为什么移动支付技术问世多年仍未普及?《连线》杂志网站近日发表了一篇业内人士的文章,从安全的角度阐述了原因,介绍了业界所做的努力,并提出了新的想法。以下为文章节选:为什么消费者仍然不愿意接受移动支付?安全问题是第一大障碍。涉及大牌零售商用户信息被盗的丑闻在消费者中造成了根深蒂固的恐惧,使人们无法真正信任移动支付技术。要使这项技术被广泛接受,它需要做的就是建立信任。EMV信用卡(即Eurocard、MasterCard、Visa)使用安全的微芯片来传输数据,但它是一种物理设备。问题的关键是在虚拟世界中创造一个同样安全的环境。随着主机卡仿真(HCE)技术的出现,保护用户支付凭证的领域才发生了变化。在主机卡仿真出现之前,人们只有两种选择。一种是将凭证存储在手机的特殊安全芯片安全元件(SE)中。这创建了一个带有安全元素的移动钱包,可以保护敏感数据(如EMV信用卡)的传输。另一种选择是在云端使用“CardOnFile”凭据——本质上是在线存储基本支付信息。主机卡模拟是充分利用软件保障信用卡安全的最佳代表。与信用卡支付相关的所有数据不再需要依赖物理芯片,这结束了安全元件的作用。先前关于安全元件所有权的争论也已解决,向新进入者开放了市场。从目前的实践来看,将存储在芯片上的信用卡数据转移到安全的云环境中所涉及的操作步骤存在问题。要完成一笔交易,您的手机需要连接到互联网,您需要等待数据加密后发送响应。即使在理想情况下,这也很难在发卡机构要求的时间内完成。如果没有信号,这一切都是不可能的。为了解决这个问题,人们设计了一个概念,叫做“Tokenization”。您不必在每次购物时都连接到互联网,而是在手机中存储一张用途有限的虚拟信用卡。令牌化也有其自身的问题。要窃取您的钱,网络小偷不一定要拿走您的钱包,甚至您的手机。黑客可以克隆手机、获取信用卡信息,或者只是在手机上安装恶意软件,虚拟卡可以直接交给窃贼。从长远来看,只有建立了强大的身份验证机制,移动支付才会安全。我们必须能够将用户的身份信息与交易授权进行绑定。虽然银行熟悉数据保护要求,但经验较少的市场新进入者需要非常谨慎地进行身份验证和风险评估。事实证明,在移动支付安全方面,智能手机本身可以尽一份力。WiFi定位、3G定位和GPS数据等功能,以及设备上应用程序的数量和类型可以形成独特的用户画像。虽然这不是什么好药,但这些都可以用来判断是否存在欺诈交易。同时,由于降低了认证门槛,只要能够判断消费者是可信的,就可以获得更好的购物体验。此外,您还可以设置您感到可疑时的交易门槛。在这个网络犯罪日益猖獗的时代,所有互联网活动都是不安全的。如上所述创建的基于风险管理的认证也不例外。这种方式需要大量的个人信息,无疑会引起黑客的注意。这些数据必须受到保护,但就数量和敏感性而言,妥善保护这些数据比典型的密码数据库要困难得多。身份验证正在演变成一个大数据问题。为了使黑客对个人敏感信息不那么感兴趣,启用了加密。如果数据被加密,即使被盗或丢失,损失也会更小。随着移动支付行业的发展,主机卡模拟被证明是一种受欢迎且有价值的新方法。如果行业参与者希望看到移动支付起飞,他们需要创造一个安全的交易环境并培养用户信任。具有讽刺意味的是,可能会带来安全问题的设备(例如智能手机)也可以通过帮助用户进行身份验证来确保安全。数据加密是安全的另一个方面,可以为数据保护增加另一层安全性,进一步鼓励移动支付的广泛接受。作者理查德·莫兹(RichardMoulds)是Thalese-Security的产品管理和战略副总裁。
