芯片磁条复合卡(芯片卡真如传说那么安全吗)
安全是金融的一大核心题意,同时也是银行业一直不得不面临的困境。在如何保护客户资产安全上,很多银行可谓煞费苦心,大手笔购买先进的集成数据处理系统,强化内部数据管理和授权责任落实,而在实体媒介上则是不遗余力的推广芯片卡,那么芯片卡真的如他们所说的那般安全吗?
自2015年开始,按照央行的要求,中国银行业已经全面停发单一磁条卡,而逐步以芯片卡来代替。经过几年的发展,现如今市场上单一磁条卡已经比较少,但我们现在常见的却并不是芯片卡,而是一种芯片磁条复合卡。这种卡片就是在原有磁条卡的基础上安装上了芯片功能,既能通过识别芯片来读取卡片数据,也可以通过刷磁条来提炼卡片内容。
按照很多银行的说法,芯片卡的数据处理是相对动态管理,相较于磁条卡其数据的安全系数更高。很显然,这种复合卡并不是真正意义上的芯片卡,只有把卡片数据功能完全集中于芯片才能算是一种标准芯片卡。相较于芯片卡,这种复合卡片并不能降低客户卡片数据被窃取的风险,毕竟它还是有通过磁条使用而被复制数据的可能。那么为什么银行会推荐这样一个复合卡片而不是更直接的芯片卡呢?
这需要考虑卡片在使用过程中所涉及的多方关系问题。银行是发卡行,客户是持卡人,而当前的收单市场则是鱼龙混杂。之所以选择采用这种芯片磁条复合卡更多的原因是需要考虑到持卡人和收单的情况。在流动的市场活动中,每一个个体都有可能成为银行的持卡人,但这一个个的持卡人对于卡片的使用理解却未必一致。在卡片代替折子多年以后的今天尚且不能把折子退出市场,让持卡人一下子从刷卡过渡到读卡,不知道又要惹来多少诅骂和非议。
在我们收单市场,因为政策的放开和前期银行业的无视,民营资本大举进入并迅速占据了大部分的收单市场。芯片卡的使用对于线上收单而言影响甚小,可是对于广泛存在的线下收单则是至关重要。毕竟原有的收单是基于刷卡读取磁条来获取信息的设计,而芯片卡则需要专门识别软件,这就需要变更原有的收单系统,如果统一更换为适应芯片卡使用的收单系统无疑是不现实。
与国内相比,境外对于银行卡犯罪的打击力度较大,收单市场安全性相对较高,因此其对于支付方式的变革就没有那么迫切。在很多国家,即便如美国这样金融领域高度发达的市场,其主流的卡片依然是磁条卡,对于芯片卡这类成本相对较高的产品可能也只是探索阶段,相对应的其收单市场也主要是应对磁条卡。倘若是带了张芯片卡去境外旅游,恐怕就无法实现“一卡在手,游遍天下”的美梦了, 甚至会出现寸步难行的窘境。
还有一点不容忽视的地方,那就是芯片卡技术需要一个逐渐成熟的过程。芯片卡使用的不稳定性和易干扰是非常突出的问题。现实生活中,卡具对于芯片卡数据的读取经常失败这是非常容易出现的投诉,另外对于芯片卡的抗干扰能力低也着实让人无奈。如果将不同的媒介卡放在相邻口袋或者是钱包很容易导致芯片数据损坏,于是乎这芯片卡就好似新生的婴儿需要加倍的呵护。人们使用这些物理媒介的目的就是便捷性,但如果因为安全的考量而丢失了便捷的思考,那似乎是捡芝麻和丢西瓜的斗争了。
其实银行所说芯片卡的安全更多的时候是在线下交易也就是通常所说的刷卡时体现出来,当面对来自线上的测试和攻击则起不到什么作用。线上交易就如信用卡线上消费,它需要的是卡号、卡片有效期、安全验证码(CVV2)、有些时候需要关联的手机号码等,而这些数据根本就不通过芯片储存。伴随着这几年移动支付的大力发展,线上交易的规模已经超越线下的体量,而且与线下交易普遍存在额度高使用时间差距明显以及地区性突出所不同,线上交易呈现出额度相对低频率相对高时空概念混乱的特点。因为缺乏相应的监控机制和灵活有效的处理手段,当前银行业普遍在线上交易安全防范上非常被动。随着移动支付的发展,对于线上交易的安全无疑将是未来银行卡安全防范的重点和难点。
很明显,当前银行卡正是处在一个由芯片磁条复合卡来过渡的时期。就安全而言,这种复合卡即便是线下交易依然不能摆脱风险的困扰,更不用说线上交易的不确定性。因此对于持卡人来说,银行所谓“芯片卡更安全”这话听听就行了,千万别当真,为了自己钱包的安全,还是小心再小心。