科客點評：大眾對安全性的擔憂阻礙了移動支付的普及，但話說回來，難道你用信用卡就絕對安全了嗎？

　　為什么移動支付技術在問世多年后仍遲遲得不到普及？《連線》雜志網站日前刊發業內人士文章，從安全角度講述了其中的緣由，介紹了行業為此所做出的努力，提出了新的設想。以下為文章內容節選：

　　為什么消費者到現在還不愿意接受移動支付？對安全性的擔憂是頭號阻礙。大牌零售商不斷爆出用戶信息被竊的丑聞，這讓消費者打心底感到恐懼，因此人們不可能真正地信任移動支付技術。

　　要想讓這種技術被廣泛接受，需要做的就是建立信任。EMV信用卡（指歐陸卡、萬事達、維薩）使用一種安全微芯片來傳輸數據，但這是一種物理的設備。問題的關鍵是要在虛擬世界創建一套同樣安全的環境。　　

　　隨著主機卡仿真（HCE）技術的問世，保護用戶支付憑證這一領域才有所改觀。在主機卡仿真出現之前，人們只有兩種辦法。一是將憑證存放在手機的特制安全芯片中，即安全元件（SE）里。這樣就打造了一個移動錢包，里面的安全元件可以像EMV信用卡那樣，保證敏感數據傳輸無虞。另一種辦法是用云中的“文件卡”（Card On File）憑證——其實就是把基本的支付信息存儲在網上。

　　主機卡仿真便是完全使用軟件保證信用卡安全的最好代表。與信用卡支付有關的所有數據都不再需要依賴一塊物理芯片，這終結了安全元件的作用。此前有關安全元件歸屬的爭論也得以解決，市場向新進入者敞開了大門。

　　從目前的實踐看，把存儲在芯片上的信用卡數據傳輸到安全的云環境中，涉及到的操作步驟是有問題的。要想完成一筆買賣，你的手機就需要聯網，需要等待數據加密后發送的回應。即使是在理想的情況下，這也很難在發卡組織要求的時間內完成。而且如果沒有信號，所有這些都無從談起。為了解決這個問題，人們設計了一個名叫“令牌化”（Tokenization）的概念。你在消費的時候，不用每次都接入互聯網，而是把用途有限的虛擬信用卡存儲在手機里。

　　令牌化也有自己的問題。想要偷走你的錢，網上的竊賊不一定非要拿走你的錢包，甚至不用拿走你的手機。黑客可以克隆一部手機，拿到信用卡信息，或者僅僅是向手機內安裝惡意軟件，虛擬卡就可以直接發到竊賊手中。

　　從長遠看，移動支付只有在一種強認證機制就位的前提下，才能確保安全。我們必須要能把用戶的身份信息與交易授權綁定起來。雖說銀行很熟悉數據保護的要求，但經驗不那么豐富的市場新進入者還是需要對認證與風險評估非常小心。

　　事實證明，智能手機本身就可以在移動支付的安全問題上盡一份力。

　　WiFi定位、3G定位、GPS數據這些功能，以及設備上應用的數量與類型就可以組成一份獨特的用戶信息。雖然這算不上什么萬能良藥，但這些都可以用來判斷是否出現了盜刷交易。同時，由于降低了認證的門檻，只要能判定這名消費者是可信的，就可以讓他獲得更好的購物體驗。另外也可以在感覺可疑時把交易的門檻樹起來。

　　在這個網絡犯罪越來越智能化的時代，所有的互聯網活動都存在安全隱患。按照上述辦法創建的基于風險管理的認證方式也不例外。這種方法需要海量的個人信息，而這無疑會惹來黑客的注意。這些數據必須被保護起來，但從數量與敏感性上看，想要恰當地保護這些數據，其難度要遠大于一般的密碼數據庫。

　　認證正在演變為一個大數據問題。為了讓黑客減少對個人敏感信息的興趣，就要啟用加密。如果數據獲得加密，即使被竊或丟失，損害也會小一些。

　　隨著移動支付行業的發展，主機卡仿真被證明是一種受歡迎且值得一試的新方法。如果行業人士希望看到移動支付得到普及，他們就需要打造安全的交易環境，培育用戶的信任。諷刺的是，智能手機這樣一個可能帶來安全問題的設備，也可以采取幫助用戶認證的方式服務于安全。數據加密是安全的另一方面，它可以為數據保護再加一道鎖，進一步鼓勵大眾接受移動支付。

　　作者理查德·莫爾茨（Richard Moulds）是Thales e-Security公司負責產品管理與戰略的副總裁。（網易科技）

注：轉載文章，不代表本站贊同其觀點和對其真實性負責，本站不承擔此類稿件侵權行為的連帶責任。如版權持有者對所轉載文章有異議，請與我們聯系。