问题一旦和财产有关,除了便利外,人们最关心的就是安全问题。Apple Pay 被认为是真正的下一代数位支付系统,到底它的安全性有多高?TUAW 介绍 Apple Pay 背后的运作机制,告诉我们到底它有多安全。
背后的秘密武器--Token
依照 Apple Pay 的机制,使用者的信用卡资讯完全保密。无论是 iPhone 还是商家的服务器上,都不会保存使用者的信用卡资讯。
当使用者第一次注册 Apple Pay 的时候,信用卡的资讯会发送到对应的信用卡网络,马上加密。一旦信用卡网络查明信用卡资讯是有效的之后,就会返回一个 Token(权杖)的资讯到使用者的设备上,储存在 iPhone 的“安全区域”(Secure Element)里。
那么 Token 是什么东西?它实际上是一串随机生成,但独一无二的 16 位元数位。它几乎没有什么用途,除了是认为与你的信用卡卡号相关的之外。而且,它仅仅表示信用卡卡号末尾 4 个数字。
2012 年,来自 First Data 的白皮书解释了 Token 机制的优越性:Token 可以像信用卡一样,用于商业的销售报告、市场分析,但不可用于商业环境以外的诈欺交易当中。Token 的好处在于,它在正常的商业交易当中,以最快的速度隐去了信用卡的卡号。
这个过程是这样的,一旦用户通过 Apple Pay 支付,iPhone 就会发送一个 Token 资讯给商家,商家又将 Token 资讯发送给信用卡网络,由后者找到相关的信用卡账户。然后,信用卡网络马上联系相关的银行,获得许可。一旦信用卡资讯得到许可,银行将返回一个许可资讯,指示商家交易继续。整个交易之所以安全,是以为它都基于 Token 资讯,而非基于信用卡卡号。
一次性随机生成的交易资讯
让人安心的是,骇客无法解密 Token 从而得到用户的信用卡卡号。
Apple Pay 并非基于数学的方法来为信用卡卡号生成 Token 资讯,因此它生成的 Token 资讯无法使用方程式进行还原,也就得不到信用卡卡号的资讯。在 Apple Pay 当中,一旦载入一张信用卡,系统就会迅速使用随机生成的 Token 资讯进行替代。换言之,Token 资讯是一次性的,即便有人掌握大量 Token 资讯也是无用的,他也没办法通过这些资讯得到使用者的信用卡卡号。
Apple Pay 的使用是和 Touch ID 深度整合的——每一次交易,使用者都需要按下 Touch ID,以完成交易。从表面看,这个操作十分简单,但是背后实际上并不那么简单。每一次交易,Apple Pay 都在密码保护的情况下,为交易动态生成信用卡安全码(CVV)。是的,它的作用很像信用卡后面印着的安全码,只不过是由苹果的算法动态生成。
另外,有两个重要事实需要记住:
- 在使用 Token 的时候,必须输入密码,苹果利用 TouchID 来实现这个过程;
- 不光如此,密码还确保 Token 资讯一次只被一个设备使用。
总而言之,苹果所打造的行动支付功能,是基于 Token 来实现的,它能代表信用卡,却很难被破解。而且,由于商家不会储存消费者的信用卡资讯,因此,对于消费者来说,Apple Pay 可以减少他个人资讯泄密的风险。
(本文由 爱范儿 授权转载)
