為什么移動(dòng)支付技術(shù)在問(wèn)世多年后仍遲遲得不到普及?《連線(xiàn)》雜志網(wǎng)站日前刊發(fā)業(yè)內人士文章,從安全角度講述了其中的緣由,介紹了行業(yè)為此所做出的努力,提出了新的設想。以下為文章內容節選:
為什么消費者到現在還不愿意接受移動(dòng)支付?對安全性的擔憂(yōu)是頭號阻礙。大牌零售商不斷爆出用戶(hù)信息被竊的丑聞,這讓消費者打心底感到恐懼,因此人們不可能真正地信任移動(dòng)支付技術(shù)。
要想讓這種技術(shù)被廣泛接受,需要做的就是建立信任。EMV信用卡(指歐陸卡、萬(wàn)事達、維薩)使用一種安全微芯片來(lái)傳輸數據,但這是一種物理的設備。問(wèn)題的關(guān)鍵是要在虛擬世界創(chuàng )建一套同樣安全的環(huán)境。
隨著(zhù)主機卡仿真(HCE)技術(shù)的問(wèn)世,保護用戶(hù)支付憑證這一領(lǐng)域才有所改觀(guān)。在主機卡仿真出現之前,人們只有兩種辦法。一是將憑證存放在手機的特制安全芯片中,即安全元件(SE)里。這樣就打造了一個(gè)移動(dòng)錢(qián)包,里面的安全元件可以像EMV信用卡那樣,保證敏感數據傳輸無(wú)虞。另一種辦法是用云中的“文件卡”(Card On File)憑證——其實(shí)就是把基本的支付信息存儲在網(wǎng)上。
主機卡仿真便是完全使用軟件保證信用卡安全的最好代表。與信用卡支付有關(guān)的所有數據都不再需要依賴(lài)一塊物理芯片,這終結了安全元件的作用。此前有關(guān)安全元件歸屬的爭論也得以解決,市場(chǎng)向新進(jìn)入者敞開(kāi)了大門(mén)。
從目前的實(shí)踐看,把存儲在芯片上的信用卡數據傳輸到安全的云環(huán)境中,涉及到的操作步驟是有問(wèn)題的。要想完成一筆買(mǎi)賣(mài),你的手機就需要聯(lián)網(wǎng),需要等待數據加密后發(fā)送的回應。即使是在理想的情況下,這也很難在發(fā)卡組織要求的時(shí)間內完成。而且如果沒(méi)有信號,所有這些都無(wú)從談起。為了解決這個(gè)問(wèn)題,人們設計了一個(gè)名叫“令牌化”(Tokenization)的概念。你在消費的時(shí)候,不用每次都接入互聯(lián)網(wǎng),而是把用途有限的虛擬信用卡存儲在手機里。
令牌化也有自己的問(wèn)題。想要偷走你的錢(qián),網(wǎng)上的竊賊不一定非要拿走你的錢(qián)包,甚至不用拿走你的手機。黑客可以克隆一部手機,拿到信用卡信息,或者僅僅是向手機內安裝惡意軟件,虛擬卡就可以直接發(fā)到竊賊手中。
從長(cháng)遠看,移動(dòng)支付只有在一種強認證機制就位的前提下,才能確保安全。我們必須要能把用戶(hù)的身份信息與交易授權綁定起來(lái)。雖說(shuō)銀行很熟悉數據保護的要求,但經(jīng)驗不那么豐富的市場(chǎng)新進(jìn)入者還是需要對認證與風(fēng)險評估非常小心。
事實(shí)證明,智能手機本身就可以在移動(dòng)支付的安全問(wèn)題上盡一份力。
WiFi定位、3G定位、GPS數據這些功能,以及設備上應用的數量與類(lèi)型就可以組成一份獨特的用戶(hù)信息。雖然這算不上什么萬(wàn)能良藥,但這些都可以用來(lái)判斷是否出現了盜刷交易。同時(shí),由于降低了認證的門(mén)檻,只要能判定這名消費者是可信的,就可以讓他獲得更好的購物體驗。另外也可以在感覺(jué)可疑時(shí)把交易的門(mén)檻樹(shù)起來(lái)。
在這個(gè)網(wǎng)絡(luò )犯罪越來(lái)越智能化的時(shí)代,所有的互聯(lián)網(wǎng)活動(dòng)都存在安全隱患。按照上述辦法創(chuàng )建的基于風(fēng)險管理的認證方式也不例外。這種方法需要海量的個(gè)人信息,而這無(wú)疑會(huì )惹來(lái)黑客的注意。這些數據必須被保護起來(lái),但從數量與敏感性上看,想要恰當地保護這些數據,其難度要遠大于一般的密碼數據庫。
認證正在演變?yōu)橐粋(gè)大數據問(wèn)題。為了讓黑客減少對個(gè)人敏感信息的興趣,就要啟用加密。如果數據獲得加密,即使被竊或丟失,損害也會(huì )小一些。
隨著(zhù)移動(dòng)支付行業(yè)的發(fā)展,主機卡仿真被證明是一種受歡迎且值得一試的新方法。如果行業(yè)人士希望看到移動(dòng)支付得到普及,他們就需要打造安全的交易環(huán)境,培育用戶(hù)的信任。諷刺的是,智能手機這樣一個(gè)可能帶來(lái)安全問(wèn)題的設備,也可以采取幫助用戶(hù)認證的方式服務(wù)于安全。數據加密是安全的另一方面,它可以為數據保護再加一道鎖,進(jìn)一步鼓勵大眾接受移動(dòng)支付。
作者理查德·莫爾茨(Richard Moulds)是Thales e-Security公司負責產(chǎn)品管理與戰略的副總裁。
