芯片信用卡比传统的磁条信用卡安全在哪里?
全美境内的所有传统信用卡都将在 2015 年 10 月前被内置了“芯片密码” (Chip-and-Pin) 技术的全新卡片所替代。而在中国,央行去年宣布,从 2014 年 1 月 1 日起,全国性商业银行均要开始发行带有芯片的金融 IC 卡。从 2015 年 1 月 1 日起,在经济发达地区和重点合作行业领域,应全面发行“芯片卡”。此前,中国银联也表示,银行卡 IC 化已有时间表,2015 年前不再发行磁条卡。 via 美国欲淘汰传统磁条信用卡 中国已领先一步
13 个回复
冯东 白米Ⅲ级
赞同来自:
在北美,用戶從來不承擔磁條和卡號丟失的責任,但是在英國,已經有用戶因為不能證明 PIN 不是自己輸入而承擔損失。在澳洲,有用戶甚至證明自己當時在另一個國家也無濟於事。
Chip + PIN 的一個好處是不容易丟失卡號(比如這次 Target 事件,如果是 Chip + PIN 就不至於丟失卡號)。但是這並不等價于安全。
看看這篇 Payments experts assure Senate that swipe-and-sign cards will disappear in 2015 後面的評論。注意是評論不是文章本身。
信用卡本身只是相當於自家鎖頭。如果說這個,美國人的鎖頭太差了(還要考慮美國大多是平房,根本不是放住一個門就行的)。但是美國大多數家的保安是 24 小時和保安公司聯網,還有持槍和
Castle Doctrine。加上鄰里環境。這些才是社區安全保證。
Vonkainang 白米Ⅲ级
赞同来自:
总的来说,安全性还是高了不少的,而且还不怕消磁失效。不过中国多数的卡片的违法交易,通常都建立在骗取交易或者盗密码的层级,在这方面,芯片卡完全没有起到更安全的作用。
Laughing man 白米Ⅲ级
赞同来自:
如果关注前些年的有关银行卡的新闻,就会发现,不少国内针对银行卡的攻击方式比较原始,主要对ATM机或者POS机做手脚,这样,每当用户刷卡进行取现或者消费时,磁条卡的信息就会被复制.犯罪人员再利用望远镜之类的直接观察到用户的pin码,这样,再利用之前获得的信息,犯罪人员就可以直接在ATM,或者POS机上进行消费了.为此,在银行和ATM机上的公告,都会要求用户注意,插卡口是否有额外的疑似物体,银行也会组织人员定时不定时的进行巡逻,查看.
而芯片卡,起码从当下来讲,有效的防止了普通人员针对磁片卡的复制攻击.而且,根据个人经验,在支持刷芯片卡的POS机上进行消费时,如果直接刷磁条,会拒绝交易,也一定程度上防止了降级攻击的实现.随着芯片卡的普及,针对复制卡的攻击,恐怕会暂时退出江湖.
而以往的,境外刷卡,发现被盗刷,漫长的申诉和索赔,甚至最终走上法庭的事件,是可以明显减轻的.
2.我在日报上看到 @冯东 的说法,认为有一定误导性,所以在这里补充说明下:
因为英国,欧盟,中国大陆和美国法律的区别,造成了之前美国换发芯片卡的迟疑.而正是法律的区别,同样造成了不同的安全现状.
因为在美国,信用卡被盗刷,持卡人最多只需要承担50$的责任,举证是用户恶意使用的责任在银行.
而在英国和中国大陆,若信用卡被盗刷,举证是非恶意使用的责任在持卡人.
于是乎,在美国,就算银行想推广芯片卡,但用户觉得麻烦,很有可能就转为其他银行的用户,所以,就成了当下的状态:被盗刷比例远高于中国大陆.
类似情况还有支票,是美国常见金融诈骗中,占比最高的,无奈,美帝人民热衷于开支票,所以,银行为了用户,只能利用风控来规避一部分风险.
而在欧盟目前的法律走向是向美帝看齐,即提高对持卡人的保护,而英国当前原则上讲,也应该跟进欧盟的指向.
但同样的问题则是,之前英国和中国大陆类似,银行只要尽责做到了相关安全措施,银行就默认无责,举证工作需要持卡人来进行,难度无疑增大,就出现了 @冯东 所述的情况.这点就算是推广芯片卡前的签字卡,依然存在.这个就类似于Bruce Schneier常提到的"安全剧场",银行努力营造一种看似安全的氛围,对自己,对用户都产生了虚假安全感,但实际未必.英国银行的安全投入占比并不比美国低,但实际安全效果则不如美国,原因就在于举证责任倒置,银行没动力去进行动态的风险管理,对账户的金额异动进行有效的监管,使得高投入,并没有获得应有的回报.反之,美国银行风控的每一笔成功的减损,都是实实在在的收益,这背后的收益,才使得美国银行有动力去做安全管理.
既然当下,英国和中国大陆的针对银行卡被盗刷的举证责任,虽然在向着美国在靠拢,但依然需要时日,这种情况下,采用芯片卡,这种可以明显降低因为复制卡攻击而被盗刷的安全措施,是很有效和明智的选择.
就算是美国银行业,也知道芯片卡的好处,但之前没有在行业内达到共识,克服来自其客户的抵制和逃离的风险,只能继续在风控上着手,徒增可以转移和降低的成本.而且,随着美国全面引入芯片卡,同样也可以降低去美国旅游而被盗刷的中国大陆居民的风险.
