如何看待apple pay的安全性? 举报 理由 举报 取消 Apple pay在华正式上线,当然免不了遭受质疑。”我手机丢了怎么办?万一贼自己录入自己的指纹刷光我的卡 “当然,我知道银行卡弄丢了可以马上挂失,支付宝被盗可以马上改密码等等,还是请各位网友探讨下苹果付的安全性吧 2017年11月12日 9 条回复 1259 次浏览 Apple,Pay
回复 ( 9 )
不得不说,Apple Pay是个很不错的移动支付解决方案,相比支付宝钱包和微信钱包,省去了打开APP和找到二维码的步骤。
支付安全在这个方案上,拆出两种主要的风险:盗用风险和盗卡风险。并且下文中,也会和支付宝钱包和微信钱包两款主流的支付解决方案来进行比较。
盗用风险:即绑卡是持卡人完成,但支付非持卡人操作的交易行为。比如手机被别人拿去交易了,就属于这类风险。
AP的解法:【设备+密码】完成支付动作。在盗用风险上,需要使用绑定着卡片的设备+设备的touchID。有时可能还要银行卡片的密码。另外,再把存储芯片加密到没人想破解。所以题主不慎手机丢了,请保护好手指。
比较:优于支付宝钱包、微信钱包的【账号+密码】。(展开下,并不是说有了账号密码就随便玩,支付宝背后有套强大的智能风控系统CTU,在登陆某些设备时会校验账户绑定手机,进行授权登陆。微信的加验机制不明,但答主确实也有被验证过。)
盗卡风险:即绑卡和支付都非持卡人操作的交易行为。 说穿就是你卡丢了或者卡信息泄露了,别人拿着你的卡信息,跑去Apple Pay上进行交易。而这台进行支付的Iphone,你见都没见过。
AP的解法:验证银行预留信息。信用卡,在绑定时需要输入卡号、姓名、有效期、CVV2、银行预留手机的验证码;借记卡。在绑定时需要输入卡号、姓名、银行预留手机的验证码;(注:支付时的安全策略请无视,这台设备是盗刷者所持有的)
比较:略逊于支付宝、微信钱包的“快捷签约”。借记卡快捷签约需要4个静态加1个动态,卡号、姓名、证件号、银行预留手机号、验证短信。信用卡再加1个有效期。
显然Apple Pay的借记卡只用了2个静态加1个动态,信用卡用了4个静态加1个动态。
(展开下,现在有了Apple Pay,侧录这个活真的估计没人要干了)
综上,用户体验没的说,大家都在夸。安全性上,盗用风险控制不错,盗卡风险控制勉强凑合。
最后提醒大家妥善保管好个人信息。
你设置复杂一点的密码不就好了?指纹识别的目的就是让你设置复杂密码
目前来看,Apple Pay 的安全性基于 Token,是相当安全的,而且支付需要指纹确认。更狠的是只有开通小额免密支付的银行卡才可以在一定额度(200、500)内只按指纹支付(有可能需要在 POS 密码键盘上按确定)。目前支持小额免密支付的银行还不多,除了按指纹还需要在 POS 键盘上输入密码,这算是相当安全了。即便把 iPhone 持有人的手指剁了也没办法短期内进行大额消费。
技术上来讲,apple pay比支付宝,微信支付安全得多,但安全性还存在不定数。
这里有必要解释一下,绑定applepay的iphone可以等同一张国内银行卡,和目前的带芯片的银行卡是一样的。再加上applepay采用的Token机制,交易链路层的安全性大大提升,所谓Token(支付标记化)原理在于通过支付标记(token)代替银行卡号进行交易验证,从而避免卡号信息泄露带来的风险。支付标记化是使用一个唯一的数值来替代传统的银行卡主账号的过程,同时确保该值的应用被限定在一个特定的商户、渠道或设备。支付标记可以运用在银行卡交易的各个环节,与现有基于银行卡号的交易一样,详细可参考:EMVCo,从这一点可以看出,applepay甚至比银行卡直接支付还安全。
但是,很多人却只关注方案层面的安全,却很少关注的真正的安全核心技术:安全芯片。这些仍然被国外厂商垄断中:随着银联PBOC3.0的普及,国内的银行IC卡的秘钥信息都是存储在银行卡中的加密芯片里面,同样,其实applepay的秘钥信息也是存储在手机中的一颗加密芯片(eSE)中,是否安全的核心在于这颗芯片是否能保证私密信息不被窃取。然而,有意思的是,国内银行发行的银行卡中的芯片和iphone中的eSE芯片是同一家芯片厂商:NXP。如果说安全,那就得问NXP的芯片是否能保证安全,是否留有芯片攻击后门。
NXP作为一家国外的芯片厂商,通过银行卡芯片居然占据了中国核心金融产品的大半壁江山这么多年,居然没有人去提出质疑,如今谈apple pay的安全性是否有点舍本求末。
所以,如果想打消安全性的疑虑,先把国内银行卡芯片换成安全可控的国产芯片再说吧。
看到很多答主只谈到设备安全,理解不够全面,作为业内人士来说一句吧。
先抛一个案例:
applepay在美国刚上线的时候,欺诈率一度到了6%,当然当时它的基数也小。applepay本身的风控依赖银行,除了大家理解的设备安全性之外,还有盗刷、盗绑、欺诈这些风控指标,也是大家所不熟悉的支付安全风控领域。当年美国泄露了4000万的信用卡数据包括卡号、磁道信息、密码以及个人信息,只要获取了五元组就可以盗绑。
这里有三种风险:盗刷、盗绑、欺诈
盗刷:坏人拿到用户的手机,刷卡支付。
applepay在盗刷方面做得很不错,使用TouchID来进行生物识别认证,底层实际上是用了NFC+Trustzone方案,是很难破解的。
盗绑:坏人拿到用户的卡信息,绑卡到坏人自己的手机,盗绑支付
信用卡:绑定时需要输入卡号、姓名、有效期、CVV2、手机的验证码;
借记卡:在绑定时需要输入卡号、姓名、手机的验证码;
目前看来是applepay比支付宝和微信支付要弱一些。
欺诈:坏人用虚假的商品信息,通过特定渠道,诱骗用户支付
applepay不做风控,主要依赖银行风控(个人猜测,如有不对请指正),所以这里还是有较大风险的。欺诈需要结合帐号风控、资金流、信息流来做,这一块也是一个挑战。
首先,大部分的苹果手机都是有密码锁的,你说的这种情况只存在于,你同时丢失了你的手机和银行卡,而且你的手机根本没有加密。假设这种情况出现了,你可以立即冻结你的银行卡,安全性和便捷性历来就是一对矛盾体。
卡丢了的风险也往这里写,真是醉了。卡丢了,人家去盗刷卡,岂不是比绑卡到手机上再apple pay来得省事?!
我还在纠结賊要怎么把指纹录进去
为什么我的wallet连添加选项都没有,改到美国区可以添加,但是验证不过,伤心