 6307939 步骤6: 对步骤4的结果抽取十六进制字符,并转换为10进制数字(每位减10) 抽取结果 = CDBE EBFB D 结果6 = 2314 4151 3 步骤7:将步骤6的结果排列在步骤5的数字后面 结果7 = 6307 9392 314 4151 3 步骤8:步骤7的结果前4名数字为PVV 结果8 = 6307安全提示
1)不要将信用卡的信息写在电脑里;
2)不要将信用卡轻易交给别人;
3)信用卡丢失后,立刻打银行客服电话执行挂失;
4)信用卡是建立在信用体制上的支付结算工具,所以,请认真对待每月给你的对账单,证实自己的消费,假使发现某些异常消费,只要提出证据,是值得拒付的。
5)假使你觉得通过告知信用卡的卡号、有效期等信息有危险,建议大家运用网上支付渠道执行付款,由于通过网上支付渠道会……信用卡的信息是在银行的网上银行执行输入的,所有信息并没有会保留在商户手中。
为防逐渐增多的窃取信用卡信息犯罪,各大银行都予以卡主具体提示。如某银行在寄给信用卡主的信上强调:信用卡卡号、有效期等信息均是交易的重要凭证。请妥善保管卡号、有效期等个人资料,不要把信用卡有关信息告诉别人。有银行还警示:供应个人身份证件及有关证明文件的复印件申办信用卡时,可在明显位置注明运用用途,比如“仅供申办××银行信用卡运用,复印无效”,以防资料被作他用。
参考资料
[1] 奇虎网 http://shequ.qihoo.com/q/shopping/18866268.html?f=1
[2] 和讯网 http://news.hexun.com/2009-03-30/116156026.html
[3] 携程网 http://www.ctrip.com/community/qa/268710.html
[4] 联合开发网 http://www.pudn.com/downloads15/sourcecode/hack/crack/detail59124.html