一、街头景象与国际差异
2013年,在伦敦南肯辛顿地铁站外,一名街头报纸小贩(左)正在使用他的芯片与密码(Chip and PIN)设备。芯片与密码卡(Chip and PIN cards)在欧洲广泛使用。© STEFAN WERMUTH/路透社/科比斯(Corbis)
美国的每个信用卡持卡人都熟悉“刷卡并签字”(swipe and sign)的结账流程。对准磁条、刷卡、按“确定”键确认消费金额,然后在屏幕上签上难以辨认的字迹。这种刷卡和签字系统在美国非常普遍,以至于美国游客得知几乎没有其他国家还在使用这种方式时,往往会感到震惊。信用卡安全的国际标准被称为“芯片与密码”(chip and PIN),现在这种卡也进入了美国消费者的钱包。
二、芯片与密码信用卡的工作原理
使用芯片与密码信用卡(chip and PIN cards)时,信用卡数据存储在一个微小的计算机芯片上,而非磁条上,顾客需要输入四位数字的个人识别码(PIN,personal identification number),而不是在屏幕上签字。
2013年12月,芯片与密码信用卡(Chip and PIN credit cards)成为美国的头条新闻,当时黑客从4000万塔吉特(Target)顾客那里窃取了信用卡和借记卡信息,另外还窃取了7000万人的姓名和电子邮件地址[来源:哈里斯(Harris)]。工艺品商店迈克尔斯(Michaels)和零售商内曼·马库斯(Neiman Marcus)也是大规模数据泄露的受害者。安全专家认为,黑客远程在这些公司的收银机上安装了恶意软件,每当顾客刷卡时就窃取信用卡数据[来源:胡(Hu)]。
在数据泄露事件发生后,塔吉特(Target)承诺将其商店品牌的信用卡和借记卡转换为新的芯片与密码技术[来源:哈里斯(Harris)]。维萨(Visa)和万事达(Mastercard)也宣布了类似的计划,要在2015年10月前从磁条转换为芯片与密码技术[来源:加拉(Gara)]。
信用卡的转换对普通美国消费者意味着什么?芯片与密码卡(chip and PIN cards)真的比磁条卡更安全吗?如果你现在就想要一张芯片与密码卡怎么办?美国的商店会接受吗?
让我们先快速了解一下芯片与密码技术(chip and PIN technology)的历史以及它的实际工作原理。
(一)什么是芯片与密码信用卡?
芯片与密码信用卡(Chip and PIN credit cards)是对传统磁条信用卡的重大技术升级。它不是将信用卡号码和持卡人信息嵌入磁条,而是将所有数据包含在卡内的一个微小计算机芯片中。
芯片与密码技术自1984年就已存在,当时法国银行开始测试基于芯片的卡片。1996年,世界领先的信用卡公司合作,基于法国的技术创建了一个新的、更安全的标准。在业内,芯片与密码卡被称为EMV卡,这是欧陆卡(Europay)、万事达卡(MasterCard)和维萨卡(Visa)的首字母缩写,这三家信用卡公司制定了芯片与密码卡的首个国际技术规范[来源:EMVCo]。
芯片与密码卡内的计算机芯片就像一台小型计算机。芯片不仅可以存储数据,还是一个数据处理器。芯片与密码卡如此安全的原因之一是,芯片在与读卡器通信时使用加密技术来保护安全数据[来源:EMVCo]。芯片本身没有电源,但当它与收银终端接触时就会启动。
使用芯片与密码卡最常见的方式是将卡的一端插入读卡器的插槽。根据终端类型的不同,你要么输入四位数字的密码(PIN),要么在打印的收据上签字。还有所谓的“非接触式”(contactless)收银终端,你只需将卡靠近读卡器就能激活芯片。同样的芯片技术也被用于手机,以实现移动支付。
芯片与密码技术(chip and PIN technology)的一个好处是,读卡器不必连接电话或互联网线路就可以处理收费。对于磁条卡,读卡器在授权收费之前必须与信用卡公司“通信”。(过去,收银员会通过电话告知收费情况。)在电话网络较慢的地方,芯片与密码终端可以离线工作,仅使用芯片处理收费,然后在一天结束时批量授权收费[来源:加拉(Gara)]。
(二)芯片与密码信用卡与安全
塔吉特(Target)商店里典型的信用卡读卡器会让顾客选择输入密码(PIN number)或签字。由于塔吉特经历了大规模的信用卡信息泄露事件,它已经转换为芯片与密码的商店卡。
