多功能晶片卡持續發酵 成為金融業者的競爭新利器
(記者廖珮君∕台北) 2006/09/14前言:在物價持續上漲的微利時代,利用不法行為牟取暴利的事件似乎也越來越多,前幾年,台灣社會頻頻發生非法集團側錄民眾金融磁條卡內的帳號密碼資料,再製作假卡盜領帳戶存款的情事,即使銀行業者已投注大量資源來處理此類金融詐騙,卻仍是防不勝防,於是,可以強化安全度的IC晶片因此而倍受矚目。
IC晶片雖然薄如紙張,面積也不過1片指甲那麼大,卻和電腦一樣具有CPU,可進行資料的邏輯運算和儲存記憶,因此,當IC晶片和提款卡結合之後,金融業者可以在晶片裡面導入安控機制(如DES、RSA等),要求晶片卡必須通過和讀卡機的交互驗證之後,持卡人才能讀取或更改晶片內資料,減少偽卡冒用的機率。
至於晶片卡和讀卡機是如何進行交互驗證呢?以國際發卡組織所定EMV標準來看,可分為靜態身分認證(Static Data Authentication;SDA)及動態身分認證(Dynamic Data Authentication;DDA)等2種方式,SDA和DDA皆採用RSA加密演算機制,其差異在於晶片卡和EDC讀卡機交互驗證的結果是否每次都相同,若相同即為SDA靜態身分認證,反之則為DDA。
無論是資料保護或製卡流程 晶片安全性均優於磁條卡
在SDA驗證中,發卡行先在後端主機中,以私鑰(private key)將資料壓碼加密,然後再傳送至晶片卡內存放,由EDC讀卡機自行去驗證,也就是解開包裝資料的密碼,將加密資料還原,再將這些還原後的資料與原始資料進行比對,若一致的話,則EDC讀卡機便會判定此卡為真。
至於DDA運作模式則不同,EDC讀卡機會先產生一組隨機亂數(Random number),並傳送至晶片卡做運算及簽章的動作,最後再由EDC去驗證晶片所傳送回來的簽章是否正確,由於亂數是隨機產生,所以晶片卡片每次運算出來的簽章皆不相同,而EDC的驗證結果自然也就不同,故稱之為動態身分認證。
簡單來說,SDA機制只要求晶片將資料叫出來,並不會執行運算,但DDA則會,因此,SDA的最大缺點在於若是有人可以讀取晶片內的資料時,便有可能據此而製作出1張可通過EDC讀卡機驗證的偽卡,不過,台新銀行金流產品事業處經理曾煥欽表示,即便如此,IC晶片卡的安全程度仍遠大於磁條卡。
因為,目前破解晶片資料的技術,多半只在實驗室或研究室裡進行,藉由特別的儀器將晶片一層層地剝開,再用量測技術去探測晶片內的資料,或是利用電波原理,去測試晶片對訊息的反應,才有可能得到其中的資訊,而一般人多半不具這樣的技術能力。
再加上晶片資料多經過加密保護,因此,非法讀取晶片卡資料,就變成是1件相當耗費成本的事情,而當不法集團發現投注在破解晶片卡上的成本,將遠遠大於所能獲得的收益時,自然就失去圖謀不軌的動力。
其實,晶片卡的安全程度不只展現在其對資料的保護上,它的製卡過程亦較磁條卡來得嚴謹許多。傳統的磁條卡製卡程序,是由銀行主機將卡片相關資料傳送予製發卡系統,再由發卡系統傳送至製卡機端,由製卡機將資料放在卡片的正確位置上,製成卡片,而資料在傳送過程中,通常不會經過加解密處理。
不過,到了晶片卡階段,卻有不一樣的作法,因為晶片內含許多重要資料,例如:個人PIN碼、用來進行加解密的基碼(即Key)等等,而為避免資料在傳送過程中被駭客竊取,就必須採用加密傳送的方式來保護資料。此外,銀行的製發卡系統建置完成時間早,且建置當時並沒有製發晶片卡的需求,因此,系統無法產生基碼等晶片卡才需擁有的資料,所以,銀行多半選擇在製發卡系統和製卡機之間,新增一套資料準備程序(Data Preparation),來滿足製發晶片卡的需求。
