芯片密码技术能否真正提高支付卡交易安全性?

日期:2015-2-27作者:Eric Parizo翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

Visa和MasterCard正在向商家施压要求他们部署芯片密码(Chip and PIN)技术,虽然该技术将提高交易安全,但也会让PCI合规变得更加困难。

2015年可能会是Chip and Pin技术(也被称为EMV)突破性的一年,主要是因为零售商日益浓厚的兴趣以及即将到来的最后期限:届时还没有部署该技术的商家将承担新的责任。

SearchSecurity记者最近采访了Gartner研究公司副总裁兼著名分析师Avivah Litan有关她最近对芯片密码技术的安全和合规影响的研究。

对于EMV,请您向我们的读者介绍一下即将到来的2015年10月欺诈责任最后期限的相关信息。这个最后期限意味着什么,以及它将对EMV部署产生何种影响?

Avivah Litan:基本上来讲,2015年10月1日的EMV责任调整最后期限间接激励着商家和银行部署EMV芯片。在一些国家只有相关规定,但在美国市场和其他市场,这是责任调整。这意味着在这个日期之后,如果发生欺诈交易,在发卡行、收单银行、交易处理方以及商家中,谁的安全性最低,谁就需要承担责任。也就是说,如果有人拿着芯片卡进入零售商店,而商家没有相应的销售终端系统,该商家可能要为该交易导致的任何欺诈行为承担责任。

同样地,如果商家有芯片密码兼容的终端系统,而消费者没有芯片卡,那么发卡银行必须为刷卡交易中发生的任何欺诈行为负责。所以这间接激励着银行和商家部署基于芯片密码的系统。

美国EMV迁移论坛是智能卡供应商联盟,该组织估计,到明年年底将有900万台EMV功能的支付终端,以及多达9亿张芯片卡。首先,你同意这些预测吗,以及EMV技术最终将如何影响商家保护支付数据安全的能力?

Litan:我自己并没有作出预测,但你只要看看全球各地发生的情况就可以知道答案。如果你访问EMVCo网站,你会看到其中声称现在不到30%的交易涉及EMV,不到40%的支付终端支持EMV,所以这是相当缓慢的过程。虽然美国即将到来的最后期限将会在很大程度上改变这种现状,但在其他国家,EMV芯片交易不会进展那么顺利。这些系统需要一段时间才会推出。

我认为,还要过5到7年我们才会看到85%的芯片交易,即芯片密码卡用于芯片功能的终端。在那之前,商家仍然需要按照现在的方式保护它们的系统,这仍然会是针对磁卡,商家仍然需要接受这些卡,并且,很多犯罪分子也会从中受益。这种情况在短期内并不会发生太大的改变。

一直备受争论的话题是,未使用密码的EMV交易是否比磁卡交易更安全?你的观点是什么,从长期来看,你认为银行会避免广泛部署基于密码的信用卡吗?

Litan:我认为没有密码的EMV比磁卡要安全得多,但有密码的EMV更加安全。根据美国联邦储备委员会2013年报告的数据显示,基于密码的交易和基于签名的交易相比,欺诈行为减少了700%。这是一个巨大的改进,我不明白为什么美国不迁移到芯片密码,EMV交易显然要比磁卡安全得多。

按理来说,交易欺诈的减少应该会激励银行支持芯片密码,为什么他们在拖延?

Litan:对此我有两种观点。第一,他们不想要影响客户体验。他们担心客户不习惯为信用卡使用密码,他们可能记不住密码,而不得不重置密码等。我并不同意这些观点。在加拿大,银行不想支持密码芯片是因为他们有相同的担忧,但他们最终还是这样做了,而消费者在使用中也没有出现使用问题或者记不住密码的问题。

另一个问题是,如果消费者使用密码,银行害怕这些密码会被盗并用于执行ATM欺诈。银行最担心这一点,因为他们不能逆向ATM欺诈到任何商家;ATM是银行的,这是银行的钱,他们将需要赔偿消费者的损失。由于密码可能以很多不同的方式被盗(例如略读、肩窥等),我不认为银行想要承担芯片密码的广泛使用可能带来的ATM欺诈责任。

这使我想到你最新的研究报告,其中你提到攻击者利用糟糕部署的基于EMV芯片的支付应用,破坏EMV控制来执行广泛的欺诈行为。你最关注的是什么?

