1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Andreas Bogk: "Die Website war…

Kreditkartennummern als Hash speichern?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kreditkartennummern als Hash speichern?

    Autor: f0rc3u 28.12.11 - 17:03

    Was für einen Sinn hätte das bitte? Dann wären die zwar nicht mehr im Klartext gespeichert, aber trotzdem müssten die dann doch selber erstmal den Hash knacken bevor sie ihr Geld bekommen :D

  2. Re: Kreditkartennummern als Hash speichern? Hat keinen Sinn!!!

    Autor: emdeekey 28.12.11 - 17:21

    das stand da ja auch nicht!
    lern lesen.

    lediglich die passwörter waren als hash hinterlegt, die kreditkartennummern waren plain, weshalb ja auch die spende möglich war. ^^

    er hat nur was zu dem allgemeinen standard des kreditkarteninfromationsspeicherung erzählt und hat auch nichts mit einer prüfsumme im ersten sinne zu tun

  3. Re: Kreditkartennummern als Hash speichern?

    Autor: dit 28.12.11 - 17:53

    Sie sollten die Kreditkartennummer irgendwie verschleiern, zb hauseigene verschluesselung. Hauptsache die Datenbank enthaelt keine brauchbaren Daten...

    Na ja blöd gelaufen..

  4. Re: Kreditkartennummern als Hash speichern?

    Autor: theonlyone 28.12.11 - 18:49

    dit schrieb:
    --------------------------------------------------------------------------------
    > Sie sollten die Kreditkartennummer irgendwie verschleiern, zb hauseigene
    > verschluesselung. Hauptsache die Datenbank enthaelt keine brauchbaren
    > Daten...
    >
    > Na ja blöd gelaufen..

    Wie geschrieben gibts den Standard für Kreditkarten Informationen ; der müsste nur eingehalten werden.


    Zumindest auf die Einhaltung solcher Standards sollte man sich "verlassen" können ; alles darunter ist ja schon fahrlässig (so wie ein LAN ohne Verschlüsselung, da versteht es ja auch der größte Teil).


    Klingt vielleicht wie Overkill, aber vielleicht macht es ja Sinn eine "kontrolle" einzurichten die prüft das Sicherheitsstandards eingehalten werden, für Brandschutz und ähnliches macht man das ja schließlich auch.

  5. Re: Kreditkartennummern als Hash speichern?

    Autor: omtr 28.12.11 - 23:07

    zunächst muss gefragt werden, warum überhaupt kreditkartennummern gespeichert werden sollen. bei einer einmaligen transaktion würde es ja ausreichen, wenn man die kk-nummer an die kk-transaktionsdienstleister überträgt und dann löscht.
    gespeichert werden müssen sie nur bei abo-diensten, wie also im vorliegenden fall oder auch beim PSN. hier ist es jedoch standard, einen hash zu speichern, der vom kk-transaktionsdienstleister bei der allerersten transaktion generiert wird. das speichern der kreditkartennummern ist also in jedem fall vollkommen überflüssig.

  6. Re: Kreditkartennummern als Hash speichern?

    Autor: xUser 29.12.11 - 02:56

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Klingt vielleicht wie Overkill, aber vielleicht macht es ja Sinn eine
    > "kontrolle" einzurichten die prüft das Sicherheitsstandards eingehalten
    > werden, für Brandschutz und ähnliches macht man das ja schließlich auch.

    So etwas wird gemacht. Irgendwie muss ja gezeigt werden, dass der PCI DSS Standard eingehalten wird. Dann gibt es ein schönes Zertifikat.

  7. Re: Kreditkartennummern als Hash speichern?

    Autor: chuck 30.12.11 - 07:08

    Ein Netzwerk, in dem ein Dritter ohne eigenes Kabel nicht teilnehmen kann, verschlüssle ich nicht. Oder was verstehst du unter "verschlüsseltes LAN"? Wireless LAN?

  8. Re: Kreditkartennummern als Hash speichern?

    Autor: Baron Münchhausen. 30.12.11 - 22:36

    chuck schrieb:
    --------------------------------------------------------------------------------
    > Ein Netzwerk, in dem ein Dritter ohne eigenes Kabel nicht teilnehmen kann,
    > verschlüssle ich nicht.

    Ich hoffe, dass es nicht ernst gemeint ist, oder du kein anderes LAN kennst als das bei dir zuhause ;-)

  9. Re: Kreditkartennummern als Hash speichern?

    Autor: -CK- 02.01.12 - 17:34

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > chuck schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein Netzwerk, in dem ein Dritter ohne eigenes Kabel nicht teilnehmen
    > kann,
    > > verschlüssle ich nicht.
    >
    > Ich hoffe, dass es nicht ernst gemeint ist, oder du kein anderes LAN kennst
    > als das bei dir zuhause ;-)

    Ich hoffe, du informierst dich lieber noch einmal, bevor du chuck ans Bein pinkelst. Er hat nämlich vollkommen recht mit seinem Einwand, es sei denn, du verwendest dein LAN lediglich als Basislayer für ein VPN, das dann darüber läuft.

