國(guó)外知名科技網(wǎng)站Readwrite近日刊登署名為戴維•索博塔(DavidSobotta)的文章稱,目前信用卡所使用的磁條技術(shù)存在非常大的安全隱患,生命力似乎也將走到盡頭。但銀行界和商界還在繼續(xù)鼓勵(lì)消費(fèi)者使用這種信用卡,完全置消費(fèi)者的信息安全于不顧。
摘要如下:
美國(guó)零售商Target去年由于遭受網(wǎng)絡(luò)攻擊而導(dǎo)致大量客戶資料被盜的例子向我們表明,信用卡所使用的傳統(tǒng)磁條正在越發(fā)成為一種不安全的技術(shù)。智能手機(jī)正在成為人們?nèi)粘VЦ兜闹饕O(shè)備,而我們正處于支付交易手段發(fā)生大變革的風(fēng)口浪尖。不過,目前尚不清楚的一點(diǎn)是:我們的個(gè)人信息是否會(huì)變得更加安全。
兩大技術(shù)將取代磁條
磁條的缺陷在于,一旦其他人拿到了你的信用卡,他們就擁有了所有必需的安全信息來破解這張卡片。信用卡的16位卡號(hào)被壓印在了的卡片證明,而且還被編制進(jìn)了磁條當(dāng)中。這就方便其他人使用讀卡工具就能夠輕松獲得卡號(hào),進(jìn)而進(jìn)行卡片復(fù)制。當(dāng)然,信用卡還有另外一個(gè)安全特征,即印在信用卡背面的信用卡CVC驗(yàn)證碼(CardVerification Code)。而且,收銀員可能還會(huì)在持卡人刷卡時(shí)要求本人簽字和出示本人駕照。
Target遭網(wǎng)絡(luò)攻擊事件的曝光又揭露出信用卡存在的另外一個(gè)問題:信用卡會(huì)把卡號(hào)傳送給商家。我們以前一直認(rèn)為這很安全,因?yàn)樯碳視?huì)保護(hù)他們自身的內(nèi)部系統(tǒng)不被入侵。多虧了Target以及十年前美國(guó)折價(jià)連鎖百貨T.J. Maxx等一系列信用卡數(shù)據(jù)被盜事件,我們現(xiàn)在才會(huì)對(duì)此了解得更加深入。
目前,市場(chǎng)上主要有兩大技術(shù)可以徹底取代磁條技術(shù):芯片-PIN碼卡和近程通訊(near-field communication,NFC)卡。
在把政府系統(tǒng)業(yè)務(wù)外包給蘋果時(shí),我熟悉了一種智能卡片,而芯片-PIN碼卡恰恰是這張智能卡片的繼承者。這種卡片中裝有一個(gè)可以與新型卡片處理器或終端通訊的芯片。而NFC則使用短程無線電波與終端進(jìn)行通訊,而消費(fèi)者只需將卡片靠近讀卡器就可以完成支付了。我們將會(huì)在新發(fā)行的信用卡中發(fā)現(xiàn)上述兩種新技術(shù)的應(yīng)用。
與磁條相比,芯片-PIN碼和NFC都擁有一個(gè)共同的優(yōu)勢(shì):至少在最新發(fā)行的這些信用卡里,消費(fèi)者實(shí)際上向用戶傳輸?shù)牟⒉皇且粋€(gè)真實(shí)的信用卡卡號(hào),而是一個(gè)一次性的標(biāo)記碼。銀行和信用卡公司可以在另一端把這個(gè)標(biāo)記碼與持卡人的卡號(hào)進(jìn)行匹配,而持卡人的卡號(hào)在此過程中并不會(huì)被泄露,甚至連商家也看不到。
然而,又出現(xiàn)了另外一個(gè)問題:采用更安全支付技術(shù)的新型信用卡卻仍將帶有磁條功能,以便繼續(xù)支持包括ATM機(jī)、加油站以及其他升級(jí)費(fèi)用高昂的支付工具。我們將更加安全地進(jìn)行便捷支付。
