Apple Pay 為何值得信賴?


問題一旦和財產有關,除了便利外,人們最關心的就是安全問題。 Apple Pay 被認為是真正的下一代數字支付系統,到底它的安全性有多高? TUAW 介紹 Apple Pay 背後的運作機制,告訴我們到底它有多安全。

依照Apple Pay 的機制,用戶的信用卡信息完全保密。無論是iPhone 還是商家的服務器上,都不會保存用戶的信用卡信息。

當用戶第一次註冊Apple Pay 的時候,信用卡的信息會發送到對應的信用卡網絡,馬上加密。一旦信用卡網絡查明信用卡信息是有效的之後,就會返回一個Token(令牌)的信息到用戶的設備上,儲存在iPhone 的“安全區域”(Secure Element)裡。

那麼 Token 是什麼東西?它實際上是一串隨機生成,但獨一無二的16 位數字。它幾乎沒有什麼用途,除了是認為與你的信用卡卡號相關的之外。而且,它僅僅表示信用卡卡號末尾4 個數字。

2012 年,來自First Data 的白皮書解釋了Token 機制的優越性:Token 可以像信用卡一樣,用於商業的銷售報告、市場分析,但不可用於商業環境以外的欺詐交易當中。 Token 的好處在於,它在正常的商業交易當中,以最快的速度隱去了信用卡的卡號。

這個過程是這樣的,一旦用戶通過Apple Pay 支付,iPhone 就會發送一個Token 信息給商家,商家又將Token 信息發送給信用卡網絡,由後者找到相關的信用卡賬戶。然後,信用卡網絡馬上聯繫相關的銀行,獲得許可。一旦信用卡信息得到許可,銀行將返回一個許可信息,指示商家交易繼續。整個交易之所以安全,是以為它都基於Token 信息,而非基於信用卡卡號。

讓人安心的是,黑客無法解密Token 從而得到用戶的信用卡卡號。

Apple Pay 並非基於數學的方法來為信用卡卡號生成Token 信息,因此它生成的Token 信息無法使用方程式進行還原,也就得不到信用卡卡號的信息。在Apple Pay 當中,一旦載入一張信用卡,系統就會迅速使用隨機生成的Token 信息進行替代。換言之,Token 信息是一次性的,即便有人掌握大量Token 信息也是無用的,他也沒辦法通過這些信息得到用戶的信用卡卡號。

Apple Pay 的使用是和Touch ID 深度整合的——每一次交易,用戶都需要按下Touch ID,以完成交易。從表面看,這個操作十分簡單,但是背後實際上並不那麼簡單。每一次交易,Apple Pay 都在密碼保護的情況下,為交易動態生成信用卡安全碼(CVV)。是的,它的作用很像信用卡後面印著的安全碼,只不過是由蘋果的算法動態生成。

另外,有兩個重要事實需要記住:

  • 在使用Token 的時候,必須輸入密碼,蘋果利用TouchID 來實現這個過程;
  • 不光如此,密碼還確保Token 信息一次只被一個設備使用。

總而言之,蘋果所打造的移動支付功能,是基於Token 來實現的,它能代表信用卡,卻很難被破解。而且,由於商家不會儲存消費者的信用卡信息,因此,對於消費者來說,Apple Pay 可以減少他個人信息洩密的風險。


資料來源:愛範兒(ifanr)
編輯:陳一斌

如果喜歡我們的文章,請即分享到︰

標籤: Apple Pay