Форум Винского

[Viachik]

Сбербанк перевыпустил карту Visa Classic по истечению срока. Номер карты -тот же, CVV -изменился , конверт с PIN-кодом не дали, сказали тот же! Это нормальная практика? Прочитал на сайте Райффайзена, например, что при перевыпуске карты, PIN код обязательно меняется..А как в других банках?

[paulmoscow]

Из всех банков, с которыми я когда-либо сталкивался, только Сбер сохраняет старый пин-код, остальные его меняют. Хорошо это или плохо, судить трудно. С одной стороны, для безопасности лучше менять, с другой, не хочется учить новый.

[waskinkot]

Сбербанк перевыпустил карту Visa Classic по истечению срока. Номер карты -тот же, CVV -изменился , конверт с PIN-кодом не дали, сказали тот же! Это нормальная практика? Прочитал на сайте Райффайзена, например, что при перевыпуске карты, PIN код обязательно меняется..А как в других банках?

Именно так и должно быть в Сбербанке. У меня там зарплатная VISA и по окончании срока действия ее поменяли точно так же как и Вам.
После возвращения из Таиланда я заказал перевыпуск своей КК (Ситибанк) На новой карте срок окончания действия оказался такой же как и на старой, изменились CVV и 4 последние цифры в 16-ти значном номере. PIN никто не мешал сделать такой же, как и на старой карте.

[Evgeny Rodichev]

Сбербанк перевыпустил карту Visa Classic по истечению срока. Номер карты -тот же, CVV -изменился , конверт с PIN-кодом не дали, сказали тот же! Это нормальная практика?

Нормальная, поскольку номер карты не изменился.

Regards,
E.R.

[baNkir]

Из всех банков, с которыми я когда-либо сталкивался, только Сбер сохраняет старый пин-код, остальные его меняют. =

Это не так. При перевыпуске карты у клиента обязаны спросить, помнит ли он свой ПИН, или, желает ли он сохранить старый ПИН. И, дальнейшие действия - в соответствии с пожеланием клиента. Это правило платежной системы, а не конкретного банка-эмитента.

[paulmoscow]

Это правило платежной системы, а не конкретного банка-эмитента.

Только зачем весь этот цирк нужен? Абсолютно все банки имеют техническую возможность менять пин хоть каждый день. И все большее их количество предоставляют право клиентам делать это через автоматические системы обслуживания.

[Test]

Это правило платежной системы, а не конкретного банка-эмитента.

Только зачем весь этот цирк нужен? Абсолютно все банки имеют техническую возможность менять пин хоть каждый день. И все большее их количество предоставляют право клиентам делать это через автоматические системы обслуживания.

Не может. Код нельзя заменить. Его меняют через перевыпуск карты. Код должен быть обязательно в непрозрачном конверте, который печатает машина. При этом код нигде не хранится, как только в данном конверте.

[AndyM]

Например Сити позволяет сменить пин прямо через онлайн-банкинг.

[Test]

Например Сити позволяет сменить пин прямо через онлайн-банкинг.

С точки зрения безопасности это плохо.

[Jun]

Карта та же, ПИН не меняется.

[cremedecreme]

Вот с точки зрения безопасности это как раз хорошо. ПИН в конверте - это устаревшая система. Если пин кто-то подсмотрит, то придетсчя перевыпускатиь карту.

Что касается новой карты со старым номером - это Сбер на номерах экономит. Обычно все же у новой карты номер другой и это правильно.

[Evgeny Rodichev]

Вот с точки зрения безопасности это как раз хорошо. ПИН в конверте - это устаревшая система.

Sorry, тут Вы глубоко не правы!

Использована классическая идея, та же, что во всех современных алгоритмах приватных соединений - приватный и публичный ключ. Номер карты (некоторые его позиции) плюс пин составляют приватный ключ. В нормальном банке его генерит сертифицированное оборудование, оно же выплевывает заклеенный конверт. Никто в банке (включая даже админа компьютерной системы) не имеет возможности узнать этот приватный ключ. Номер карты - лишь часть этого ключа, но не весь ключ.

