本文作者:雷锋网(公众号:雷锋网)宅客频道网络安全作者,李勤
自从雷锋网发布了一篇《暗网买信用卡纪实:亲测盗刷无门槛》后,就有很多人加雷锋网宅客大姐姐的微信。
本来我以为,又多了好多粉丝呀,真开心。
万万没想到,童鞋们开口的第一句话是:请问暗网怎么上?我想买张信用卡。
这……之前发文并不是教你诈……
我感受到了危机,觉得这样的人要是多了起来,信用卡分分钟要被搞走的样子,很不安全。
在宅客大姐姐惴惴不安,以为上篇发文为黑产无意中做了“贡献”时,突然听到了一个消息,数月前万事达卡(MasterCard)曾开发了一款内置指纹识别的信用卡。
这种指纹银行卡的外观、厚度与传统银行卡差不多,内置的指纹传感器很小,位于银行卡右上角。
这是一张怎样的卡?
最初听到这个消息时,是在瑞典指纹识别厂商 Precise Biometrics(以下简称PB)的媒体沟通会上,当时该公司中国区域市场负责人陈昭逸手持一张黑色信用卡,为现场媒体演示了如何使用该卡。
据陈昭逸介绍,使用这张指纹信用卡的基本流程是:信用卡插入可读取芯片的支付终端后,会要求使用者提供指纹,验证身份。传感器读取使用者的指纹后,将指纹数据发送到银行卡的芯片中进行比较,判断使用者身份,最终选择完成或者终止支付活动。
这意味着,就算信用卡掉了或者被盗,被盗刷的几率大大降低了!
PB 是为万事达提供指纹识别安全方案的厂商之一,陈昭逸告诉我:这种加载了比较成熟的安全认证方案的信用卡不需要商户更换机器。
这就意味着不会增加更换机器成本,听起来是笔喜大普奔的买卖呢。
在我正开心地为信用卡的安全认证进步并似乎看到大规模商用的可能性之时,该市场人员很坦诚地补充,这张信用卡还是试用中,其实成本相对比较高。
我脸一红,弱弱问了一句我最关心的问题:我这样的人买得起吗?
陈昭逸不敢告诉我实际成本价格,因为其与万事达签署了保密协议。但是,他谨慎地在不戳破我小小的自信心的情况下表示:其实这种卡对于有钱人来说,不算什么呢……
秒懂。
虽然姐现在不是有钱人,但万一有一天成了有钱人呢?于是,我不死心,除了价格之外,还问了两个最关心的问题:
可以录几个指纹?需要现场录入吗?(万一不小心戳破了一个手指,弄坏了指纹怎么办?)
这张卡要充电吗?充电一次能用多少次?没电了不能识别我的指纹的话还能用卡吗?
好消息是,至少这张信用卡可以储备两个指纹,需要去银行办理信用卡时录入,但是不能是你和你老婆的,只能是你一个人的(担忧老婆爱剁手的男读者请放心,你老婆用不了这张信用卡)。
坏消息是,这张卡需要充电,要么使用专门的充电器,要么在插入读取设备时自动通电,一次充电可以刷卡200次。为了节省电量,可以在使用时才打开指纹识别模块的开关。
没电了的话……是否可以有普通的刷卡流程可以替代,还是直接像上次宅客频道大姐姐那样,发现也没有带现金和余额不为0 的银行卡,加上倒霉催的不好意思借钱后,直接把脸一捂,把“买买买”的东西还给店员,接受尴尬的“鄙视”?
陈昭逸称,也许在办卡时用户和银行会就约定相应的情况约定替换方案,具体要看发卡行与用户的约定。
另一种观点:藏在SE中的安全
在我因为卡费和要充电这种操作而觉得这张信用卡略鸡肋时,又看到了友媒一童鞋不支持该卡的观点:“万事达卡凭什么觉得这个时代用户还愿意专门去一趟银行换卡?开发生物识别支付方式,就是想让用户不用总是要带钱包或者银行卡,现在居然只是在银行卡上加入一个指纹识别。”
潜台词是:我们都已经被“养”得这么“懒”了,你居然好意思画蛇添足地想出这么个鬼方案?
