国外知名科技网站Readwrite近日刊登署名为戴维•索博塔(DavidSobotta)的文章称,目前信用卡所使用的磁条技术存在非常大的安全隐患,生命力似乎也将走到尽头。但银行界和商界还在继续鼓励消费者使用这种信用卡,完全置消费者的信息安全于不顾。
摘要如下:
美国零售商Target去年由于遭受网络攻击而导致大量客户资料被盗的例子向我们表明,信用卡所使用的传统磁条正在越发成为一种不安全的技术。智能手机正在成为人们日常支付的主要设备,而我们正处于支付交易手段发生大变革的风口浪尖。不过,目前尚不清楚的一点是:我们的个人信息是否会变得更加安全。
两大技术将取代磁条
磁条的缺陷在于,一旦其他人拿到了你的信用卡,他们就拥有了所有必需的安全信息来破解这张卡片。信用卡的16位卡号被压印在了的卡片证明,而且还被编制进了磁条当中。这就方便其他人使用读卡工具就能够轻松获得卡号,进而进行卡片复制。当然,信用卡还有另外一个安全特征,即印在信用卡背面的信用卡CVC验证码(CardVerification Code)。而且,收银员可能还会在持卡人刷卡时要求本人签字和出示本人驾照。
Target遭网络攻击事件的曝光又揭露出信用卡存在的另外一个问题:信用卡会把卡号传送给商家。我们以前一直认为这很安全,因为商家会保护他们自身的内部系统不被入侵。多亏了Target以及十年前美国折价连锁百货T.J. Maxx等一系列信用卡数据被盗事件,我们现在才会对此了解得更加深入。
目前,市场上主要有两大技术可以彻底取代磁条技术:芯片-PIN码卡和近程通讯(near-field communication,NFC)卡。
在把政府系统业务外包给苹果时,我熟悉了一种智能卡片,而芯片-PIN码卡恰恰是这张智能卡片的继承者。这种卡片中装有一个可以与新型卡片处理器或终端通讯的芯片。而NFC则使用短程无线电波与终端进行通讯,而消费者只需将卡片靠近读卡器就可以完成支付了。我们将会在新发行的信用卡中发现上述两种新技术的应用。
与磁条相比,芯片-PIN码和NFC都拥有一个共同的优势:至少在最新发行的这些信用卡里,消费者实际上向用户传输的并不是一个真实的信用卡卡号,而是一个一次性的标记码。银行和信用卡公司可以在另一端把这个标记码与持卡人的卡号进行匹配,而持卡人的卡号在此过程中并不会被泄露,甚至连商家也看不到。
然而,又出现了另外一个问题:采用更安全支付技术的新型信用卡却仍将带有磁条功能,以便继续支持包括ATM机、加油站以及其他升级费用高昂的支付工具。我们将更加安全地进行便捷支付。
美国运通(AmericanExpress)的客户支持代表向我表示,他们会非常愿意向我寄送一张新型芯片-PIN码信用卡。不过,这张卡仍然会把我的个人信息编制进磁条中。他们重申,我无需为信用卡盗刷事件负责。
不过,总得有人为信用卡盗刷负责任,而零售商很可能成为这个“倒霉蛋”。目前,只要遵守磁条信用卡的刷卡规则,零售商就会在很大程度上得到有效保护。而一旦芯片-PIN码卡得到广泛普及,那么这一切将发生极大的变化:银行和信用卡公司将会把盗刷责任转嫁给那些仍旧允许客户刷磁条信用卡的零售商。
而颇具讽刺意味的是:美国运通和很多信用卡发行公司都倾向于“芯片-签名”支付方式。也就是说,在使用芯片卡进行支付以后,持卡人需要进行签名确认,而不是输入PIN码。
信用卡公司的目的不难猜测。芯片-签名支付方式可能更适合在餐厅里使用,因为服务员会把账单出示给消费者。与此同时,这种方式并不需要商家和消费者重新学习太多技巧。
实体店支付应效仿网上支付
你可能已经注意到:为信用卡新增安全功能使简单、快速的刷卡过程变得非常复杂。不过,我们确实无法再像以前那样信赖磁条技术了。有人已经提出用手机代替信用卡进行支付。但是,这同样面临着非常复杂的问题。谷歌(微博)曾经努力在零售商店里推行GoogleWallet支付方式,但结果是惨败而归。而由美国几家大型电信运营商联合推出的Isis手机钱包也无疾而终。
我并不认为用手机取代信用卡是个好主意。虽然手机能够安全地保护自己免遭未经授权的使用,而且我们也能够在其他人破解手机之前对数据进行远程删除,但毕竟一旦手机被盗,我们同样会面临潜在的安全风险。
最终,我们需要的可能是一套能够将信用卡和手机进行整合的系统。比如,当进行插卡支付时,我可以输入一个一次性PIN码,并把这个PIN码发送到我个人的手机上。这就要比每次都使用同一个PIN码要更加安全。
未来在实体店进行交易支付的方式很可能会与我们在亚马逊和iTunes上的支付方式相同。我们点击“购买”按钮,零售商随后就从我们的账户中划走相应的费用,而个人信息的细节都在多层数字安全系统中被屏蔽掉了。如果银行将它们目前的计划付诸实施的话,它们就会让消费者在实体店里的支付变得更加复杂,而且并没有对安全性有任何的提升。
这可能是让信用卡磁条技术退出历史舞台的最好办法。