Litan:从安全的角度来看,EMV本身是一个非常强大的协议,但它的部署方式也很重要;愈强壮也容易暴露愈多的缺点。在有些情况下,银行不会验证发送给他们的EMV交易数据,他们认为这没问题,所以他们没有验证密码和一次性计数器,而罪犯就利用了这一点。他们重新布线交易系统,并发送虚拟和欺诈性交易。

在商家方面,在所有人都支持使用EMV之前,他们不太可能“关闭”磁卡交易。这也让犯罪分子创建了这样的恶意软件,即当用户试图进行芯片密码交易时,提示用户首先输入其磁卡数据,然后再提示他们输入密码。

请记住,这个恶意软件并没有“破坏”EMV;它只是利用支付应用的部署方式来破坏支付应用,让它们按照他们的指示去窃取客户的支付数据。这只是两个具体的例子,还可能有更多的情况。

EMV技术对商家的PCI DSS合规有什么影响?有什么好处?

Litan:对于支付卡数据安全,EMV肯定会带来好处。当EMV交易所占比率足够高时,犯罪分子将难以找到磁卡数据来创建假冒卡。另外,在短期内EMV并不会缓解PCI合规负担,但在长期内会缓解。希望有一天商家不再需要保护磁卡数据,而是保护EMV数据,这样会更简单。

在短期内,先不说责任问题,对于考虑投资额外技术来避免支付卡数据泄露事故的商家而言,EMV有意义吗?

Litan:是的,EMV对Visa和MasterCard都有意义。从安全的角度来看,该是比磁条卡使用的协议更强大的协议。

另外,我想问你关于Apple Pay的问题。有人认为Apple Pay会给支付数据安全带来改革,你同意吗?

Litan:我不认为它会改变游戏规则,因为它只是延续Visa/MasterCard支付系统,但它比磁条卡有着显著的改进。这种支付更加安全,也很便于消费者使用。

最后,今年你最关注的PCI DSS趋势是什么?

Litan:除了犯罪分子利用糟糕部署的EMV芯片支付应用,我还关注着一些其他趋势。EMV令牌最先由Apple Pay和支付网络部署,它基于的协议不同于令牌化系统商家用于限制PCI审计范围的协议—这可能导致令牌部署冲突。我希望看到令牌化标准的更多发展,并希望它可以很好地适用于商家、发卡行和所有支付系统参与方。我也希望商家对EMV令牌协议及其BIN范围提供的更多透明度,以及识别客户的可行方法,而不需要依靠卡号码。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Eric Parizo
Eric Parizo

Eric Parizo是TechTarget安全网站执行编辑。

安全市场趋势>更多

相关推荐

技术手册>更多

  • 内部威胁管理

    由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部威胁管理,那么现在就应该看看了。

  • 2010年安全最佳实践汇总手册

    2010年即将过去,在这一年中, IT安全各方面有哪些最佳实践值得大家去关注呢?本技术手册将为您总结2010年TT安全网站受欢迎的安全最佳实践,其中涉及网络安全、安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给安全朋友们提供一些帮助。

  • SQL注入攻击防御指南

    近年来,SQL注入式攻击一直如幽灵般困扰着众多企业,成为令企业毛骨悚然的梦魇。如何防御SQL注入攻击?本技术手册将为你提供指导。

  • 下一代网络攻击应对技术

    攻击者几乎都是以特定的企业为目标,并且通过Web来进行攻击的。随着越来越多的企业将操作和性能转移到网络上,基于Web的应用程序成为潜在的威胁向量(threat vector)。如今,黑客主要利用Web漏洞,来窃取您最重要的数据。为了保护您的数据,您该采取哪些技术呢?本技术手册将为您介绍基于内存攻击、僵尸网络攻击、中间人SSL攻击和网络战的应对技巧。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算