芯片密码技术能否真正提高支付卡交易安全性?

日期:2015-2-27作者:Eric Parizo翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

Visa和MasterCard正在向商家施压要求他们部署芯片密码(Chip and PIN)技术,虽然该技术将提高交易安全,但也会让PCI合规变得更加困难。

2015年可能会是Chip and Pin技术(也被称为EMV)突破性的一年,主要是因为零售商日益浓厚的兴趣以及即将到来的最后期限:届时还没有部署该技术的商家将承担新的责任。

SearchSecurity记者最近采访了Gartner研究公司副总裁兼著名分析师Avivah Litan有关她最近对芯片密码技术的安全和合规影响的研究。

对于EMV,请您向我们的读者介绍一下即将到来的2015年10月欺诈责任最后期限的相关信息。这个最后期限意味着什么,以及它将对EMV部署产生何种影响?

Avivah Litan:基本上来讲,2015年10月1日的EMV责任调整最后期限间接激励着商家和银行部署EMV芯片。在一些国家只有相关规定,但在美国市场和其他市场,这是责任调整。这意味着在这个日期之后,如果发生欺诈交易,在发卡行、收单银行、交易处理方以及商家中,谁的安全性最低,谁就需要承担责任。也就是说,如果有人拿着芯片卡进入零售商店,而商家没有相应的销售终端系统,该商家可能要为该交易导致的任何欺诈行为承担责任。

同样地,如果商家有芯片密码兼容的终端系统,而消费者没有芯片卡,那么发卡银行必须为刷卡交易中发生的任何欺诈行为负责。所以这间接激励着银行和商家部署基于芯片密码的系统。

美国EMV迁移论坛是智能卡供应商联盟,该组织估计,到明年年底将有900万台EMV功能的支付终端,以及多达9亿张芯片卡。首先,你同意这些预测吗,以及EMV技术最终将如何影响商家保护支付数据安全的能力?

Litan:我自己并没有作出预测,但你只要看看全球各地发生的情况就可以知道答案。如果你访问EMVCo网站,你会看到其中声称现在不到30%的交易涉及EMV,不到40%的支付终端支持EMV,所以这是相当缓慢的过程。虽然美国即将到来的最后期限将会在很大程度上改变这种现状,但在其他国家,EMV芯片交易不会进展那么顺利。这些系统需要一段时间才会推出。

我认为,还要过5到7年我们才会看到85%的芯片交易,即芯片密码卡用于芯片功能的终端。在那之前,商家仍然需要按照现在的方式保护它们的系统,这仍然会是针对磁卡,商家仍然需要接受这些卡,并且,很多犯罪分子也会从中受益。这种情况在短期内并不会发生太大的改变。

一直备受争论的话题是,未使用密码的EMV交易是否比磁卡交易更安全?你的观点是什么,从长期来看,你认为银行会避免广泛部署基于密码的信用卡吗?

Litan:我认为没有密码的EMV比磁卡要安全得多,但有密码的EMV更加安全。根据美国联邦储备委员会2013年报告的数据显示,基于密码的交易和基于签名的交易相比,欺诈行为减少了700%。这是一个巨大的改进,我不明白为什么美国不迁移到芯片密码,EMV交易显然要比磁卡安全得多。

按理来说,交易欺诈的减少应该会激励银行支持芯片密码,为什么他们在拖延?

Litan:对此我有两种观点。第一,他们不想要影响客户体验。他们担心客户不习惯为信用卡使用密码,他们可能记不住密码,而不得不重置密码等。我并不同意这些观点。在加拿大,银行不想支持密码芯片是因为他们有相同的担忧,但他们最终还是这样做了,而消费者在使用中也没有出现使用问题或者记不住密码的问题。

另一个问题是,如果消费者使用密码,银行害怕这些密码会被盗并用于执行ATM欺诈。银行最担心这一点,因为他们不能逆向ATM欺诈到任何商家;ATM是银行的,这是银行的钱,他们将需要赔偿消费者的损失。由于密码可能以很多不同的方式被盗(例如略读、肩窥等),我不认为银行想要承担芯片密码的广泛使用可能带来的ATM欺诈责任。

这使我想到你最新的研究报告,其中你提到攻击者利用糟糕部署的基于EMV芯片的支付应用,破坏EMV控制来执行广泛的欺诈行为。你最关注的是什么?

