EMV标准和令牌化也解决不了的12个安全问题
作者: 日期:2014年12月02日 阅:2,405

1银行芯片卡取代传统磁条卡,无疑会极大的增强支付领域的安全,但IC卡的安全道路不会一帆风顺,下面是12个可以预见的安全障碍。

1. 迁移期的问题

无论是系统的向上兼容性还是系统切换时发生的错误,还是维护期间需要把系统关闭,这都是系统的薄弱期,容易被黑客利用。

其实不只是迁移期本身,任何技术在在从理论转为实践的过程中都会存在某种问题。一种新的系统往往不是失败于一个漏洞,而是毁于拙劣地实施。

2. 芯片和签名不如芯片和PIN码安全

PIN码比签名要安全的多,但是新的EMV标准允许用户自行选择。

PIN码在终端是加密的,因此安全性非常高。而签名,大家都知道,许多收银员很少注意卡片背后的签名,更谈不上比对和识别了。

3. 令牌化和加密不是强制的

这取决于商家如何实施EMV,没有加密的银行卡数据仍然可以在他们的网络上传输。这是因为令牌化不是标准的一部分,也不是强制性的。如果商家只是实施了EMV,而没有附带其他的安全措施,那他们系统的安全性和现在也没什么两样。

4. 令牌化的过程缓慢并且不确定

除了纯粹的地方性令牌化系统,商家要实施令牌化将不得不等待银行卡的发行方和支付处理方提供令牌。

到现在为止,令牌化标准还没有被业界采用和充分的检验,而且几乎没人知道令牌广泛使用的成本问题。由于这些因素,令牌化很可能还需要2到5年的空窗期。

5. 商家仍然需要保留客户数据

也许有小的商家完全不会收集顾客的任何数据,但大的商家需要数据来做分析、仓储计划、销售计划、捆绑销售和跨区销售,没有客户数据,这些都是不可能的。而且,还有一些企业有合理的原因储存部分或全部的支付数据,以方便顾客购买商品。

一种解决方案就是,密码本掌握在商家的手中,而不是外包给支付处理方。商家必须保护去令牌化的过程,因为这一过程完全在商家掌握之中。但这也意味着商家并不任由支付处理方支配。

6. 许多企业依然容易被攻击

基于上述原因,许多商家将继续保有信用卡号以及类似的敏感信息,而犯罪分子也将继续追逐这些数据。依据Verizon今年早期发布的2014PCI合规报告,78%的信息泄露都利用了“低端”或“非常低端”的技术手法。

例如,PCI数据安全标准的首要需求就是安全并维护防火墙,以保护银行卡持有者的数据。但只有64%的企业正确的实施了这一要求。另外,只有51%的企业更改了设备厂商的默认密码和安全设置。

这些基础的安全问题仍然是许多零售商的软肋。

7. 即使有了加密和令牌,风险也依然存在

零售商只拥有令牌占位标识(token placeholder),窃贼即使拿到了这个标识,没有密码本也是徒然。但犯罪分子并不会因此而收手,他们会把目标转向支付处理方。因此,风险依然存在,只是换了对象。

8. 公众并不在乎责任在哪一方

如果泄露发生,黑客偷到了令牌数据并将其转换为有用的信息,顾客只可能去责怪商家,就像责怪支付处理方一样。这是一种惯性的思想认识,客户才不管真正的责任方是谁。

另外,难以做到并不意味着不能做到。在数年前,从某个销售点的某次交易中获取信用卡数据似乎还是件难事,但现在这已经是过去。

9. 磁条卡还将继续使用

也许在有些国家,购物者使用磁条卡购物时会被已实施EMV标准的商家拒绝支付。但对于商家来说,如果不断的有拿着磁条卡的顾客购买商品,他们是无法坚持把上门的生意拒之门外的。

10. 银行卡欺诈会转向在线渠道

网上系统本身就易于被攻击,大量的SQL注入和跨站脚本攻击随处可见。以2008年就实施了EMV标准的加拿大为例,2013年的银行卡伪造事件造成的损失,下降到1.34亿加元,但网上的无卡交易欺诈事件造成的损失,却上升到1.71亿加元。

11. 犯罪分子的手将伸的更长

盗窃者从数据上谋取金钱的范围已经很广,除了传统的银行卡盗刷以外,伪造发票、虚假电汇,甚至已扩展到医疗方面的欺诈。

12. 黑客将把注意力集中在破解EMV上

在未来的几年中,EMV协议将受到实际检验,今天潜在的风险以后会逐渐暴露出来。目前已经发现了一个漏洞,即利用随机数字生成器克隆芯片卡的“预演”(pre-Play)攻击。

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章