一旦和財產有關,除了便利之外,人們最關心的就是安全問題。Apple Pay 被認為是真正的下一代數位支付系統,到底它的安全性有多高?TUAW 介紹 Apple Pay 背後的運作機制,告訴我們到底它有多安全。EMV支付系統的 Tokenisation 技術框架,可以在這裡下載。
▲圖片來源
依照 Apple Pay 的機制,使用者的信用卡資訊完全保密。無論是 iPhone 還是店家的伺服器上,都不會保存使用者的信用卡資訊。
當使用者第一次註冊 Apple Pay 的時候,信用卡的資訊會發送到對應的信用卡網路中心,馬上加密。一旦信用卡網路查明信用卡資訊是有效的之後,就會返回一個 Token(直譯為代幣,一組動態加密的代碼)的資訊到使用者的設備上,儲存在 iPhone 的「行動安全支付元件」(Secure Element)裡。
那麼 Token 是什麼東西?它實際上是一串隨機生成,但獨一無二的 16 位數字。它幾乎沒有什麼用途,除了是認為與你的信用卡卡號相關的之外。而且,它僅僅表示信用卡卡號末尾 4 個數字。
2012 年,來自 First Data 的白皮書解釋了 Token 機制的優越性:Token 可以像信用卡一樣,用於商業的銷售報告、市場分析,但不可用於商業環境以外的欺詐交易當中。Token 的好處在於,它在正常的商業交易當中,以最快的速度隱匿了信用卡的卡號。
這個過程是這樣的,一旦用戶透過 Apple Pay 支付,iPhone 就會發送一個 Token 資訊給商家,商家又將 Token 資訊發送給信用卡網路中心,由後者找到相關的信用卡帳戶。然後,信用卡網路馬上聯繫相關的銀行,獲得許可。一旦信用卡資訊得到許可,銀行將返回一個許可資訊,指示商家交易繼續。整個交易之所以安全,是以為它都基於 Token 資訊,而非基於信用卡卡號。
讓人安心的是,駭客無法解密 Token 進而得到用戶的信用卡卡號。
Apple Pay 並非基於數學的方法來為信用卡卡號生成 Token 資訊,因此它生成的 Token 資訊無法使用方程式進行還原,也就得不到信用卡卡號的資訊。在 Apple Pay 當中,一旦載入一張信用卡,系統就會迅速使用隨機生成的 Token 資訊進行替代。換言之,Token 資訊是一次性的,即便有人掌握大量 Token 資訊也是無用的,他也沒辦法透過這些資訊得到使用者的信用卡卡號。
Apple Pay 的使用是和 Touch ID 深度整合的——每一次交易,使用者都需要按下 Touch ID,以完成交易。從表面看,這個操作十分簡單,但是背後實際上並不那麼簡單。每一次交易,Apple Pay 都在密碼保護的情況下,為交易動態生成信用卡安全碼(CVV)。是的,它的作用很像信用卡後面印著的安全碼,只不過是由蘋果的演算法動態生成。
另外,有兩個重要事實需要記住:
在使用 Token 的時候,必須輸入密碼,蘋果利用 TouchID 來實現這個過程;不光如此,密碼還確保 Token 資訊一次只被一個設備使用。
總而言之,蘋果所打造的移動支付功能,是基於 Token 來實現的,它能代表信用卡,卻很難被破解。而且,由於商家不會儲存消費者的信用卡資訊,因此,對於消費者來說,Apple Pay 可以減少個人資訊洩密的風險。
信仰果然很強大
> iCloud 事件後還有人相信 apple 的安全性? ╮(╯_╰)╭
> 信仰果然很強大
按你這樣說,Linux之前的Bash Shell和Heartbleed
windows的眾多漏洞,
應該沒人相信Linux和windows的安全性??
世上沒有絕對安全的系統或方式,只有相對安全。
我相信linux和apple 絕大部分情況是比微軟安全
> ※ 引述《deadbeef》的留言:
> > iCloud 事件後還有人相信 apple 的安全性? ╮(╯_╰)╭
> > 信仰果然很強大
>
> 按你這樣說,Linux之前的Bash Shell和Heartbleed
> windows的眾多漏洞,
> 應該沒人相信Linux和windows的安全性??
>
> 世上沒有絕對安全的系統或方式,只有相對安全。
> 我相信linux和apple 絕大部分情況是比微軟安全
問題在於 apple 對這件事情的處理方式跟態度
http://www.dailydot.com/technology/apple-icloud-brute-force-attack-march/
並不是那個方法的理論上的安全性問題。
沒記錯的話微軟也發生過類似的情況
APPLE在這次iCloud問題中說不定真的做錯了一些事
(只看報導不一定就是事實的全部)
不過我覺得,他們提出了方便又相對安全的交易方法
也是一件好事
已經比Android容易被盜刷好很多了
大概有種Thunderbolt的味道吧...
> 這個是官方對於某些BUG的處理手法問題,
> 並不是那個方法的理論上的安全性問題。
> 沒記錯的話微軟也發生過類似的情況
> ...(恕刪)
> 也是一件好事
> 已經比Android容易被盜刷好很多了
>
從來也沒有人說過Windows、Linux是史上最安全的作業系統
不過Apple有...
信仰果然強大
還有,請問在Android手機沒有Root的前提下,要如何盜刷Google Wallet的資料?煩請您開導一下
這句話講得太肯定了
哪天被破解就別哭哭
畢竟這世界上沒有100%安全的東西!!
最強也只有99%安全的東西
> 讓人安心的是,駭客無法解密 Token 進而得到用戶的信用卡卡號。
>
> 這句話講得太肯定了
>
> 哪天被破解就別哭哭
>
> 畢竟這世界上沒有100%安全的東西!!
> 最強也只有99%安全的東西
他都說token是隨機生成的,隨機生成跟原本卡號無關的亂碼怎麼破解還原?就像我亂打一串數字叫你猜我腦裡本來在想什麼一樣。
╮(╯_╰)╭
卡號唯一存在的地方就是信用卡公司,除非你去駭信用卡公司,不過這就跟Apple Pay無關了。