Банку для авторизации остается лишь публичный ключ этой пары. По публичному ключу узнать приватный невозможно теоретически.

А то, что делает Сити - это полнейший беспредел. При смене пина через интернет-банк как минимум десяток сотрудников - кто по должности, кто по любопытству - имеют полную возможность подсмотреть этот пин и номер карты, и восстановить приватный ключ. После чего, зная приватный ключ, делать от вашего имени с вашими деньгами что угодно - не только снимать нал (что рискованно), но и чисто безналом осуществлять любые транзакции. И никогда никто не докажет, что их осуществил не владелец счета (т.к., если внимательно прочитать юридическую бумагу - договор клиента с банком - то там всегда четко написано, что ответственность за сохранение тайны пина лежит только и исключительно на клиенте - банк теоретически этого пина просто не знает!)

Но если кто-то добровольно желает сообщать банку свой пин - это факт его биографии.

Regards,
E.R.

[Lelia]

Из всех банков, с которыми я когда-либо сталкивался, только Сбер сохраняет старый пин-код, остальные его меняют. Хорошо это или плохо, судить трудно. С одной стороны, для безопасности лучше менять, с другой, не хочется учить новый.

В Банке Москвы так же как и в сбере ситуация

[Стратег]

Вот с точки зрения безопасности это как раз хорошо. ПИН в конверте - это устаревшая система.

Sorry, тут Вы глубоко не правы!

Использована классическая идея, та же, что во всех современных алгоритмах приватных соединений - приватный и публичный ключ. Номер карты (некоторые его позиции) плюс пин составляют приватный ключ. В нормальном банке его генерит сертифицированное оборудование, оно же выплевывает заклеенный конверт. Никто в банке (включая даже админа компьютерной системы) не имеет возможности узнать этот приватный ключ. Номер карты - лишь часть этого ключа, но не весь ключ.

Банку для авторизации остается лишь публичный ключ этой пары. По публичному ключу узнать приватный невозможно теоретически.

Стойкость ассиметричных алгоритмов, которые Вы тут попытались описать, основана на том, что публичный/приватный ключи достаточно длинные (до нескольких тысяч или даже десятков тысяч бит) и приватный ключ неизвестен никому, кроме его владельца, в принципе. В описываемом Вами примере у злоумышленника (которым с Ваших слов может быть один из сотрудников банка) есть публичный ключ, алгоритм генерации приватного ключа из номера карты и ПИН-кода, номер карты, т.е. практически весь приватный ключ за исключением четырех десятичных разрядов, которые при наличии публичного ключа подбираются за пару секунд.

Для получения более-менее приемлемой стойкости, длина ПИН-кода в таком решении должна быть несколько сотен символов, а описываемое решение - это фикция.

А то, что делает Сити - это полнейший беспредел.

Возможность самостоятельно менять ПИН-код - это большой плюс. Регулярная смена ПИН-кода, особенно после совершения операций в подозрительных местах или при наличии вероятности компроментации кода, существенно повышает безопасность.

Например, время от времени приходится пользоваться банкоматами других банков, в разных странах. Я не могу быть уверенным на 100%, что используемое оборудование безопасно, сертифицировано. Вы можете поручиться, что банкомат, который Вы видите первы раз в жизни, стоящий на улице, просто не записывает треки карт и ПИН-коды? У меня такой уверенности нет. Поэтому если приходится делать выбор между тем, что доверить ПИН-код небольшому кругу лиц СВОЕГО проверенного банка, с которым у меня положительный опыт общения в течение многих лет или доверять ПИН-код каждому встречному банкомату, то лично я, как и многие другие, выбираю первый вариант.

Если приведенные аргументы все еще недостаточны, то давайте обратимся к статистике. Как часто бывает, что держатель карты съездил в ЮВА/Чехию/Украину/еще куда-нибудь и через некоторое время обнаружил, что его счет обнулили, да еще и вогнали в дикий овердрафт? На каждом банковском форуме Вы найдете достаточное количество таких историй. А как часто были факты компроментации базы данных с ПИН-кодами клиентов? Лично я не припомню ни одного прецедента.