芯片卡安全的前世、今生与来世

刷卡消费早已不是什么新鲜事，然而这一消费方式正在全球悄悄发生变化。横空出世的芯片卡在欧洲已有数年的使用历史，那么芯片卡是否完美地解决了磁条卡存在的安全问题?答案或许并不完美，但“科技改变生活”的说法一点都没错!

EMV技术

芯片卡技术(又称“芯片—密码”、“芯片—签名”或“EMV技术”)正在快速成为全球支付标准。EMV，命名来自于Europay(Europay International)、万事达卡(MasterCard)与威士卡(VISA)3大国际组织英文名称的字首所组成。“EMV”是国际金融业界对于智能卡与可使用芯片卡的POS终端机，以及银行机构所广泛设置的自动柜员机等所制定的专业交易与认证的标准规范，是针对芯片信用卡与现金卡(借记卡)的支付款系统(Payment System)相关软硬件所设置的标准。

据统计，在全球发布的卡片中，40%的卡以及70%的POS终端使用芯片技术。因即将到来的2015年10月为企业采用支持芯片技术的最后期限，美国的银行及企业正在极力做出转变。而芯片卡到底是如何工作的?又有哪些好处?更重要的是，还有哪些不足?

芯片卡新标准

人们所熟悉的刷信用卡技术中，卡数据被编码在一个磁条上，然后通过POS系统运行。一般情况下，用户必须提供刷卡以及密码或者一张卡和一个签名。这样就会出现一个问题，这些卡片上的数据可通过廉价的读卡机器轻易被复制，使得犯罪分子能够复制信用卡及储蓄卡。为了解决这个问题，Europay、万事达卡及Visa(EMV)推出一个新标准，即芯片卡。

Chase Paymentech指出：

芯片卡拥有一个内嵌式微型计算机芯片及磁条，这个芯片必须插入兼容性POS机器才能快速验证。首先要确保卡被激活而且未过期。然后用生成的一个不可预知的数字集合来对传输至相关金融机构的卡数据进行加密。银行或信用卡公司之后会验证这笔交易并返回一个加密批复。芯片卡最大的好处是减少欺骗，因为芯片更难被复制而且不可能手动输入卡号或使用碳式复写纸替代。

折中办法?

为了跟全球POS技术与时俱进并提高安全性，万事达卡及Visa将2015年10月份作为“责任转移”的最后期限。这两家公司都全力支持美国的EMV技术，而且到今年秋，他们将会把欺诈责任转移至使用安全度不高的技术的一方——企业或金融机构。因此，如果企业拥有芯片能力但银行没有颁发芯片卡，那么银行需要承担成本。而如果企业选择了刷卡并签名的芯片卡，那么他们就要为欺诈负责。这样做的目的是强迫银行及企业同时采用芯片卡从而大幅减少信用卡欺诈行为。

然而，有些人认为这样做会产生一个新问题。虽然新规要求使用芯片卡，但是选择“芯片—密码”或“芯片—签名”则取决于企业。听听沃尔玛超市的助理财务总监Mike Cook是怎么说的：“若我们不使用密码了，这就是一个笑话。”为什么?

因为比起密码来说，很少被检查准确性的签名更容易被复制。这就意味着芯片卡在被丢或被盗的情况下毫无防御能力，犯罪分子可以插入芯片、潦草签名，然后便可一走了之。

芯片卡不安全

还有人担心芯片技术可能不够安全，并且无法彻底消除欺诈行为。例如，英国在2006年就完全采用了EMV。伪造卡欺诈行为大幅下跌，然而在网上或电话交易中出现的无须提呈信用卡的欺诈在上升。

Hacker News指出，芯片卡也存在几个内在漏洞。首先，安全研究人员能够预测到本不可预测的号码模式，这样他们就可以复制芯片卡并且消除银行可检测欺诈交易的能力。其次，安全研究人员还找到一种通过攻陷子进程执行中间人攻击的方法，而这个子进程是POS终端所要求的验证步骤，结果就可绕过密码或签名要求。

最后，Wired报道称一个英国团队在一些“无触点”Visa芯片卡中发现了缺陷，允许批准最多达999,999.99美元的交易。

EMV的未知未来

EMV的底线是什么?这是一种向前的技术还是需要企业白手起家从无到有?从欧洲的成功经验来看，选择芯片及密码卡能够大大减少伪造卡欺诈行为并丢失或被盗的欺诈行为。然而，技术并非十全十美。“芯片—签名”的安全性较差，而且已经发现了几个卡级别的漏洞。

不过，信用卡大鳄正在利用自身影响支持芯片卡标准——无论喜欢与否，责任将于10月份转移。

作者：codename

来源：51CTO