Litan:从安全的角度来看,EMV本身是一个非常强大的协议,但它的部署方式也很重要;愈强壮也容易暴露愈多的缺点。在有些情况下,银行不会验证发送给他们的EMV交易数据,他们认为这没问题,所以他们没有验证密码和一次性计数器,而罪犯就利用了这一点。他们重新布线交易系统,并发送虚拟和欺诈性交易。

在商家方面,在所有人都支持使用EMV之前,他们不太可能“关闭”磁卡交易。这也让犯罪分子创建了这样的恶意软件,即当用户试图进行芯片密码交易时,提示用户首先输入其磁卡数据,然后再提示他们输入密码。

请记住,这个恶意软件并没有“破坏”EMV;它只是利用支付应用的部署方式来破坏支付应用,让它们按照他们的指示去窃取客户的支付数据。这只是两个具体的例子,还可能有更多的情况。

EMV技术对商家的PCI DSS合规有什么影响?有什么好处?

Litan:对于支付卡数据安全,EMV肯定会带来好处。当EMV交易所占比率足够高时,犯罪分子将难以找到磁卡数据来创建假冒卡。另外,在短期内EMV并不会缓解PCI合规负担,但在长期内会缓解。希望有一天商家不再需要保护磁卡数据,而是保护EMV数据,这样会更简单。

在短期内,先不说责任问题,对于考虑投资额外技术来避免支付卡数据泄露事故的商家而言,EMV有意义吗?

Litan:是的,EMV对Visa和MasterCard都有意义。从安全的角度来看,该是比磁条卡使用的协议更强大的协议。

另外,我想问你关于Apple Pay的问题。有人认为Apple Pay会给支付数据安全带来改革,你同意吗?

Litan:我不认为它会改变游戏规则,因为它只是延续Visa/MasterCard支付系统,但它比磁条卡有着显著的改进。这种支付更加安全,也很便于消费者使用。

最后,今年你最关注的PCI DSS趋势是什么?

Litan:除了犯罪分子利用糟糕部署的EMV芯片支付应用,我还关注着一些其他趋势。EMV令牌最先由Apple Pay和支付网络部署,它基于的协议不同于令牌化系统商家用于限制PCI审计范围的协议—这可能导致令牌部署冲突。我希望看到令牌化标准的更多发展,并希望它可以很好地适用于商家、发卡行和所有支付系统参与方。我也希望商家对EMV令牌协议及其BIN范围提供的更多透明度,以及识别客户的可行方法,而不需要依靠卡号码。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Parizo
Eric Parizo

Eric Parizo是TechTarget安全网站执行编辑。

安全市场趋势>更多

相关推荐

技术手册>更多

  • Windows Server 2003安全:锁定

    关闭不必要的服务、端口和帐户使Windows Server 2003固若金汤。黑客通常通过不使用的(没有配置或者不安全的)端口和服务访问服务器,比如Internet信息服务(IIS)。为了限制入口点,服务器强化包括阻止不使用的端口和协议,同时中止不必要的服务。微软最近发布的Windows Server 2008可能备受关注,但是大部分组织仍然会使用Server 2003,直到微软不再支持它为止。虽然Server 2003可能不是最新的,也不是功能最强大的,但你采取一些简单——但必要的——步骤来强化你的系统。

  • 虚拟化安全综述

    虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用最大化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的最大优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

  • 办公移动化下的数据安全手册

    iPhone,iPad,Android,黑莓等移动设备随处可见,办公移动化下,如何保证企业的数据安全?本技术手册将从三个方面为你提供移动应用环境中的数据安全保护建议。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算