1月7日,消费者为什么迟迟不肯使用移动支付?安全性显然是他们最担心的问题。由于零售商被黑事件时有发生,导致大量客户数据被盗,从而进一步加剧了消费者的担忧,加强了他们对移动支付技术的戒备。
所以,如果想推动这项技术的普及,就必须赢得消费者的信任。新一代EMV(EuroPay、Mastercard、Visa)卡已经诞生,它可以通过安全系数较高的微芯片保障数据安全。但这也只是物理层面的措施。关键问题在于,如何在虚拟世界创造一套与之匹配的安全措施。
随着HCE(Host Card Emulation)的出现,支付行业的安全性向前迈进了一大步。在HCE诞生前,只存在两种可能:一种是将证书存储在手机中特制的SE安全芯片上。这便可以形成一个手机钱包,由SE提供与EMV卡类似的安全数据传输功能。另外一种可能是使用云端的CardOn Fire证书——其本质是将基本的支付信息存储在线上。
HCE只需要通过软件就可以模拟支付卡,这样一来,就再也无需将完整的支付卡信息存储在物理芯片上,因此不再需要使用SE芯片。这便终结了SE芯片所有权归属这一关键斗争,从而降低了该市场的进入门槛。
从目前的实践来看,要将存储在芯片上的支付卡数据传输到安全的云端环境,会遇到一些问题。要完成一次支付,你的手机需要接入互联网,等待数据被加密,并获取反溃即使在理想的情况下,这也很难在发卡机构要求的时候立刻完成。而如果没有信号,就不可能完成交易。为了解决这一问题,已经出现了一种名为“令牌化”(tokenization)的概念。通过这种模式,不必每次支付时都接入互联网,可以将用途受限的虚拟卡存储在手机上。
令牌化本身也存在一些安全问题。网络犯罪分子不必窃取钱包或手机,依然可以偷走你的资金。他们完全可以克隆用户的手机,然后索取卡片信息,甚至编写恶意软件,将其安装到手机上,从而立刻获取虚拟卡信息。
从长期来看,只有部署强有力的认证机制,才能确保移动支付的安全性。我们必须将用户身份与交易认证结合起来。虽然银行非常熟悉数据保护要求,但数据处理经验不足的挑战者,却需要格外重视认证和风险评估。
结果,智能手机本身反而成了促进移动支付安全性的关键设备。
距离WiFi热点的距离、3G位置、GPS数据以及设备上安装的应用数量和类型,共同构成了一部手机独一无二的资料。尽管这并非万灵药,但的确可以成为一种识别欺诈交易的有效措施,甚至有望简化消费者的店内支付体验:如果用户的身份获得认可,便可降低认证门槛;如果发现购买行为可疑,便可提升门槛。
在一个网络犯罪分子越来越聪明的年代,所有上网行为都会带来安全问题。上文那种基于风险的认证模式也不例外。这种模式需要使用大量的个人数据,而这些数据本身也会吸引很多黑客。必须对数据加以保护,但保护的程度不能仅限于常规的密码——毕竟,这些数据数量庞大,而且高度敏感。
认证已经变成一个重大问题。要降低个人和敏感信息对黑客的吸引力,就需要对其加密。这样一来,即使数据被盗或丢失,产生的损失也可以大大降低。
随着移动支付领域的发展,HCE已经获得了欢迎,同时也证明了自己的价值。如果利益相关者希望看到移动支付广泛普及,就需要创造一种令消费者信任的安全交易。但颇具讽刺意味的是,作为造成安全隐患的设备之一,智能手机反而可以加强用户的身份认证机制。而数据保密则是另外一项重要的安全措施,可以进一步加强数据保护力度,从而推动移动支付的普及。