2013年假日购物季期间塔吉特(Target)的数据泄露事件是零售业历史上最大的信用卡盗窃和欺诈事件。黑客(从未被抓获)获取了数百万塔吉特顾客的个人数据[来源:弗洛姆(Floum)]。这给美国企业敲响了警钟,让它们意识到信用卡欺诈对其底线和声誉的代价。
美国消费者的信用卡消费占全球的四分之一,但却是全球信用卡欺诈受害者的50%[来源:弗洛姆(Floum)]。自21世纪初以来,随着芯片与密码卡(chip and PIN cards)在欧洲的普及,美国的这一比率翻了一番[来源:施耐德(Schneider)]。
正如塔吉特(Target)的黑客事件所表明的,老式磁条技术中编码的数据相对容易被盗取。磁条信用卡也比芯片与密码卡更容易被伪造。而且磁条卡对最基本的身份盗窃——偷钱包或手提包几乎没有防范作用。由于磁条卡不需要密码(PIN),小偷只需伪造一个签名——你的“电子”签名看起来和你的真实签名有一点像吗?——然后就可以溜走。
芯片与密码卡(chip and PIN cards)比磁条卡更安全的最大原因是它们需要四位数字的密码(PIN)进行授权。这是确认持卡人是卡的真正所有者的最简单方法。此外,由于所有数据和通信都受加密保护,这使得芯片与密码卡极难被黑客攻击。
然而,无论是磁条卡还是芯片与密码卡,对欺诈性的网上购物都没有太多防范作用。事实上,在英国,虽然店内信用卡欺诈大幅下降,但通过电话或互联网使用信用卡的欺诈行为却激增[来源:贝尔(Bell)]。
在西欧,超过80%的信用卡采用芯片与密码技术,99.9%的读卡器都能读取它们。在加拿大和拉丁美洲,芯片与密码卡的采用率约为54%[来源:EVMCo]。美国一直抵制这种转变,这使得美国消费者及其信用卡成为黑客的“易得目标”。但这种情况不会再持续下去了。
(三)芯片与密码技术在美国
为什么美国是世界上最后采用芯片与密码信用卡(chip and PIN credit cards)的国家之一呢?首先,美国有强大的电信基础设施,这使得使用磁条卡即时授权购买变得容易,所以离线功能没有那么大吸引力。其次,信用卡欺诈在历史上主要集中在其他国家,这使得这些国家更渴望采用芯片与密码技术。
最后,美国零售商和银行要进行转换将花费约80亿美元,这包括升级信用卡本身以及零售场所使用的读卡器[来源:施耐德(Schneider)]。(生产和分发一张磁卡的成本约为2美元,生产和分发一张芯片与密码卡的成本为15 – 20美元[来源:贝尔(Bell)]。)而且,美国的信用卡市场如此庞大和复杂——超过15000家美国银行发行信用卡——这使得实施广泛的变革比银行和信贷体系更集中的国家更困难[来源:加赫雷马尼(Ghahremani)]。
但是,像塔吉特(Target)这样备受瞩目的攻击事件以及美国信用卡欺诈日益集中的情况改变了人们的想法。美国最大的两家信用卡公司,维萨(Visa)和万事达(MasterCard),已经制定了到2015年10月转换为芯片与密码信用卡的路线图。维萨(Visa)和万事达(MasterCard)不会强迫银行和商家发行新卡,但对于使用旧的磁条卡发生的欺诈行为,银行和商家将承担责任[来源:加拉(Gara)]。为了准备转换,像沃尔玛(Wal – Mart)和塔吉特(Target)这样的大型零售商已经投资了能够处理芯片与密码卡的收银终端[来源:施耐德(Schneider)]。
芯片与签名(Chip and Signature)?
在美国市场,预计会看到很多所谓的“芯片与签名”(chip and signature)卡。这些混合卡包含新的芯片技术,但仍然需要签名——而不是密码(PIN)——来授权收费。芯片与签名卡被视为一种“半步”措施,提供了更好的安全性,但在国外仍未被普遍接受[来源:基尔南(Kiernan)]。
与20年前我第一次出国旅行时相比,现在的世界已经大不相同了。当时,自动取款机(ATM machines)在许多国家仍然是一种相对较新的奢侈品,而且自动取款机取款和信用卡消费的国外交易费用高得离谱。大多数国际旅行者仍然依赖旅行支票,旅行支票能防止丢失或被盗,但仍然需要兑换成当地货币。很高兴看到美国银行终于跟上了国外已经成为标准的技术。这将使美国人旅行更加方便,无需再进行货币兑换,也不用担心在火车站遇到不识别我们过时磁条卡的无人售票机了。如果技术转换成功,也许我们甚至可以开始讨论公制了。不!
相关文章