  10. Re: Kreditkartennummern als Hash speichern?

    Autor: chekcmate 03.01.12 - 13:49

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > chuck schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ein Netzwerk, in dem ein Dritter ohne eigenes Kabel nicht teilnehmen
    > kann,
    > > verschlüssle ich nicht.
    >
    > Ich hoffe, dass es nicht ernst gemeint ist, oder du kein anderes LAN kennst
    > als das bei dir zuhause ;-)


    Völliger Schwachsinn! Wenn er in seinem Netzwerk (ja, das mit Netzwerkkabeln) ist und kein Dritter mit dran hängt (mit einem KABEL), dann ist es einfach nur geistig behindert eine Verschlüsselung einzubinden.

    Was du EVTL. meinen könntest wäre WLAN (das ohne Kabel, eben WIRELESS).
    Dort WEP oder gar keine Verschlüsselung drin zu haben ist nicht akzeptabel, das stimmt.

    Für alles andere schieße dir bitte in den Kopf!

  11. Re: Kreditkartennummern als Hash speichern?

    Autor: xUser 03.01.12 - 17:45

    chekcmate schrieb:
    > Völliger Schwachsinn! Wenn er in seinem Netzwerk (ja, das mit
    > Netzwerkkabeln) ist und kein Dritter mit dran hängt (mit einem KABEL), dann
    > ist es einfach nur geistig behindert eine Verschlüsselung einzubinden.
    >
    > Was du EVTL. meinen könntest wäre WLAN (das ohne Kabel, eben WIRELESS).
    > Dort WEP oder gar keine Verschlüsselung drin zu haben ist nicht akzeptabel,
    > das stimmt.
    >
    > Für alles andere schieße dir bitte in den Kopf!

    Mach das doch bitte selber:
    Natürlich macht auch bei einem Kabel eine Verschlüsselung Sinn. Zum Beispiel bei vLANs.
    Außerdem kannst du so die Datenübertragung absichern. Damit kann man dann nicht einfach mal so die Übertragen mitschneiden, bloß weil die Falschen doch ins RZ gekommen sind.
    Außerdem können eben auch LAN Kabel abstrahlen und dies kann man messen.
    Eine Verschlüsselung ist also auf jeden Fall vorstellbar.

  12. Re: Kreditkartennummern als Hash speichern?

    Autor: Dhakra 04.01.12 - 09:50

    omtr schrieb:
    --------------------------------------------------------------------------------
    > zunächst muss gefragt werden, warum überhaupt kreditkartennummern
    > gespeichert werden sollen. bei einer einmaligen transaktion würde es ja
    > ausreichen, wenn man die kk-nummer an die kk-transaktionsdienstleister
    > überträgt und dann löscht.
    > gespeichert werden müssen sie nur bei abo-diensten, wie also im
    > vorliegenden fall oder auch beim PSN. hier ist es jedoch standard, einen
    > hash zu speichern, der vom kk-transaktionsdienstleister bei der allerersten
    > transaktion generiert wird. das speichern der kreditkartennummern ist also
    > in jedem fall vollkommen überflüssig.

    Selbst so eine billige "Verschlüsselung" wie:
    $cryptMe = str_replace('1', 19, $cryptMe);
    $cryptMe = str_replace('2', 32, $cryptMe);
    $cryptMe = str_replace('3', 17, $cryptMe);
    $cryptMe = str_replace('4', 25, $cryptMe);
    $cryptMe = str_replace('5', 11, $cryptMe);
    $cryptMe = str_replace('6', 84, $cryptMe);
    $cryptMe = str_replace('7', 1, $cryptMe);
    $cryptMe = str_replace('8', 4, $cryptMe);
    $cryptMe = str_replace('9', 8, $cryptMe);
    $cryptMe = str_replace('0', 5, $cryptMe);

    hätte es schon gebracht, wenn man die Informationen unbedingt speichern möchte. Damit wissen sie selber welche Kreditkartennummer gemeint ist und sie steht nicht im Klartext in der Datenbank und müsste von Dritten erst "entschüsselt" werden. Wenn natürlich das restliche Netz genauso dumm gesichert ist und die Datei am besten crypt.xy heißt, hat sich das auch erledigt. :)

    Aber das war nun eine Arbeit von 2 Minuten und bringt wenigstens ein bisschen Sicherheit in die Kundendaten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. CipSoft GmbH, Regensburg
  2. Materna Information & Communications SE, Berlin, Dortmund, Dresden, Köln, Düsseldorf
  3. Hannover Rück SE, Hannover
  4. Stabilus GmbH, Koblenz, Langenfeld, Aichwald

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Battlefield 5 für 14,99€, Star Wars Jedi: Fallen Order für 24,99€, Battlefield 1 für...
  2. 79,99€ (Release 10. Juni)
  3. 26,99€
  4. 19,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de