Однажды я перевыпустил карту и мне привезли ее на работу. Я захотел сменить PIN. И сделал это - через мобильный банк. Но как новый PIN попал в карту? Было небольшое приключение в этой связи :)
Приключение - громкое слово, конечно.
В общем, изменил я PIN в мобильном банке, но карта все это время лежала в кошельке. Поменял PIN - каюсь, из-за лени. Хотелось, чтобы PIN остался тот же, что был на просроченной карте. Небезопасно, знаю...
В общем, прихожу в магазин, набираю тележку, подхожу к кассе. Час расплаты настал. Вставляю карту... И набираю новый PIN, который задал в мобильном банке. И, совершенно закономерно, PIN... не подходит.
Не знаю, как я так оплошал, что забыл об этом. Я же знаю, как всё работает...
В общем, я слегка занервничал и прошу повторить операцию. В этот раз набираю старый PIN (который мне выдали вместе с картой).
Абсолютно логично, что... Старый тоже не подходит!
В голове как-то все перемешалось. Прошу третий раз провести операцию... И снова набираю новый PIN.
Уф... Подошел.
Я шел с полным пакетом продуктов и корил себя, как я мог забыть об этой процедуре...
В общем, рассказываю, почему все произошло именно так, и как это работает.
Когда транзакция проводится online (а это в большинстве случаев происходит так; уж, по крайней мере, в супермаркетах - точно), терминал и карта формируют довольно большой запрос на авторизацию. Там и информация о терминале, и его адрес, и сумма, и валюта, иинформация о карте, и случайное число, которое подписано картой... В общем, целый роман "Война и мир".
Вообще между картой и терминалом все это время проходит очень интенсивный диалог, который я при рассказе часто сравниваю со следующей сценой. Где-то в безлюдном месте встречаются две глухо затонированные машины, из которых выходят два человека в черных очках и с дипломатами. В одном дипломате - доллары, в другом - ммм... белый порошок. И им надо решить, доверяют они друг другу или нет. В нашем случае (online-авторизация) они решают не доверять друг другу, и зовут Дона (владельца денег), который поручается, что деньги настоящие. Т.е. на карте достаточно денег.
В общем, этот авторизационный запрос отправляется Дону... т.е. банку-эмитенту (издателю карты), он в ответ присылает авторизационный ответ. И вместе с ними может прислать специальные скрипты (Issuer Scripts). Это набор команд для карты. Команды подписаны секретным ключом, карта убеждается, что подпись верная, т.е. команды отправлены нужным банком.
В этих скриптах с картой можно сделать очень много. Заблокировать все приложения на карте, заблокировать/разблокировать конкретное приложение, изменить файлы, параметры, а так же - изменить или разблокировать PIN карты.
Карта при получении таких команд их обязательно выполняет и запоминает результат выполнения (успешен или нет).
Заметьте, тут неважно, было ли разрешена транзакция. Там может прийти отказ в платеже, но скрипты все равно придут и будут выполнены.
Эти скрипты попали в базу данных банка, когда я выполнил соответствующие действия в интернет-банке, и ждали своего часа, пока я вставлю карту в какой-нибудь банкомат или терминал, и карта выйдет на связь с банком.
В общем, с моей картой произошло вот что.
Я вставил ее в терминал, и ввел новый (еще не установленный в карту!) PIN. Терминал отправил запрос, карта получила отрицательный ответ и скрипты, в которых была комманда на изменение PIN. Теперь, несмотря на отказ в авторизации (оплате), на карте новый PIN. Но я нервинчал, и ввел старый PIN (который уже теперь не действовал!). Поэтому вторая попытка тоже провалилась. Ну и с третьего раза я, наконец, ввел новый, уже действующий PIN - теперь все прошло успешно.
Так что, если будете менять через интернет-банк что-то на карте, то знайте, что изменения вступают в силу только в конце операции.
Подписывайтесь на канал "Технологии Денег" в Яндекс.Дзен и Telegram! У меня еще много интересного материала!