美國(guó)運(yùn)通(AmericanExpress)的客戶支持代表向我表示,他們會(huì)非常愿意向我寄送一張新型芯片-PIN碼信用卡。不過,這張卡仍然會(huì)把我的個(gè)人信息編制進(jìn)磁條中。他們重申,我無需為信用卡盜刷事件負(fù)責(zé)。
不過,總得有人為信用卡盜刷負(fù)責(zé)任,而零售商很可能成為這個(gè)“倒霉蛋”。目前,只要遵守磁條信用卡的刷卡規(guī)則,零售商就會(huì)在很大程度上得到有效保護(hù)。而一旦芯片-PIN碼卡得到廣泛普及,那么這一切將發(fā)生極大的變化:銀行和信用卡公司將會(huì)把盜刷責(zé)任轉(zhuǎn)嫁給那些仍舊允許客戶刷磁條信用卡的零售商。
而頗具諷刺意味的是:美國(guó)運(yùn)通和很多信用卡發(fā)行公司都傾向于“芯片-簽名”支付方式。也就是說,在使用芯片卡進(jìn)行支付以后,持卡人需要進(jìn)行簽名確認(rèn),而不是輸入PIN碼。
信用卡公司的目的不難猜測(cè)。芯片-簽名支付方式可能更適合在餐廳里使用,因?yàn)榉?wù)員會(huì)把賬單出示給消費(fèi)者。與此同時(shí),這種方式并不需要商家和消費(fèi)者重新學(xué)習(xí)太多技巧。
實(shí)體店支付應(yīng)效仿網(wǎng)上支付
你可能已經(jīng)注意到:為信用卡新增安全功能使簡(jiǎn)單、快速的刷卡過程變得非常復(fù)雜。不過,我們確實(shí)無法再像以前那樣信賴磁條技術(shù)了。有人已經(jīng)提出用手機(jī)代替信用卡進(jìn)行支付。但是,這同樣面臨著非常復(fù)雜的問題。谷歌(微博)曾經(jīng)努力在零售商店里推行GoogleWallet支付方式,但結(jié)果是慘敗而歸。而由美國(guó)幾家大型電信運(yùn)營(yíng)商聯(lián)合推出的Isis手機(jī)錢包也無疾而終。
我并不認(rèn)為用手機(jī)取代信用卡是個(gè)好主意。雖然手機(jī)能夠安全地保護(hù)自己免遭未經(jīng)授權(quán)的使用,而且我們也能夠在其他人破解手機(jī)之前對(duì)數(shù)據(jù)進(jìn)行遠(yuǎn)程刪除,但畢竟一旦手機(jī)被盜,我們同樣會(huì)面臨潛在的安全風(fēng)險(xiǎn)。
最終,我們需要的可能是一套能夠?qū)⑿庞每ê褪謾C(jī)進(jìn)行整合的系統(tǒng)。比如,當(dāng)進(jìn)行插卡支付時(shí),我可以輸入一個(gè)一次性PIN碼,并把這個(gè)PIN碼發(fā)送到我個(gè)人的手機(jī)上。這就要比每次都使用同一個(gè)PIN碼要更加安全。
未來在實(shí)體店進(jìn)行交易支付的方式很可能會(huì)與我們?cè)趤嗰R遜和iTunes上的支付方式相同。我們點(diǎn)擊“購買”按鈕,零售商隨后就從我們的賬戶中劃走相應(yīng)的費(fèi)用,而個(gè)人信息的細(xì)節(jié)都在多層數(shù)字安全系統(tǒng)中被屏蔽掉了。如果銀行將它們目前的計(jì)劃付諸實(shí)施的話,它們就會(huì)讓消費(fèi)者在實(shí)體店里的支付變得更加復(fù)雜,而且并沒有對(duì)安全性有任何的提升。
這可能是讓信用卡磁條技術(shù)退出歷史舞臺(tái)的最好辦法。