不带钱包的时代来临.电子付费又爱又怕

2018-01-09 10:27

不带钱包的时代来临.电子付费又爱又怕

国家银行为了遏制盗刷事件发生,在今年1月起,规定所有本地信用卡和转账卡交易不接受签名认证,转用6位数的“个人识别号码系统”(PIN),以保障交易安全。但是科技创新的速度实在太快,一转眼全球多个国家已在提倡电子付费和手机支付,进入无现金社会。当手机变成电子钱包时,我们如何享有这个便利之余,又不会有任何安全忧虑?
何钦伟提及,所谓生物辨识认证包括虹膜、指纹、人脸识别、声纹认证和耳道孔型认证,并认为金融业往后都会采用这个系统认证身份。(图:星洲日报)

当我们要通过银行网页交易时,需要填写用户名称和密码,然后等系统透过手机短信发送一次性动态密码(OTP)。之后,我们必须输入这个OTP才能完成付款。目前,这个是基本的电子付费的保安措施。

广告

在OTP认证系统以前,大约90年代,电子商务才刚开始,当时信用卡已被广泛使用。那时从事电子商务的业者,只需消费者提供信用卡的16个号码、有效日期、信用卡的安全码就可以直接从消费者的银行账号过账。

“那是一个高风险的交易时期。只要有人拥有那些资料就可以过账了,这个系统至今都还在沿用。”擅长网络电子支付和身份验证服务的Infinitium执行长何钦伟说,当时还有业者使用远程收款系统叫MOTO(Mail Order & Telephone Order),消费者通过电话、邮件、传真,填写信用卡号码、有效日期和持卡人姓名就能完成支付过程了。

身份认证系统的演变

为了确保信用卡付款或电子付费的安全,银行一般会要求消费者进行身份认证。何钦伟说,最早的时期,银行采用“单一元素认证”确保消费者的身份。那就是“你知道什么”,只需消费者填写母亲姓氏、生日日期、宠物名字等答案就可以了。不过,他认为这个认证方式已不能百分百确认消费者的真实身份。毕竟社交媒体太发达,有心冒充或诈骗的人或许有办法从消费者的社交媒体账号搜索到这些资料。

接着,这个系统开始演变成“两个元素认证”,即“你知道什么”和“你有什么”。“你有什么”简单来说就需要电子产品。OTP就是基于这个系统将动态密码发去消费人的手机。只要是当事人就一定会把手机带在身边,可以马上验证。

如今,全球多个国家已经开始鼓励用生物辨识认证,通过虹膜、指纹、人脸识别、声纹和耳道孔型去确认消费者的身份。这也就是“多元因素认证”,可以知道“你是谁”。

广告

生物辨识认证的挑战

何钦伟说,每种认证方式都有利弊。即使是采用生物辨识认证也有挑战。“假设你的ID和密码泄露了,只要重新设定就可以了。但是一旦指纹资料外泄,就有很严重后果。”毕竟指纹代表了个人身份,拥有很多私隐资料,一旦泄露则终身不能再使用。

根据全球身份验证技术联盟FIDO(Fast IDentity Online)标准,假设消费者进行生物辨识认证时,这些资料只能存放手机里,不能发送出去。在交易时,商家只会读取存放在手机的指纹或脸部等生物特征,然后启动PKI(Public Key Infrastructure)机制。手机会产生一个PKI(公钥),然后与银行的PKI(私钥)核对。PKI的方式就是要将信息加密和签名,以确保安全传送出去。

目前,PayPal、Master Card、谷歌、Intel等都是成员,他们得基于FIDO联盟标准,在设计生物辨识系统时,必须将生物辨识装置和生物特征数据存放在手机,不能发送出去。

广告
何钦伟称,未来网上交易或许不再采用OTP认证方式,而是用生物辨识认证,例如用指纹认证。(图:星洲日报)

当要付款时,突然断网……

相信很多人曾有过这样的顾虑,网络付款给商家时,突然停电或没有网络服务,信用卡会不会被扣钱?答案是不会。

“如果你的交易没有完成,所填写的信用卡资料都会被删掉。”他解释,只要重新登入,就会发现需要重新填过那些私人资料。系统不会储存之前所填过的资料。

不过,如果是预订机票或酒店则是另一种状况。他说,当消费者填写到一半时,航空公司或酒店已经收集了那些资料。如果没有确认付款,对方会发讯或电邮询问是否要继续。毕竟对方希望消费者能完成整个付款程序。

用记号取代敏感数据

何钦伟说,除了上述提及的认证方式,金融业或银行也会采用“记号化”(Tokenization)来取代敏感数据。以信用卡为例,当消费者付费时,信用卡号码会转换成另一组符号或号码。存放在商家的销售终端(POS)系统只是一组授权码,而不是真正的信用卡号码。这样盗窃者或骇客就无法辨认真伪和破解。

“今天你去iTunes,你在上面注册一个账号,输入信用卡号码。下一次你有交易时,iTunes并不会再要求输入信用卡对吗?只是要求你登入,然后显示信用卡的最后4个数字。如此一来,iTunes已经将你的卡号‘记号化’,储存成一个Token。消费时,商家就不会储存你的信用卡号码。”

如果用手机支付应用程式,又要如何确保交易安全?“假设手机支付采用‘记号化’做法,当手机与信用卡绑定时,只需输入一次信用卡号码,之后会变一个Token存放在手机。这个Token可以每次更新。进行交易时,手机发出去的只是Token,而且只能用一次。假设手机被篡改,骇客也只会拿到一个Token。消费者的资料依然在银行。”

何钦伟指出,银行还可以做更多的安全措施,包括检验手机是否曾被“越狱”或有恶意软件(Malware),如果有的话就禁止手机用户安装手机支付应用程式。无论如何,如果手机不见或遗失,机主必须尽快拨电给银行,要求终止手机支付的服务,这样才能迅速阻止不法之徒启动有关应用程式。

当机器可以替你,下单买蛋时……

访谈结束后,何钦伟提及一个很有趣的情景。随着物联网(IoT,Internet of Things)时代逐渐降临,科技的演变已经改变人类的生活和购物习惯。平时,消费者会到超市购买日常用品然后放进冰箱。假设未来添置智慧型冰箱,消费者可以在冰箱系统设定,鸡蛋少了自动添购。那么冰箱会自动下订单和付费。因为消费者已经设定授权给这架冰箱直接上网订购和付款。

那么当人工智能机器人慢慢普及化,变成家里的一分子,它也可以替消费者做决定。“像国外已经有语音辨识系统,未来你就直接对着机器的语音助理说帮忙订机票,说出地点和日期,这架语音助理就可以在网上帮你处理和用信用卡付款。”

我们无法预见科技未来发炸会否走到这个地步,但距离我们已经不远了。对何钦伟来说,现在就要准备,做好电子付费的安全机制和认证。他笑笑的说,“以后我们要如何确保这个机器是你家的机器,而不是别人的机器呢?”

网上付款时,为了确保交易安全,银行会透过手机短信发送一次性动态密码(OTP),然后用户必须输入这个密码才能完成交易。(图:星洲日报)

 
广告


广告



其他新闻

评论

当您提交时,您等同于同意了Mollom用户私隐政策