2014年12月5日 星期五

‧ Apple Pay 為何值得信賴?

ifanr  陳一斌

p_30stk_apple_pay_140910
問題一旦和財產有關,除了便利外,人們最關心的就是安全問題。Apple Pay 被認為是真正的下一代數位支付系統,到底它的安全性有多高?TUAW 介紹 Apple Pay 背後的運作機制,告訴我們到底它有多安全。
依照 Apple Pay 的機制,使用者的信用卡資訊完全保密。無論是 iPhone 還是商家的伺服器上,都不會保存使用者的信用卡資訊。
當使用者第一次註冊 Apple Pay 的時候,信用卡的資訊會發送到對應的信用卡網路,馬上加密。一旦信用卡網路查明信用卡資訊是有效的之後,就會返回一個 Token(權杖)的資訊到使用者的設備上,儲存在 iPhone 安全區域Secure Element)裡。
那麼 Token 是什麼東西?它實際上是一串隨機生成,但獨一無二的 16 位元數位。它幾乎沒有什麼用途,除了是認為與你的信用卡卡號相關的之外。而且,它僅僅表示信用卡卡號末尾 4 個數字。
2012 年,來自 First Data 的白皮書解釋了 Token 機制的優越性:Token 可以像信用卡一樣,用於商業的銷售報告、市場分析,但不可用於商業環境以外的欺詐交易當中。Token 的好處在於,它在正常的商業交易當中,以最快的速度隱去了信用卡的卡號。
這個過程是這樣的,一旦用戶通過 Apple Pay 支付,iPhone 就會發送一個 Token 資訊給商家,商家又將 Token 資訊發送給信用卡網路,由後者找到相關的信用卡帳戶。然後,信用卡網路馬上聯繫相關的銀行,獲得許可。一旦信用卡資訊得到許可,銀行將返回一個許可資訊,指示商家交易繼續。整個交易之所以安全,是以為它都基於 Token 資訊,而非基於信用卡卡號。
讓人安心的是,駭客無法解密 Token 從而得到用戶的信用卡卡號。
Apple Pay 並非基於數學的方法來為信用卡卡號生成 Token 資訊,因此它生成的 Token 資訊無法使用方程式進行還原,也就得不到信用卡卡號的資訊。在 Apple Pay 當中,一旦載入一張信用卡,系統就會迅速使用隨機生成的 Token 資訊進行替代。換言之,Token 資訊是一次性的,即便有人掌握大量 Token 資訊也是無用的,他也沒辦法通過這些資訊得到使用者的信用卡卡號。
Apple Pay 的使用是和 Touch ID 深度整合的——每一次交易,使用者都需要按下 Touch ID,以完成交易。從表面看,這個操作十分簡單,但是背後實際上並不那麼簡單。每一次交易,Apple Pay 都在密碼保護的情況下,為交易動態生成信用卡安全碼(CVV)。是的,它的作用很像信用卡後面印著的安全碼,只不過是由蘋果的演算法動態生成。
另外,有兩個重要事實需要記住:
·         在使用 Token 的時候,必須輸入密碼,蘋果利用 TouchID 來實現這個過程;
·         不光如此,密碼還確保 Token 資訊一次只被一個設備使用。

總而言之,蘋果所打造的行動支付功能,是基於 Token 來實現的,它能代表信用卡,卻很難被破解。而且,由於商家不會儲存消費者的信用卡資訊,因此,對於消費者來說,Apple Pay 可以減少他個人資訊洩密的風險。

                                                                                                                                                                                                                            

沒有留言:

張貼留言