晶元信用卡比傳統的磁條信用卡安全在哪裡?
全美境內的所有傳統信用卡都將在 2015 年 10 月前被內置了「晶元密碼」 (Chip-and-Pin) 技術的全新卡片所替代。而在中國,央行去年宣布,從 2014 年 1 月 1 日起,全國性商業銀行均要開始發行帶有晶元的金融 IC 卡。從 2015 年 1 月 1 日起,在經濟發達地區和重點合作行業領域,應全面發行「晶元卡」。此前,中國銀聯也表示,銀行卡 IC 化已有時間表,2015 年前不再發行磁條卡。 via 美國欲淘汰傳統磁條信用卡 中國已領先一步
簡單的說,就是磁條卡的犯罪成本比晶元卡小得多,換句話說利用磁條卡進行盜刷犯罪的技術和設備已經非常成熟,具體的可以參照鈔票不斷進步的防偽技術。大概就這樣總的來說,道高一尺,魔高一丈,在晶元卡上暫時道方領先。
其實就是複製假卡困難了。磁卡的話,幾乎不怎麼需要破解,把磁跡完封不動地COPY一次就可以了,而晶元破解則需要相當長的一段時間。總的來說,安全性還是高了不少的,而且還不怕消磁失效。不過中國多數的卡片的違法交易,通常都建立在騙取交易或者盜密碼的層級,在這方面,晶元卡完全沒有起到更安全的作用。
1.晶元卡的安全性,主要體現在使得普通人員針對卡的複製攻擊失效.
如果關注前些年的有關銀行卡的新聞,就會發現,不少國內針對銀行卡的攻擊方式比較原始,主要對ATM機或者POS機做手腳,這樣,每當用戶刷卡進行取現或者消費時,磁條卡的信息就會被複制.犯罪人員再利用望遠鏡之類的直接觀察到用戶的pin碼,這樣,再利用之前獲得的信息,犯罪人員就可以直接在ATM,或者POS機上進行消費了.為此,在銀行和ATM機上的公告,都會要求用戶注意,插卡口是否有額外的疑似物體,銀行也會組織人員定時不定時的進行巡邏,查看.
而晶元卡,起碼從當下來講,有效的防止了普通人員針對磁片卡的複製攻擊.而且,根據個人經驗,在支持刷晶元卡的POS機上進行消費時,如果直接刷磁條,會拒絕交易,也一定程度上防止了降級攻擊的實現.隨著晶元卡的普及,針對複製卡的攻擊,恐怕會暫時退出江湖.
而以往的,境外刷卡,發現被盜刷,漫長的申訴和索賠,甚至最終走上法庭的事件,是可以明顯減輕的.
2.我在日報上看到 @馮東 的說法,認為有一定誤導性,所以在這裡補充說明下:
因為英國,歐盟,中國大陸和美國法律的區別,造成了之前美國換髮晶元卡的遲疑.而正是法律的區別,同樣造成了不同的安全現狀.
因為在美國,信用卡被盜刷,持卡人最多只需要承擔50$的責任,舉證是用戶惡意使用的責任在銀行.
而在英國和中國大陸,若信用卡被盜刷,舉證是非惡意使用的責任在持卡人.於是乎,在美國,就算銀行想推廣晶元卡,但用戶覺得麻煩,很有可能就轉為其他銀行的用戶,所以,就成了當下的狀態:被盜刷比例遠高於中國大陸.
類似情況還有支票,是美國常見金融詐騙中,佔比最高的,無奈,美帝人民熱衷於開支票,所以,銀行為了用戶,只能利用風控來規避一部分風險.
而在歐盟目前的法律走向是向美帝看齊,即提高對持卡人的保護,而英國當前原則上講,也應該跟進歐盟的指向.
但同樣的問題則是,之前英國和中國大陸類似,銀行只要盡責做到了相關安全措施,銀行就默認無責,舉證工作需要持卡人來進行,難度無疑增大,就出現了 @馮東 所述的情況.這點就算是推廣晶元卡前的簽字卡,依然存在.這個就類似於Bruce Schneier常提到的"安全劇場",銀行努力營造一種看似安全的氛圍,對自己,對用戶都產生了虛假安全感,但實際未必.英國銀行的安全投入佔比並不比美國低,但實際安全效果則不如美國,原因就在於舉證責任倒置,銀行沒動力去進行動態的風險管理,對賬戶的金額異動進行有效的監管,使得高投入,並沒有獲得應有的回報.反之,美國銀行風控的每一筆成功的減損,都是實實在在的收益,這背後的收益,才使得美國銀行有動力去做安全管理.
既然當下,英國和中國大陸的針對銀行卡被盜刷的舉證責任,雖然在向著美國在靠攏,但依然需要時日,這種情況下,採用晶元卡,這種可以明顯降低因為複製卡攻擊而被盜刷的安全措施,是很有效和明智的選擇.
就算是美國銀行業,也知道晶元卡的好處,但之前沒有在行業內達到共識,克服來自其客戶的抵制和逃離的風險,只能繼續在風控上著手,徒增可以轉移和降低的成本.而且,隨著美國全面引入晶元卡,同樣也可以降低去美國旅遊而被盜刷的中國大陸居民的風險.
3.安全不是靜態的,是需要動態管理的,是需要利益去驅動的.否則,就是個"安全劇場",大火一來,無論是銀行業,還是持卡人,都得遭殃.
而且安全不是單點的.犯罪分子總會選擇最脆弱的一環去攻擊,可能是實施最簡單的,可能是技術要求最低的,可能是成本最低.但無疑,換髮晶元卡,可以提高一方面的安全性.但同時,也可能引起其他類型攻擊的激增,這也是正常的.
美國銀行業動態管理好,加入晶元卡後,只會更好.中國大陸被複制卡攻擊盜刷不少,加入晶元卡後,也只會更好.簡單的講晶元卡保存在晶元中的數據不能完整取出來,而磁條卡只要有讀卡器,磁條中的信息則可以完整的讀出來,因此要複製一張晶元卡幾乎是不可能的,而磁條卡分分鐘即可完成。
用晶元卡可以防複製。磁條卡的複製非常容易,所有信息都存在磁軌里,買了銀行卡讀寫器就可以把原卡數據讀出來,非常容易就寫到一張空白卡里。犯罪的設備成本不超過1千塊,技術難度也很低。晶元卡里是有CPU的,有一套簡單的「操作系統」,叫COS。讀寫信息時,需要髮指令,由CPU進行響應。每張cpu卡都是不同的,無法進行複製。這還不是安全的關鍵,關鍵在於晶元卡需要做安全認證,同時通過證書來保證安全。犯罪分子可以想辦法買到設備,但沒有辦法搞到銀行的私鑰證書。
僅針對安全回答:
1. 不是技術人員故不談技術,晶元克隆成本難度比磁條難,簡單來說就是增加違法成本,提高違法門檻;2. 國內晶元卡目前大體還是晶元磁條複合卡(更久的以後應該會遷移至純晶元卡),交易時必須首選晶元,除非晶元無法讀取則可以向發卡行獲取授權降級交易(即使用磁條)。如果未經授權進行交易則偽卡風險由發卡行轉移至收單行及商戶,這樣就減少了商戶跟盜刷團伙合作套現的風險。因為違規降級交易商戶需要承擔損失,假如商戶跑了那就變成收單銀行承擔,這樣一來銀行會加強對商戶的監管;3.近期晶元磁條複合卡降級交易將陸續關停,進一步降低偽卡風險。題外話:1.隨著克隆卡難度增加,目測今後非面對面交易(即網上消費等)在盜刷案件中的佔比也會增加;2.關於密碼:也有其好處,就是防止卡片丟失時在掛失之前造成的損失;
3.手機的風險:大部分人在銀行的預留手機都是使用移動支付APP的那部,而不少快捷支付僅進行手機簡訊驗證,如果該手機丟失那就很難阻止損失發生(因為你甚至沒有手機可以來得及打電話進行掛失);甚至還有團伙直接利用SIM卡掛失補辦等手段直接劫持手機驗證;4.一點建議:申請一張小額度的卡作為網上支付專用(部分銀行可以通過APP直接限額或者提供虛擬卡限額)。磁條卡信息的讀取,簡單的來說就是通過讀卡設備將磁卡的磁信號轉化為電信號,再轉化為數字化信號的過程,整個過程缺乏安全保護,信息容易被讀取和偽造,所以不夠安全。
IC卡根據內嵌晶元類型可分為:存儲卡、邏輯加密卡、CPU卡。EMV和PBOC2.0(分別是國際和國內的金融IC卡支付標準)所選用的金融IC卡屬於CPU卡。這種卡內部的集成電路包括中央處理器CPU、可編程只讀存儲器EEPROM、隨機存儲器RAM、固化的卡內操作系統COS(Chip Operating System)和只讀存儲器ROM。相當於內置了一台微型計算機,卡中數據分為外部讀取和內部處理兩部分,所以更加安全可靠。
下面更加具體的安全機制引自百度百科 125.115.53 的頁面 CPU卡晶元內部都有雙重安全機制,第一重是晶元本身集成的加密演算法模塊,晶元設計公司通常都會將經實踐檢驗最安全的幾種加密演算法集成入晶元,目前比較常見的安全演算法有RSA,3-DES等。國內晶元設計公司還會引入國密演算法(SSF33,SCB2,SM2,SM3等)來加強晶元的安全性。國密演算法是不對外公開的,因此國密演算法一般比其他公開演算法的加密演算法具有更高的安全性。第二重保護則是CPU卡晶元特有的COS(Card Operation System)系統,COS可以為晶元設立多個相互獨立的密碼,密鑰以目錄為單位存放,每個目錄下的密鑰相互之間獨立,並且有防火牆功能(不同目錄下密鑰不會互相影響)。同時COS內部還設立密碼最大重試次數以防止惡意攻擊。謝 @David Chang邀。
一般意義上,晶元信用卡由於採用晶元作為信息存儲介質,確實比磁條信用卡安全。其安全性體現在:
1,傳統磁條卡中的信息很容易被複制,晶元卡的話把這個難度增大了不少;2,磁條卡容易受較強磁場影響而消磁,使卡片不能被讀卡器識別而無法使用,晶元卡不存在這個問題,因而安全性更高。
問題回答完畢,以下說說但是。
但是,由於目前支持晶元讀卡的設備普及程度不夠,目前國內發行的晶元卡仍有採用磁條+晶元的方式,這樣就導致即使是晶元卡,在安全性上仍然是和磁條卡是一樣的。另外,在晶元信用卡_百度百科中顯示,晶元信用卡被盜刷,銀行不用負責(是推動機構負責還是商家或者持卡人負責,本人尚不清楚)。如有錯誤或補充歡迎指出。以上。Chip + PIN 並不比 Swipe + Signature 信用卡安全。反而把 PIN 丟失的責任丟給了用戶。
在北美,用戶從來不承擔磁條和卡號丟失的責任,但是在英國,已經有用戶因為不能證明 PIN 不是自己輸入而承擔損失。在澳洲,有用戶甚至證明自己當時在另一個國家也無濟於事。Chip + PIN 的一個好處是不容易丟失卡號(比如這次 Target 事件,如果是 Chip + PIN 就不至於丟失卡號)。但是這並不等價於安全。看看這篇 Payments experts assure Senate that swipe-and-sign cards will disappear in 2015 後面的評論。注意是評論不是文章本身。信用卡本身只是相當於自家鎖頭。如果說這個,美國人的鎖頭太差了(還要考慮美國大多是平房,根本不是放住一個門就行的)。但是美國大多數家的保安是 24 小時和保安公司聯網,還有持槍和Castle Doctrine。加上鄰里環境。這些才是社區安全保證。
感謝人生第一次被邀,個人認為是新技術帶來的門檻提高,在局部時間上遏制了信用卡盜竊的數量。隨著時間增長,又要利用更新的技術來遏制原有技術的退化。魔高一尺道高一丈,兩者循環就是這個意思吧
看這個安全怎麼說了. 技術上. 當然cpu卡要安全.磁條,只是一串數啊!
@David Chang 瀉藥。基本上就是1.沒那麼好複製。2.沒那麼容易壞。3.非接觸式刷卡。
推薦閱讀:
※銀行怎麼防止抵押品重複抵押?
※銀行的非標產品主要指的是什麼,其設計流程和原則是什麼?
※有沒有特別好的講國際金融、貨幣、銀行的普及性書籍?
※中國有多少家銀行啊?