科客點(diǎn)評(píng)：大眾對(duì)安全性的擔(dān)憂阻礙了移動(dòng)支付的普及，但話說(shuō)回來(lái)，難道你用信用卡就絕對(duì)安全了嗎？

　　為什么移動(dòng)支付技術(shù)在問(wèn)世多年后仍遲遲得不到普及？《連線》雜志網(wǎng)站日前刊發(fā)業(yè)內(nèi)人士文章，從安全角度講述了其中的緣由，介紹了行業(yè)為此所做出的努力，提出了新的設(shè)想。以下為文章內(nèi)容節(jié)選：

　　為什么消費(fèi)者到現(xiàn)在還不愿意接受移動(dòng)支付？對(duì)安全性的擔(dān)憂是頭號(hào)阻礙。大牌零售商不斷爆出用戶信息被竊的丑聞，這讓消費(fèi)者打心底感到恐懼，因此人們不可能真正地信任移動(dòng)支付技術(shù)。

　　要想讓這種技術(shù)被廣泛接受，需要做的就是建立信任。EMV信用卡（指歐陸卡、萬(wàn)事達(dá)、維薩）使用一種安全微芯片來(lái)傳輸數(shù)據(jù)，但這是一種物理的設(shè)備。問(wèn)題的關(guān)鍵是要在虛擬世界創(chuàng)建一套同樣安全的環(huán)境?！　?/p>

　　隨著主機(jī)卡仿真（HCE）技術(shù)的問(wèn)世，保護(hù)用戶支付憑證這一領(lǐng)域才有所改觀。在主機(jī)卡仿真出現(xiàn)之前，人們只有兩種辦法。一是將憑證存放在手機(jī)的特制安全芯片中，即安全元件（SE）里。這樣就打造了一個(gè)移動(dòng)錢包，里面的安全元件可以像EMV信用卡那樣，保證敏感數(shù)據(jù)傳輸無(wú)虞。另一種辦法是用云中的“文件卡”（Card On File）憑證——其實(shí)就是把基本的支付信息存儲(chǔ)在網(wǎng)上。

　　主機(jī)卡仿真便是完全使用軟件保證信用卡安全的最好代表。與信用卡支付有關(guān)的所有數(shù)據(jù)都不再需要依賴一塊物理芯片，這終結(jié)了安全元件的作用。此前有關(guān)安全元件歸屬的爭(zhēng)論也得以解決，市場(chǎng)向新進(jìn)入者敞開了大門。

　　從目前的實(shí)踐看，把存儲(chǔ)在芯片上的信用卡數(shù)據(jù)傳輸?shù)桨踩脑骗h(huán)境中，涉及到的操作步驟是有問(wèn)題的。要想完成一筆買賣，你的手機(jī)就需要聯(lián)網(wǎng)，需要等待數(shù)據(jù)加密后發(fā)送的回應(yīng)。即使是在理想的情況下，這也很難在發(fā)卡組織要求的時(shí)間內(nèi)完成。而且如果沒有信號(hào)，所有這些都無(wú)從談起。為了解決這個(gè)問(wèn)題，人們?cè)O(shè)計(jì)了一個(gè)名叫“令牌化”（Tokenization）的概念。你在消費(fèi)的時(shí)候，不用每次都接入互聯(lián)網(wǎng)，而是把用途有限的虛擬信用卡存儲(chǔ)在手機(jī)里。

　　令牌化也有自己的問(wèn)題。想要偷走你的錢，網(wǎng)上的竊賊不一定非要拿走你的錢包，甚至不用拿走你的手機(jī)。黑客可以克隆一部手機(jī)，拿到信用卡信息，或者僅僅是向手機(jī)內(nèi)安裝惡意軟件，虛擬卡就可以直接發(fā)到竊賊手中。

　　從長(zhǎng)遠(yuǎn)看，移動(dòng)支付只有在一種強(qiáng)認(rèn)證機(jī)制就位的前提下，才能確保安全。我們必須要能把用戶的身份信息與交易授權(quán)綁定起來(lái)。雖說(shuō)銀行很熟悉數(shù)據(jù)保護(hù)的要求，但經(jīng)驗(yàn)不那么豐富的市場(chǎng)新進(jìn)入者還是需要對(duì)認(rèn)證與風(fēng)險(xiǎn)評(píng)估非常小心。

　　事實(shí)證明，智能手機(jī)本身就可以在移動(dòng)支付的安全問(wèn)題上盡一份力。

　　WiFi定位、3G定位、GPS數(shù)據(jù)這些功能，以及設(shè)備上應(yīng)用的數(shù)量與類型就可以組成一份獨(dú)特的用戶信息。雖然這算不上什么萬(wàn)能良藥，但這些都可以用來(lái)判斷是否出現(xiàn)了盜刷交易。同時(shí)，由于降低了認(rèn)證的門檻，只要能判定這名消費(fèi)者是可信的，就可以讓他獲得更好的購(gòu)物體驗(yàn)。另外也可以在感覺可疑時(shí)把交易的門檻樹起來(lái)。

　　在這個(gè)網(wǎng)絡(luò)犯罪越來(lái)越智能化的時(shí)代，所有的互聯(lián)網(wǎng)活動(dòng)都存在安全隱患。按照上述辦法創(chuàng)建的基于風(fēng)險(xiǎn)管理的認(rèn)證方式也不例外。這種方法需要海量的個(gè)人信息，而這無(wú)疑會(huì)惹來(lái)黑客的注意。這些數(shù)據(jù)必須被保護(hù)起來(lái)，但從數(shù)量與敏感性上看，想要恰當(dāng)?shù)乇Ｗo(hù)這些數(shù)據(jù)，其難度要遠(yuǎn)大于一般的密碼數(shù)據(jù)庫(kù)。

　　認(rèn)證正在演變?yōu)橐粋€(gè)大數(shù)據(jù)問(wèn)題。為了讓黑客減少對(duì)個(gè)人敏感信息的興趣，就要啟用加密。如果數(shù)據(jù)獲得加密，即使被竊或丟失，損害也會(huì)小一些。

　　隨著移動(dòng)支付行業(yè)的發(fā)展，主機(jī)卡仿真被證明是一種受歡迎且值得一試的新方法。如果行業(yè)人士希望看到移動(dòng)支付得到普及，他們就需要打造安全的交易環(huán)境，培育用戶的信任。諷刺的是，智能手機(jī)這樣一個(gè)可能帶來(lái)安全問(wèn)題的設(shè)備，也可以采取幫助用戶認(rèn)證的方式服務(wù)于安全。數(shù)據(jù)加密是安全的另一方面，它可以為數(shù)據(jù)保護(hù)再加一道鎖，進(jìn)一步鼓勵(lì)大眾接受移動(dòng)支付。

　　作者理查德·莫爾茨（Richard Moulds）是Thales e-Security公司負(fù)責(zé)產(chǎn)品管理與戰(zhàn)略的副總裁。（網(wǎng)易科技）

注：轉(zhuǎn)載文章，不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)，本站不承擔(dān)此類稿件侵權(quán)行為的連帶責(zé)任。如版權(quán)持有者對(duì)所轉(zhuǎn)載文章有異議，請(qǐng)與我們聯(lián)系。