(看到了这一个理由后,我进行了激烈的思想斗争)
但是,这并不是一场普通的银行卡,这是一张看上去能反盗刷的信用卡呢!虽然我是网络安全行业一个不入流的报道者(此处只是谦虚),但是“安全”对我来说是头等考虑因素呢!
(经过激烈的思想斗争后,感觉我不能一棍子打死这张卡,而是需要了解更多信息)
恰巧,前几天,宅客大姐姐又参加了一个老牌智能卡厂商、数字安全公司金雅拓的媒体沟通会。
冥冥中自有天意,金雅拓也是万事达这张神器的指纹识别信用卡的合作伙伴之一。
金雅拓中国区银行与支付业务市场部经理魏晖透露,目前万事达的这张卡正在南非地区试点,“我们预计在今年,跟这些相关的卡组织、相关机构完成一些实验性工作。”
魏晖阐述了他们与万事达在银行卡领域引入生物识别技术方面的考量:
第一,在支付方式上,用户越来越青睐生物识别技术,尤其是指纹识别技术,越来越多的用户已经在手机终端上接受使用指纹识别技术,比如,Apple Pay、华为Pay等。可惜的是,目前在银行卡上,还不行。
所以,当用户在用银行卡时,可能还得用传统方式输入密码,或者签字等,这是用户体验方面缺憾之一。
第二,生物识别技术有很多潜在好处,但是行业里很多人有所顾虑,担心生物识别信息会因恶意攻击被泄露。很多国家和地区有相关的监管要求,比如,这种生物识别涉及到个人隐私,必须要得到相关法律、技术等各方面保障。
第三,生物识别技术在越来越多设备上应用传输,会不会因为一些漏洞被非法分子窃取,在这个行业里面其实有很多人在探讨。比如,生物信息在什么场景下只能存储在某一离线终端设备上,什么场景下这个信息是可以存储在云端或者服务器端,要结合不同法律法规和监管要求。
如果说第一点产生了需求,那么第二点和第三点就是在展示智能卡的优势了。所以魏晖说,在这种指纹识别信用卡上,所有生物识别信息存储在银行卡上的 SE 中,安全性、保密性等有充分保障。
宅客大姐姐查阅了公开资料,SE 是一个CPU卡,可以运行智能卡应用程序(称为小应用或卡应用)。一个智能卡从本质上讲就是在单一芯片上的微型计算环境,具有完备的CPU、ROM、EEPROM、RAM和I/O接口。一般智能卡还具有密钥算法协处理器,可以支持常用的加解密算法,例如,DES、AES和RSA等。智能卡通过多种技术实现抗攻击特性,很难通过分解或分析芯片提取数据。
事实上手机用户对 SE 都不陌生,因为手机的 SIM 卡本身就是一个SE 。
原来是个老熟人!
因为所有信息是在 SE 里存储完成,这张银行卡在任何的应用场景下、在任何不同支付终端上,不会有任何隐私生物信息的传递,因此不会涉及到现有支付环境、支付设备的改造,没有任何影响。
“所以,其安全性能够得到充分保障,这也是行业里很多人对该方案比较认可和关注的重要原因之一。”魏晖说。
但是,关于这种带指纹识别的信用卡,还有许多有待市场验证的变动。比如,魏晖就称,到底要不要做成充电式的信用卡,现在也有几个方案在讨论,这意味着,之前大姐姐获得的信息并不是定论,他们也在试水。
安全还是便利:寻找平衡点
所以,有了带指纹识别的信用卡,我还怕暗网买卡人吗?我的结论是:南非的朋友们,有钱你先试。试好了,万事达对上述问题有解决措施,市场就会给其反馈。
以前,常有做移动支付的朋友对我说,不同支付方案总在便利性和安全性之间寻找一个平衡点。
对于这一点,这种指纹识别信用卡能不能准确把握?
你来定。
至于童鞋们要争论指纹识别是否安全,这又是另外一个话题了。至少,就PB 和金雅拓而言,都卯足了劲与假指纹作斗争,各家也都有自己的“攻防”方案,自此不再赘述。有兴趣可以上雷锋网搜索“指纹识别”,相信应对“假指纹”的攻防战会让你大吃一惊。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/106309.html