3.安全不是静态的,是需要动态管理的,是需要利益去驱动的.否则,就是个"安全剧场",大火一来,无论是银行业,还是持卡人,都得遭殃.
而且安全不是单点的.犯罪分子总会选择最脆弱的一环去攻击,可能是实施最简单的,可能是技术要求最低的,可能是成本最低.但无疑,换发芯片卡,可以提高一方面的安全性.但同时,也可能引起其他类型攻击的激增,这也是正常的.
美国银行业动态管理好,加入芯片卡后,只会更好.中国大陆被复制卡攻击盗刷不少,加入芯片卡后,也只会更好.
tuye1234 白米Ⅱ级
赞同来自:
总的来说,道高一尺,魔高一丈,在芯片卡上暂时道方领先。
马某人 白米Ⅲ级
赞同来自:
1. 不是技术人员故不谈技术,芯片克隆成本难度比磁条难,简单来说就是增加违法成本,提高违法门槛;
2. 国内芯片卡目前大体还是芯片磁条复合卡(更久的以后应该会迁移至纯芯片卡),交易时必须首选芯片,除非芯片无法读取则可以向发卡行获取授权降级交易(即使用磁条)。如果未经授权进行交易则伪卡风险由发卡行转移至收单行及商户,这样就减少了商户跟盗刷团伙合作套现的风险。因为违规降级交易商户需要承担损失,假如商户跑了那就变成收单银行承担,这样一来银行会加强对商户的监管;
3.近期芯片磁条复合卡降级交易将陆续关停,进一步降低伪卡风险。
题外话:
1.随着克隆卡难度增加,目测今后非面对面交易(即网上消费等)在盗刷案件中的占比也会增加;
2.关于密码:也有其好处,就是防止卡片丢失时在挂失之前造成的损失;
3.手机的风险:大部分人在银行的预留手机都是使用移动支付APP的那部,而不少快捷支付仅进行手机短信验证,如果该手机丢失那就很难阻止损失发生(因为你甚至没有手机可以来得及打电话进行挂失);甚至还有团伙直接利用SIM卡挂失补办等手段直接劫持手机验证;
4.一点建议:申请一张小额度的卡作为网上支付专用(部分银行可以通过APP直接限额或者提供虚拟卡限额)。
匿名用户 白米Ⅲ级
赞同来自:
IC卡根据内嵌芯片类型可分为:存储卡、逻辑加密卡、CPU卡。EMV和PBOC2.0(分别是国际和国内的金融IC卡支付标准)所选用的金融IC卡属于CPU卡。这种卡内部的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM、固化的卡内操作系统COS(Chip Operating System)和只读存储器ROM。相当于内置了一台微型计算机,卡中数据分为外部读取和内部处理两部分,所以更加安全可靠。
下面更加具体的安全机制引自百度百科 125.115.53 的页面
CPU卡芯片内部都有双重安全机制,第一重是芯片本身集成的加密算法模块,芯片设计公司通常都会将经实践检验最安全的几种加密算法集成入芯片,目前比较常见的安全算法有RSA,3-DES等。国内芯片设计公司还会引入国密算法(SSF33,SCB2,SM2,SM3等)来加强芯片的安全性。国密算法是不对外公开的,因此国密算法一般比其他公开算法的加密算法具有更高的安全性。第二重保护则是CPU卡芯片特有的COS(Card Operation System)系统,COS可以为芯片设立多个相互独立的密码,密钥以目录为单位存放,每个目录下的密钥相互之间独立,并且有防火墙功能(不同目录下密钥不会互相影响)。同时COS内部还设立密码最大重试次数以防止恶意攻击。
匿名用户 白米Ⅲ级
赞同来自:
jinleileiking 白米Ⅲ级
赞同来自:
磁条,只是一串数啊!
风雪夜归人 白米Ⅲ级
赞同来自:
基本上就是
1.没那么好复制。
2.没那么容易坏。
3.非接触式刷卡。
李国 白米Ⅲ级
赞同来自:
磁条卡的复制非常容易,所有信息都存在磁道里,买了银行卡读写器就可以把原卡数据读出来,非常容易就写到一张空白卡里。犯罪的设备成本不超过1千块,技术难度也很低。
芯片卡里是有CPU的,有一套简单的“操作系统”,叫COS。读写信息时,需要发指令,由CPU进行响应。每张cpu卡都是不同的,无法进行复制。
这还不是安全的关键,关键在于芯片卡需要做安全认证,同时通过证书来保证安全。犯罪分子可以想办法买到设备,但没有办法搞到银行的私钥证书。
风之影 白米Ⅲ级
赞同来自:
一般意义上,芯片信用卡由于采用芯片作为信息存储介质,确实比磁条信用卡安全。其安全性体现在:
1,传统磁条卡中的信息很容易被复制,芯片卡的话把这个难度增大了不少;
2,磁条卡容易受较强磁场影响而消磁,使卡片不能被读卡器识别而无法使用,芯片卡不存在这个问题,因而安全性更高。
问题回答完毕,以下说说但是。
但是,由于目前支持芯片读卡的设备普及程度不够,目前国内发行的芯片卡仍有采用磁条+芯片的方式,这样就导致即使是芯片卡,在安全性上仍然是和磁条卡是一样的。
另外,在芯片信用卡_百度百科中显示,芯片信用卡被盗刷,银行不用负责(是推动机构负责还是商家或者持卡人负责,本人尚不清楚)。
如有错误或补充欢迎指出。以上。
冬天的衬衣 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自: