问题一旦和财产有关,除了便利外,人们最关心的就是安全问题。Apple Pay 被认为是真正的下一代数字支付系统,到底它的安全性有多高?TUAW 介绍 Apple Pay 背后的运作机制,告诉我们到底它有多安全。
依照 Apple Pay 的机制,用户的信用卡信息完全保密。无论是 iPhone 还是商家的服务器上,都不会保存用户的信用卡信息。
当用户第一次注册 Apple Pay 的时候,信用卡的信息会发送到对应的信用卡网络,马上加密。一旦信用卡网络查明信用卡信息是有效的之后,就会返回一个 Token(令牌)的信息到用户的设备上,储存在 iPhone 的“安全区域”(Secure Element)里。
那么 Token 是什么东西?它实际上是一串随机生成,但独一无二的 16 位数字。它几乎没有什么用途,除了是认为与你的信用卡卡号相关的之外。而且,它仅仅表示信用卡卡号末尾 4 个数字。
2012 年,来自 First Data 的白皮书解释了 Token 机制的优越性:Token 可以像信用卡一样,用于商业的销售报告、市场分析,但不可用于商业环境以外的欺诈交易当中。Token 的好处在于,它在正常的商业交易当中,以最快的速度隐去了信用卡的卡号。
这个过程是这样的,一旦用户通过 Apple Pay 支付,iPhone 就会发送一个 Token 信息给商家,商家又将 Token 信息发送给信用卡网络,由后者找到相关的信用卡账户。然后,信用卡网络马上联系相关的银行,获得许可。一旦信用卡信息得到许可,银行将返回一个许可信息,指示商家交易继续。整个交易之所以安全,是以为它都基于 Token 信息,而非基于信用卡卡号。
让人安心的是,黑客无法解密 Token 从而得到用户的信用卡卡号。
Apple Pay 并非基于数学的方法来为信用卡卡号生成 Token 信息,因此它生成的 Token 信息无法使用方程式进行还原,也就得不到信用卡卡号的信息。在 Apple Pay 当中,一旦载入一张信用卡,系统就会迅速使用随机生成的 Token 信息进行替代。换言之,Token 信息是一次性的,即便有人掌握大量 Token 信息也是无用的,他也没办法通过这些信息得到用户的信用卡卡号。
Apple Pay 的使用是和 Touch ID 深度整合的——每一次交易,用户都需要按下 Touch ID,以完成交易。从表面看,这个操作十分简单,但是背后实际上并不那么简单。每一次交易,Apple Pay 都在密码保护的情况下,为交易动态生成信用卡安全码(CVV)。是的,它的作用很像信用卡后面印着的安全码,只不过是由苹果的算法动态生成。
另外,有两个重要事实需要记住:
在使用 Token 的时候,必须输入密码,苹果利用 TouchID 来实现这个过程;
不光如此,密码还确保 Token 信息一次只被一个设备使用。
总而言之,苹果所打造的移动支付功能,是基于 Token 来实现的,它能代表信用卡,却很难被破解。而且,由于商家不会储存消费者的信用卡信息,因此,对于消费者来说,Apple Pay 可以减少他个人信息泄密的风险。