刷卡消費(fèi)早已不是什么新鮮事，然而這一消費(fèi)方式正在全球悄悄發(fā)生變化。橫空出世的芯片卡在歐洲已有數(shù)年的使用歷史，那么芯片卡是否完美地解決了磁條卡存在的安全問題?答案或許并不完美，但“科技改變生活”的說法一點(diǎn)都沒錯!

[[131662]]

EMV技術(shù)

芯片卡技術(shù)(又稱“芯片—密碼”、“芯片—簽名”或“EMV技術(shù)”)正在快速成為全球支付標(biāo)準(zhǔn)。EMV，命名來自于Europay(Europay International)、萬事達(dá)卡(MasterCard)與威士卡(VISA)3大國際組織英文名稱的字首所組成。“EMV”是國際金融業(yè)界對于智能卡與可使用芯片卡的POS終端機(jī)，以及銀行機(jī)構(gòu)所廣泛設(shè)置的自動柜員機(jī)等所制定的專業(yè)交易與認(rèn)證的標(biāo)準(zhǔn)規(guī)范，是針對芯片信用卡與現(xiàn)金卡(借記卡)的支付款系統(tǒng)(Payment System)相關(guān)軟硬件所設(shè)置的標(biāo)準(zhǔn)。

據(jù)統(tǒng)計，在全球發(fā)布的卡片中，40%的卡以及70%的POS終端使用芯片技術(shù)。因即將到來的2015年10月為企業(yè)采用支持芯片技術(shù)的最后期限，美國的銀行及企業(yè)正在極力做出轉(zhuǎn)變。而芯片卡到底是如何工作的?又有哪些好處?更重要的是，還有哪些不足?

芯片卡新標(biāo)準(zhǔn)

人們所熟悉的刷信用卡技術(shù)中，卡數(shù)據(jù)被編碼在一個磁條上，然后通過POS系統(tǒng)運(yùn)行。一般情況下，用戶必須提供刷卡以及密碼或者一張卡和一個簽名。這樣就會出現(xiàn)一個問題，這些卡片上的數(shù)據(jù)可通過廉價的讀卡機(jī)器輕易被復(fù)制，使得犯罪分子能夠復(fù)制信用卡及儲蓄卡。為了解決這個問題，Europay、萬事達(dá)卡及Visa(EMV)推出一個新標(biāo)準(zhǔn)，即芯片卡。

Chase Paymentech指出：

芯片卡擁有一個內(nèi)嵌式微型計算機(jī)芯片及磁條，這個芯片必須插入兼容性POS機(jī)器才能快速驗(yàn)證。首先要確保卡被激活而且未過期。然后用生成的一個不可預(yù)知的數(shù)字集合來對傳輸至相關(guān)金融機(jī)構(gòu)的卡數(shù)據(jù)進(jìn)行加密。銀行或信用卡公司之后會驗(yàn)證這筆交易并返回一個加密批復(fù)。芯片卡最大的好處是減少欺騙，因?yàn)樾酒y被復(fù)制而且不可能手動輸入卡號或使用碳式復(fù)寫紙?zhí)娲?/p>

折中辦法?

為了跟全球POS技術(shù)與時俱進(jìn)并提高安全性，萬事達(dá)卡及Visa將2015年10月份作為“責(zé)任轉(zhuǎn)移”的最后期限。這兩家公司都全力支持美國的EMV技術(shù)，而且到今年秋，他們將會把欺詐責(zé)任轉(zhuǎn)移至使用安全度不高的技術(shù)的一方——企業(yè)或金融機(jī)構(gòu)。因此，如果企業(yè)擁有芯片能力但銀行沒有頒發(fā)芯片卡，那么銀行需要承擔(dān)成本。而如果企業(yè)選擇了刷卡并簽名的芯片卡，那么他們就要為欺詐負(fù)責(zé)。這樣做的目的是強(qiáng)迫銀行及企業(yè)同時采用芯片卡從而大幅減少信用卡欺詐行為。

然而，有些人認(rèn)為這樣做會產(chǎn)生一個新問題。雖然新規(guī)要求使用芯片卡，但是選擇“芯片—密碼”或“芯片—簽名”則取決于企業(yè)。聽聽沃爾瑪超市的助理財務(wù)總監(jiān)Mike Cook是怎么說的：“若我們不使用密碼了，這就是一個笑話。”為什么?

因?yàn)楸绕鹈艽a來說，很少被檢查準(zhǔn)確性的簽名更容易被復(fù)制。這就意味著芯片卡在被丟或被盜的情況下毫無防御能力，犯罪分子可以插入芯片、潦草簽名，然后便可一走了之。

芯片卡不安全

還有人擔(dān)心芯片技術(shù)可能不夠安全，并且無法徹底消除欺詐行為。例如，英國在2006年就完全采用了EMV。偽造卡欺詐行為大幅下跌，然而在網(wǎng)上或電話交易中出現(xiàn)的無須提呈信用卡的欺詐在上升。

Hacker News指出，芯片卡也存在幾個內(nèi)在漏洞。首先，安全研究人員能夠預(yù)測到本不可預(yù)測的號碼模式，這樣他們就可以復(fù)制芯片卡并且消除銀行可檢測欺詐交易的能力。其次，安全研究人員還找到一種通過攻陷子進(jìn)程執(zhí)行中間人攻擊的方法，而這個子進(jìn)程是POS終端所要求的驗(yàn)證步驟，結(jié)果就可繞過密碼或簽名要求。

最后，Wired報道稱一個英國團(tuán)隊(duì)在一些“無觸點(diǎn)”Visa芯片卡中發(fā)現(xiàn)了缺陷，允許批準(zhǔn)最多達(dá)999,999.99美元的交易。

EMV的未知未來

EMV的底線是什么?這是一種向前的技術(shù)還是需要企業(yè)白手起家從無到有?從歐洲的成功經(jīng)驗(yàn)來看，選擇芯片及密碼卡能夠大大減少偽造卡欺詐行為并丟失或被盜的欺詐行為。然而，技術(shù)并非十全十美。“芯片—簽名”的安全性較差，而且已經(jīng)發(fā)現(xiàn)了幾個卡級別的漏洞。

不過，信用卡大鱷正在利用自身影響支持芯片卡標(biāo)準(zhǔn)——無論喜歡與否，責(zé)任將于10月份轉(zhuǎn)移。