1月8日消息,为什么移动支付技术在问世多年后仍迟迟得不到普及?《连线》杂志网站日前刊发业内人士文章,从安全角度讲述了其中的缘由,介绍了行业为此所做出的努力,提出了新的设想。以下为文章内容节选:
为什么消费者到现在还不愿意接受移动支付?对安全性的担忧是头号阻碍。大牌零售商不断爆出用户信息被窃的丑闻,这让消费者打心底感到恐惧,因此人们不可能真正地信任移动支付技术。
要想让这种技术被广泛接受,需要做的就是建立信任。EMV信用卡(指欧陆卡、万事达、维萨)使用一种安全微芯片来传输数据,但这是一种物理的设备。问题的关键是要在虚拟世界创建一套同样安全的环境。
随着主机卡仿真(HCE)技术的问世,保护用户支付凭证这一领域才有所改观。在主机卡仿真出现之前,人们只有两种办法。一是将凭证存放在手机的特制安全芯片中,即安全元件(SE)里。这样就打造了一个移动钱包,里面的安全元件可以像EMV信用卡那样,保证敏感数据传输无虞。另一种办法是用云中的“文件卡”(Card On File)凭证——其实就是把基本的支付信息存储在网上。
主机卡仿真便是完全使用软件保证信用卡安全的最好代表。与信用卡支付有关的所有数据都不再需要依赖一块物理芯片,这终结了安全元件的作用。此前有关安全元件归属的争论也得以解决,市场向新进入者敞开了大门。
从目前的实践看,把存储在芯片上的信用卡数据传输到安全的云环境中,涉及到的操作步骤是有问题的。要想完成一笔买卖,你的手机就需要联网,需要等待数据加密后发送的回应。即使是在理想的情况下,这也很难在发卡组织要求的时间内完成。而且如果没有信号,所有这些都无从谈起。为了解决这个问题,人们设计了一个名叫“令牌化”(Tokenization)的概念。你在消费的时候,不用每次都接入互联网,而是把用途有限的虚拟信用卡存储在手机里。
令牌化也有自己的问题。想要偷走你的钱,网上的窃贼不一定非要拿走你的钱包,甚至不用拿走你的手机。黑客可以克隆一部手机,拿到信用卡信息,或者仅仅是向手机内安装恶意软件,虚拟卡就可以直接发到窃贼手中。
从长远看,移动支付只有在一种强认证机制就位的前提下,才能确保安全。我们必须要能把用户的身份信息与交易授权绑定起来。虽说银行很熟悉数据保护的要求,但经验不那么丰富的市场新进入者还是需要对认证与风险评估非常小心。
事实证明,智能手机本身就可以在移动支付的安全问题上尽一份力。
WiFi定位、3G定位、GPS数据这些功能,以及设备上应用的数量与类型就可以组成一份独特的用户信息。虽然这算不上什么万能良药,但这些都可以用来判断是否出现了盗刷交易。同时,由于降低了认证的门槛,只要能判定这名消费者是可信的,就可以让他获得更好的购物体验。另外也可以在感觉可疑时把交易的门槛树起来。
在这个网络犯罪越来越智能化的时代,所有的互联网活动都存在安全隐患。按照上述办法创建的基于风险管理的认证方式也不例外。这种方法需要海量的个人信息,而这无疑会惹来黑客的注意。这些数据必须被保护起来,但从数量与敏感性上看,想要恰当地保护这些数据,其难度要远大于一般的密码数据库。
认证正在演变为一个大数据问题。为了让黑客减少对个人敏感信息的兴趣,就要启用加密。如果数据获得加密,即使被窃或丢失,损害也会小一些。
随着移动支付行业的发展,主机卡仿真被证明是一种受欢迎且值得一试的新方法。如果行业人士希望看到移动支付得到普及,他们就需要打造安全的交易环境,培育用户的信任。讽刺的是,智能手机这样一个可能带来安全问题的设备,也可以采取帮助用户认证的方式服务于安全。数据加密是安全的另一方面,它可以为数据保护再加一道锁,进一步鼓励大众接受移动支付。