最近笔者看到了Tom Patterson在计算机世界上刊登的一篇文章。文章中他对信用卡/借记卡的安全使用提出了一些建议。由于Patterson先生是安全领域知名的专家,因此笔者对这篇文章也相当关注。
在本文中,笔者总结了Patterson先生的一些观点,并做进一步的引申。
Patterson先生的观点
这些观点看起来可能人人都明白,但是重申它们只是让我们能够更加深印象。毕竟这关系到我们自己的钱。
- 凝视: 在柜员或侍者帮你办理业务时,如果他凝视你的信用卡或借记卡,并不是一种无理的行为。
- 保护: 在使用借记卡时,保护好卡片的PIN码不会被人从任何角度窥探到。你保护好这个数码就等于保护好了你的钱。
- 找零: 现在的犯罪份子已经破译了大部分银行所使用的数字递增算法。因此如果有可能,尽量让你所有的信用卡和借记卡的最后八位数有所不同。
- 检查: 从信用卡或借记卡信息被盗到犯罪分子在网上使用你的卡片,这之间的时间一般在3-10天,因此,我们要经常查看自己的账户是否有异常情况。
Patterson先生的目标
以上几点都是非常重要的。当然,面对Patterson先生为我们大家提供的建议来看,它们只是最低的要求了。
“一定要在未来两年内消除信用卡/借记卡诈骗。当前银行每年因为此类诈骗损失金额高达40亿美元,已经到了非整治不可的时候了。有组织犯罪已经提前打响了这场战役,因此我们必须进行反击。”
我们都听说过信用卡/借记卡诈骗。而这种诈骗范围之广让笔者感到惊讶。
假卡
YouTube上的这段视频 让我们知道了信用卡/借记卡磁条信息的窃取是一件多么简单的事情。如视频中显示的,犯罪份子所需的全部设备仅仅是一台电脑,读卡机,以及磁卡写入器。而这些设备在网上都可以很方便的购买到,比如在eBay上购买读卡机:
Patterson认为,大部分犯罪团伙都拥有多套此类设备。所幸的是,获取相关软件,以及将窃取来的信息转移到新的假卡上并没有那么容易。
MagTek的解决方案
笔者一直很喜欢所谓“超脱常规”的解决方案。而MagTek Inc.这家公司提供了这样的反假卡解决方案,同时Patterson也是这家公司的CSO。MagTek 公司发现没有两张卡是完全一致的,这是由于卡片的制造过程决定的。就好像人类的DNA,每个卡片的磁条结构都是有所不同的,而这种不同是可以用来区别卡片的。
以此为依据, MagTek将卡片的磁条结构和持卡人的个人数据结合起来,建立了独一无二的数字身份。MagTek将这种技术称为 MagnePrint.
接下来我们通过实际的使用过程来了解这种卡片的不同之处。当银行卡发给客户时,发行机构会建立一个 Reference MagnePrint 并将其存储到发卡机构的客户数据库中。从客户角度看,客户每次使用这张银行卡,都会产生一个Transaction MagnePrint。
Transaction MagnePrint数据和购物记录会发送给发卡机构。发卡机构通过对比客户的Reference MagnePrint数据来确定Transaction MagnePrint 的有效性。如果发卡机构确认有效,刷卡交易会继续进行,如果两者不匹配,将根据金融机构所规定的方法进行处理。
假卡将无法工作
由于每张卡片的磁条都不一样,因此用读卡器读取用户的银行卡磁条信息实际上是不能仿冒出完全一样的卡片的。如果Transaction MagnePrint 和发卡机构存储的Reference MagnePrint信息不匹配,系统会将其标记出来,下图显示了真卡和假卡磁条结构的不同。
一些问题
MagnePrint 的原理相当简单易懂。同时其所需的额外设备以及额外增加的技术成本并不多,尤其是将这些增加的成本与每年因为假卡给国家带来的损失相比,完全是值得的。
不过在实施MagnePrint技术上笔者也存在一些疑问。幸好Patterson先生非常乐意回答问题,因此他在百忙之中抽出时间回答了笔者的不少疑问:
问: MagnePrint系统现在已经开始应用了吗?
答: 是的,MagTek公司每年在全球部署超过300万个MagnePrint 读卡器,并且这套系统已经完全经过测试,以及多年的银行环境试验。Magnesa.Net是MagnePrint的服务网站,可以为银行和商人提供全面的技术服务。
问: 如果银行卡的磁条受损或者消磁怎么办呢?客户还可以使用该卡片进行消费吗?
答: 磁条上信息的消失速度要快于MagnePrint,即磁条结构特征。如果读卡器仍然能够读出磁条上的数据(比如帐户号码),那么MagnePrint就可以继续工作。
问: 这种技术能用于任何带磁条的卡片吗?比如能不能用在驾照的磁卡上?
答: MagnePrint可以用在任何有磁条的卡片上,它与磁卡的格式(比如三磁条卡)或者磁卡上所保存的数据无关。笔者的驾照就可以用这种技术。
问:如果 MagnePrint技术和RFID芯片相比哪个更好?
答: MagnePrint技术更好,笔者可以给你成百上千个理由。除了已经在全球广泛应用的超过30亿张磁卡以及上千万个磁卡读卡器所涉及的费用外,笔者这里还有几个理由要说。
原因之一是重新培训那些对于RFID安全性失去信心的客户所需的成本,因为RFID 在使用过程中存在致命的安全隐患(YouTube上的视频显示了在三尺之外窃取RFID卡片信息的过程)。而人们当初决定采用RFID 卡片的主要原因就是因为当时的磁卡不够安全。但是有了MagnePrint 磁卡的安全性就不是问题了。
问: 你的技术只能防止犯罪分子仿造一张假的银行卡,但是他们还是可以通过盗取的客户账户信息,在网上进行交易,不是吗?
答: 任何时候,当一个卡号被键盘输入到计算机中,就存在风险。我们相信对于网络交易的解决方案和现实中是一样的,我们也在与不同的硬件设备厂商合作,将在电脑、电话以及相关配件中集成读卡设备。
一旦设备上带有了读卡器,当客户需要在网络上购物时,除了各种已有的网络安全措施外,他们只需要再刷一下卡就可以了,连卡号都不需要输入。这种方式将成为最安全的网络交易方式。
总 结
MagnePrint 技术可以有效的防止银行卡仿造的问题。既然如此,为何不能将这种技术应用到更广泛的领域呢?Patterson也明白该技术的前途,因此才会希望通过该技术在两年内彻底消除银行卡仿冒问题。笔者也希望全世界的银行都能采用这种技术,提高整体安全水平。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
防止私人数据被盗用的7项建议
Unisys安全信心指数的趋势分析显示,几乎十个中有九个香港居民对信用卡或借记卡资料被盗用而引发的财务欺诈最为担心。那么如何防止私人数据被盗用?