感應式信用卡之三

不甘心又花了一點時間去查這個主題。

感應式信用卡原文是contactless credit card，由這個方向可以找到很多資料。

雖然沒有找到確實的官方文件，不過感應式信用卡應該是用特殊的RFID技術沒錯，而且在多處看到感應式信用卡依循ISO 14443(定義以RFID reader讀取的卡的標準)。

基本上信用卡公司就安全上有幾個解釋：

• 不用把卡交給店員，減少信用卡被側錄複製的風險。
  
• 零責任 - 非本人的交易由銀行吸收。這點我存疑，要商家自己吞掉的機會可能比較大吧。
  
• 因為卡裡有晶片，並不會傳送個人識別碼(PIN)或卡號，只會用一個僅能用於該次交易的識別碼(相當於只用一次的卡號)。在這裡找到以下的敘述：

  Visa's contactless payment chip uses 128-bit encryption and Triple Data Encryption Standard technology to protect the data used during a transaction, which includes the user's account number and a unique numeric code generated for each transaction.

同一篇文章裡緊接著有這樣的句子：

The greatest drawback to contactless technology is that, since no PIN or signature is required, the merchant has no way of knowing whether the person making a purchase is the rightful card owner.

又一次顯示凡事都有好壞兩面：不傳送卡號是安全的，因為不會洩露信用卡資料，但是反過來卻也無法確定使用者是卡主。

推感應卡的原因之一似乎是為了交易速度，畢竟更方便使用就更容易花錢。查到的某網頁聲稱Visa對結帳時間做過調查：

• 現金：34秒
  
• 標準信用卡：24秒
  
• 感應式信用卡：15秒

理想上可以增加五成的交易量，難怪商家、銀行、信用卡公司有志一同，推得不亦樂乎。

我提出的安全疑慮在網路上都有人提到(比較詭異的是找不到中文的資料，找到的全是歌功頌德式的宣傳網頁)。有些人提出在不用的時候關掉，要用的時候再打開就會安全多了，所以有人提出在卡上加開關切換。我是覺得太麻煩，而且機構式的開關很容易壞。RSA提出一個叫RFID Blocker Tag的裝置，會發出訊號干擾RFID reader。我覺得比較好的是用隔絕或干擾該無線電訊號的材質把卡包起來，要用時取出就可以了。這個想法也有人寫出來，基本上就是用法拉第籠(Faraday cage)包起來，由圖上看起來體積很大，如果小一點能放進錢包就很好了。金屬會影響RFID訊號，所以我考慮下次去好市多時把信用卡夾在錫箔裡試試。另外也可以試試Lyr把不同感應卡疊起來的效果。

這些方法只能避免感應卡在不知不覺中被偷讀，對於卡失竊後遭盜用是沒有幫助的。不過標準信用卡也差不到，多加那個簽名並不會好到那裡去。其實真正追究起來，悠遊卡不也是一樣，我怎麼從來沒有想到悠遊卡會被壞人偷偷交易呢？

有篇文章說"Customers have choices, they can cut up their credit cards."，我其實也可以的，不過要等紅利點數結清再說。

2006/4/16：
我這片感應式信用卡和悠遊卡疊在一起，還是能正常交易。下次換兩家公司的感應卡來試。