換句話說,發卡系統仍舊依照磁條卡製卡原則來產生資料,再將資料傳送給資料準備系統,由該系統產生晶片卡所需資料(如:相關參數或基碼等),之後再加密傳送到製卡機,由製卡機寫入晶片中。通常,針對某些重要資料,製卡機會以亂碼方式寫入,讓晶片自行還原成明碼,降低這些資料的外洩風險。
附加多元應用程式 提昇晶片卡使用價值
對銀行業者來說,將金融卡由磁條轉換至晶片的過程,是1件相當耗費成本的投資,所以為能讓效益最大化,曾煥欽建議業者們可以附加各種不同應用程式於晶片上,提昇晶片卡的附加價值。
全球晶片製造龍頭業者金雅拓公司表示,日本將生物辨識技術與晶片結合,持卡人至自動提款機進行交易時,不需輸入密碼,只要將手掌置於ATM螢幕上進行比對,即可辨識持卡人身分是否為真,至於韓國則是附加電子存摺的應用,將客戶存摺資料置於晶片中,省去持卡人攜帶紙本存摺的麻煩,同時也減少印刷及更換存摺的成本。
而台灣金融業者們的應用則與國外不同,在晶片中所附加的應用程式以信用卡、金融卡、紅利點數、電子錢包、門禁管制、網路銀行身分授權等6類為主,例如信用卡、金融卡和電子錢包結合的卡片稱之為combo卡、而接觸式和非接觸式結合的多功能晶片卡則是combi卡,而不論這2者中的哪一種,都能替消費者省去攜帶多張卡片的麻煩。
另外,以紅利點數應用來看,將紅利程式灌入晶片後,能幫助銀行積累客戶忠誠度(loyalty)。傳統上,銀行將紅利點數應用程式放在後台主機端,持卡人只能在每個月的信用卡帳單上,才能清楚自身已累積多少的紅利點數,然而,紅利點數累積其實來自於日常消費的回饋,因此,每月總結1次的紅利計算方式,其實無法讓持卡人深刻地感受到銀行所贈予的消費回饋有多大。
不過,在晶片內附加紅利程式之後,就大不相同了,因為晶片的運算功能,所以能即時計算持卡者在每次消費後所增加的紅利點數,並將相關資訊顯示在刷卡對帳單上,讓持卡人立即感受到紅利的增減變化,甚至銀行還可以針對持卡者設計諸如來店禮或生日禮的客製化優惠。
舉例來說,原本紅利累積制度為每消費新台幣30元即回饋1點紅利,但在晶片紅利程式內設定參數,讓持卡人於某幾家特約商店,或生日當月的消費紅利可以2倍數增加,也就是只要15元即回饋1點紅利。
目前,應用晶片紅利程式最著名的企業莫過於遠東集團所發行的Happy Go集點卡,便是將紅利程式寫入晶片中,民眾持有此卡後,於集團內任一企業消費,都能享有紅利回饋。另外,百貨業者美麗華公司也曾在網站上置放折價券,消費者只要持有美麗華信用卡(和誠泰銀行合作發行),就能下載網路折價券至晶片中存放,於日後消費時使用。
至於網路銀行身分授權,則是晶片金融卡另一項成本最低、但效益最明顯的應用,由於之前金融界頻傳客戶資料遭駭客竊取或外洩,導致民眾對網銀交易的信賴感明顯降低,所以近1年來,各家金融業者莫不極思改善之道。
部分業者(如匯豐銀行、新竹國際商銀、中國信託等)引進動態密碼(OTP)機制,透過手機簡訊或動態密碼產生器產生1組效力僅1次的密碼,網銀客戶必須輸入這組密碼,才能完成交易,這種方式雖然可以強化網銀交易的安全性,但是對銀行來說,卻又是一筆不小的投資。
不過,若改用晶片金融卡,不僅能創造和OTP機制一樣的安全等級,更不用另行購買系統設備,只需將網銀程式稍加修改即可,讓原本由使用者ID及網銀密碼組合成的身分認證機制,改為使用者ID加上晶片金融卡密碼,亦即客戶在登入網銀頁面時,除了輸入使用者ID之外,還必須將晶片金融卡插入讀卡機內與電腦相連,然後輸入晶片卡密碼進行雙因素驗證。
0 Comments:
Post a Comment
<< Home