芯片卡安全的前世、今生与来世

2024-03-25 18:10

本文主要是介绍芯片卡安全的前世、今生与来世,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

刷卡消费早已不是什么新鲜事,然而这一消费方式正在全球悄悄发生变化。横空出世的芯片卡在欧洲已有数年的使用历史,那么芯片卡是否完美地解决了磁条卡存在的安全问题?答案或许并不完美,但“科技改变生活”的说法一点都没错!

芯片卡安全的前世、今生与来世

EMV技术

芯片卡技术(又称“芯片—密码”、“芯片—签名”或“EMV技术”)正在快速成为全球支付标准。EMV,命名来自于Europay(Europay International)、万事达卡(MasterCard)与威士卡(VISA)3大国际组织英文名称的字首所组成。“EMV”是国际金融业界对于智能卡与可使用芯片卡的POS终端机,以及银行机构所广泛设置的自动柜员机等所制定的专业交易与认证的标准规范,是针对芯片信用卡与现金卡(借记卡)的支付款系统(Payment System)相关软硬件所设置的标准。

据统计,在全球发布的卡片中,40%的卡以及70%的POS终端使用芯片技术。因即将到来的2015年10月为企业采用支持芯片技术的最后期限,美国的银行及企业正在极力做出转变。而芯片卡到底是如何工作的?又有哪些好处?更重要的是,还有哪些不足?

芯片卡新标准

人们所熟悉的刷信用卡技术中,卡数据被编码在一个磁条上,然后通过POS系统运行。一般情况下,用户必须提供刷卡以及密码或者一张卡和一个签名。这样就会出现一个问题,这些卡片上的数据可通过廉价的读卡机器轻易被复制,使得犯罪分子能够复制信用卡及储蓄卡。为了解决这个问题,Europay、万事达卡及Visa(EMV)推出一个新标准,即芯片卡。

Chase Paymentech指出:

芯片卡拥有一个内嵌式微型计算机芯片及磁条,这个芯片必须插入兼容性POS机器才能快速验证。首先要确保卡被激活而且未过期。然后用生成的一个不可预知的数字集合来对传输至相关金融机构的卡数据进行加密。银行或信用卡公司之后会验证这笔交易并返回一个加密批复。芯片卡最大的好处是减少欺骗,因为芯片更难被复制而且不可能手动输入卡号或使用碳式复写纸替代。

折中办法?

为了跟全球POS技术与时俱进并提高安全性,万事达卡及Visa将2015年10月份作为“责任转移”的最后期限。这两家公司都全力支持美国的EMV技术,而且到今年秋,他们将会把欺诈责任转移至使用安全度不高的技术的一方——企业或金融机构。因此,如果企业拥有芯片能力但银行没有颁发芯片卡,那么银行需要承担成本。而如果企业选择了刷卡并签名的芯片卡,那么他们就要为欺诈负责。这样做的目的是强迫银行及企业同时采用芯片卡从而大幅减少信用卡欺诈行为。

然而,有些人认为这样做会产生一个新问题。虽然新规要求使用芯片卡,但是选择“芯片—密码”或“芯片—签名”则取决于企业。听听沃尔玛超市的助理财务总监Mike Cook是怎么说的:“若我们不使用密码了,这就是一个笑话。”为什么?

因为比起密码来说,很少被检查准确性的签名更容易被复制。这就意味着芯片卡在被丢或被盗的情况下毫无防御能力,犯罪分子可以插入芯片、潦草签名,然后便可一走了之。

芯片卡不安全

还有人担心芯片技术可能不够安全,并且无法彻底消除欺诈行为。例如,英国在2006年就完全采用了EMV。伪造卡欺诈行为大幅下跌,然而在网上或电话交易中出现的无须提呈信用卡的欺诈在上升。

Hacker News指出,芯片卡也存在几个内在漏洞。首先,安全研究人员能够预测到本不可预测的号码模式,这样他们就可以复制芯片卡并且消除银行可检测欺诈交易的能力。其次,安全研究人员还找到一种通过攻陷子进程执行中间人攻击的方法,而这个子进程是POS终端所要求的验证步骤,结果就可绕过密码或签名要求。

最后,Wired报道称一个英国团队在一些“无触点”Visa芯片卡中发现了缺陷,允许批准最多达999,999.99美元的交易。

EMV的未知未来

EMV的底线是什么?这是一种向前的技术还是需要企业白手起家从无到有?从欧洲的成功经验来看,选择芯片及密码卡能够大大减少伪造卡欺诈行为并丢失或被盗的欺诈行为。然而,技术并非十全十美。“芯片—签名”的安全性较差,而且已经发现了几个卡级别的漏洞。

不过,信用卡大鳄正在利用自身影响支持芯片卡标准——无论喜欢与否,责任将于10月份转移。

作者:codename


来源:51CTO

这篇关于芯片卡安全的前世、今生与来世的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/845830

相关文章

Java 线程安全与 volatile与单例模式问题及解决方案

《Java线程安全与volatile与单例模式问题及解决方案》文章主要讲解线程安全问题的五个成因(调度随机、变量修改、非原子操作、内存可见性、指令重排序)及解决方案,强调使用volatile关键字... 目录什么是线程安全线程安全问题的产生与解决方案线程的调度是随机的多个线程对同一个变量进行修改线程的修改操

Java中常见队列举例详解(非线程安全)

《Java中常见队列举例详解(非线程安全)》队列用于模拟队列这种数据结构,队列通常是指先进先出的容器,:本文主要介绍Java中常见队列(非线程安全)的相关资料,文中通过代码介绍的非常详细,需要的朋... 目录一.队列定义 二.常见接口 三.常见实现类3.1 ArrayDeque3.1.1 实现原理3.1.2

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

Python从零打造高安全密码管理器

《Python从零打造高安全密码管理器》在数字化时代,每人平均需要管理近百个账号密码,本文将带大家深入剖析一个基于Python的高安全性密码管理器实现方案,感兴趣的小伙伴可以参考一下... 目录一、前言:为什么我们需要专属密码管理器二、系统架构设计2.1 安全加密体系2.2 密码强度策略三、核心功能实现详解

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

浅析Rust多线程中如何安全的使用变量

《浅析Rust多线程中如何安全的使用变量》这篇文章主要为大家详细介绍了Rust如何在线程的闭包中安全的使用变量,包括共享变量和修改变量,文中的示例代码讲解详细,有需要的小伙伴可以参考下... 目录1. 向线程传递变量2. 多线程共享变量引用3. 多线程中修改变量4. 总结在Rust语言中,一个既引人入胜又可

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