感應式信用卡原文是contactless credit card,由這個方向可以找到很多資料。
雖然沒有找到確實的官方文件,不過感應式信用卡應該是用特殊的RFID技術沒錯,而且在多處看到感應式信用卡依循ISO 14443(定義以RFID reader讀取的卡的標準)。
基本上信用卡公司就安全上有幾個解釋:
- 不用把卡交給店員,減少信用卡被側錄複製的風險。
- 零責任 - 非本人的交易由銀行吸收。這點我存疑,要商家自己吞掉的機會可能比較大吧。
- 因為卡裡有晶片,並不會傳送個人識別碼(PIN)或卡號,只會用一個僅能用於該次交易的識別碼(相當於只用一次的卡號)。在這裡找到以下的敘述:
Visa's contactless payment chip uses 128-bit encryption and Triple Data Encryption Standard technology to protect the data used during a transaction, which includes the user's account number and a unique numeric code generated for each transaction.
同一篇文章裡緊接著有這樣的句子:
The greatest drawback to contactless technology is that, since no PIN or signature is required, the merchant has no way of knowing whether the person making a purchase is the rightful card owner.
又一次顯示凡事都有好壞兩面:不傳送卡號是安全的,因為不會洩露信用卡資料,但是反過來卻也無法確定使用者是卡主。
推感應卡的原因之一似乎是為了交易速度,畢竟更方便使用就更容易花錢。查到的某網頁聲稱Visa對結帳時間做過調查:
- 現金:34秒
- 標準信用卡:24秒
- 感應式信用卡:15秒
理想上可以增加五成的交易量,難怪商家、銀行、信用卡公司有志一同,推得不亦樂乎。
我提出的安全疑慮在網路上都有人提到(比較詭異的是找不到中文的資料,找到的全是歌功頌德式的宣傳網頁)。有些人提出在不用的時候關掉,要用的時候再打開就會安全多了,所以有人提出在卡上加開關切換。我是覺得太麻煩,而且機構式的開關很容易壞。RSA提出一個叫RFID Blocker Tag的裝置,會發出訊號干擾RFID reader。我覺得比較好的是用隔絕或干擾該無線電訊號的材質把卡包起來,要用時取出就可以了。這個想法也有人寫出來,基本上就是用法拉第籠(Faraday cage)包起來,由圖上看起來體積很大,如果小一點能放進錢包就很好了。金屬會影響RFID訊號,所以我考慮下次去好市多時把信用卡夾在錫箔裡試試。另外也可以試試Lyr把不同感應卡疊起來的效果。
這些方法只能避免感應卡在不知不覺中被偷讀,對於卡失竊後遭盜用是沒有幫助的。不過標準信用卡也差不到,多加那個簽名並不會好到那裡去。其實真正追究起來,悠遊卡不也是一樣,我怎麼從來沒有想到悠遊卡會被壞人偷偷交易呢?
有篇文章說"Customers have choices, they can cut up their credit cards.",我其實也可以的,不過要等紅利點數結清再說。
2006/4/16:
我這片感應式信用卡和悠遊卡疊在一起,還是能正常交易。下次換兩家公司的感應卡來試。
2 則留言:
真的嗎?有人設過嗎?
客戶輸入密碼的數字盤(我們的習慣叫pin pad),我並沒有看到cosco的櫃台有安裝,(也許是藏起來了?)
倒是網路上的交易有在推動一組密碼,但是設定很麻煩,而且要看商家有沒有把這組密碼寫進去.若有,那你沒設就無法交易,(我上次本來要在得利影視買dvd,就是因為這樣沒買成,還搞了好久,最後還是用bt的算了.)交易系統沒設,那密碼就沒有任何意義.
張貼留言