Visa和MasterCard正在向商家施壓要求他們部署芯片密碼(Chip and PIN)技術(shù)，雖然該技術(shù)將提高交易安全，但也會(huì)讓PCI合規(guī)變得更加困難。

[[128256]]

2015年可能會(huì)是Chip and Pin技術(shù)(也被稱為EMV)突破性的一年，主要是因?yàn)榱闶凵倘找鏉夂竦呐d趣以及即將到來的最后期限：屆時(shí)還沒有部署該技術(shù)的商家將承擔(dān)新的責(zé)任。

SearchSecurity記者最近采訪了Gartner研究公司副總裁兼著名分析師Avivah Litan有關(guān)她最近對(duì)芯片密碼技術(shù)的安全和合規(guī)影響的研究。

對(duì)于EMV，請(qǐng)您向我們的讀者介紹一下即將到來的2015年10月欺詐責(zé)任最后期限的相關(guān)信息。這個(gè)最后期限意味著什么，以及它將對(duì)EMV部署產(chǎn)生何種影響?

Avivah Litan：基本上來講，2015年10月1日的EMV責(zé)任調(diào)整最后期限間接激勵(lì)著商家和銀行部署EMV芯片。在一些國家只有相關(guān)規(guī)定，但在美國市場和其他市場，這是責(zé)任調(diào)整。這意味著在這個(gè)日期之后，如果發(fā)生欺詐交易，在發(fā)卡行、收單銀行、交易處理方以及商家中，誰的安全性最低，誰就需要承擔(dān)責(zé)任。也就是說，如果有人拿著芯片卡進(jìn)入零售商店，而商家沒有相應(yīng)的銷售終端系統(tǒng)，該商家可能要為該交易導(dǎo)致的任何欺詐行為承擔(dān)責(zé)任。

同樣地，如果商家有芯片密碼兼容的終端系統(tǒng)，而消費(fèi)者沒有芯片卡，那么發(fā)卡銀行必須為刷卡交易中發(fā)生的任何欺詐行為負(fù)責(zé)。所以這間接激勵(lì)著銀行和商家部署基于芯片密碼的系統(tǒng)。

美國EMV遷移論壇是智能卡供應(yīng)商聯(lián)盟，該組織估計(jì)，到明年年底將有900萬臺(tái)EMV功能的支付終端，以及多達(dá)9億張芯片卡。首先，你同意這些預(yù)測(cè)嗎，以及EMV技術(shù)最終將如何影響商家保護(hù)支付數(shù)據(jù)安全的能力?

Litan：我自己并沒有作出預(yù)測(cè)，但你只要看看全球各地發(fā)生的情況就可以知道答案。如果你訪問EMVCo網(wǎng)站，你會(huì)看到其中聲稱現(xiàn)在不到30%的交易涉及EMV，不到40%的支付終端支持EMV，所以這是相當(dāng)緩慢的過程。雖然美國即將到來的最后期限將會(huì)在很大程度上改變這種現(xiàn)狀，但在其他國家，EMV芯片交易不會(huì)進(jìn)展那么順利。這些系統(tǒng)需要一段時(shí)間才會(huì)推出。

我認(rèn)為，還要過5到7年我們才會(huì)看到85%的芯片交易，即芯片密碼卡用于芯片功能的終端。在那之前，商家仍然需要按照現(xiàn)在的方式保護(hù)它們的系統(tǒng)，這仍然會(huì)是針對(duì)磁卡，商家仍然需要接受這些卡，并且，很多犯罪分子也會(huì)從中受益。這種情況在短期內(nèi)并不會(huì)發(fā)生太大的改變。

一直備受爭論的話題是，未使用密碼的EMV交易是否比磁卡交易更安全?你的觀點(diǎn)是什么，從長期來看，你認(rèn)為銀行會(huì)避免廣泛部署基于密碼的信用卡嗎?

Litan：我認(rèn)為沒有密碼的EMV比磁卡要安全得多，但有密碼的EMV更加安全。根據(jù)美國聯(lián)邦儲(chǔ)備委員會(huì)2013年報(bào)告的數(shù)據(jù)顯示，基于密碼的交易和基于簽名的交易相比，欺詐行為減少了700%。這是一個(gè)巨大的改進(jìn)，我不明白為什么美國不遷移到芯片密碼，EMV交易顯然要比磁卡安全得多。

按理來說，交易欺詐的減少應(yīng)該會(huì)激勵(lì)銀行支持芯片密碼，為什么他們?cè)谕涎?

Litan：對(duì)此我有兩種觀點(diǎn)。第一，他們不想要影響客戶體驗(yàn)。他們擔(dān)心客戶不習(xí)慣為信用卡使用密碼，他們可能記不住密碼，而不得不重置密碼等。我并不同意這些觀點(diǎn)。在加拿大，銀行不想支持密碼芯片是因?yàn)樗麄冇邢嗤膿?dān)憂，但他們最終還是這樣做了，而消費(fèi)者在使用中也沒有出現(xiàn)使用問題或者記不住密碼的問題。

另一個(gè)問題是，如果消費(fèi)者使用密碼，銀行害怕這些密碼會(huì)被盜并用于執(zhí)行ATM欺詐。銀行最擔(dān)心這一點(diǎn)，因?yàn)樗麄儾荒苣嫦駻TM欺詐到任何商家;ATM是銀行的，這是銀行的錢，他們將需要賠償消費(fèi)者的損失。由于密碼可能以很多不同的方式被盜(例如略讀、肩窺等)，我不認(rèn)為銀行想要承擔(dān)芯片密碼的廣泛使用可能帶來的ATM欺詐責(zé)任。

這使我想到你最新的研究報(bào)告，其中你提到攻擊者利用糟糕部署的基于EMV芯片的支付應(yīng)用，破壞EMV控制來執(zhí)行廣泛的欺詐行為。你最關(guān)注的是什么?

Litan：從安全的角度來看，EMV本身是一個(gè)非常強(qiáng)大的協(xié)議，但它的部署方式也很重要;愈強(qiáng)壯也容易暴露愈多的缺點(diǎn)。在有些情況下，銀行不會(huì)驗(yàn)證發(fā)送給他們的EMV交易數(shù)據(jù)，他們認(rèn)為這沒問題，所以他們沒有驗(yàn)證密碼和一次性計(jì)數(shù)器，而罪犯就利用了這一點(diǎn)。他們重新布線交易系統(tǒng)，并發(fā)送虛擬和欺詐性交易。

在商家方面，在所有人都支持使用EMV之前，他們不太可能“關(guān)閉”磁卡交易。這也讓犯罪分子創(chuàng)建了這樣的惡意軟件，即當(dāng)用戶試圖進(jìn)行芯片密碼交易時(shí)，提示用戶首先輸入其磁卡數(shù)據(jù)，然后再提示他們輸入密碼。

請(qǐng)記住，這個(gè)惡意軟件并沒有“破壞”EMV;它只是利用支付應(yīng)用的部署方式來破壞支付應(yīng)用，讓它們按照他們的指示去竊取客戶的支付數(shù)據(jù)。這只是兩個(gè)具體的例子，還可能有更多的情況。

EMV技術(shù)對(duì)商家的PCI DSS合規(guī)有什么影響?有什么好處?

Litan：對(duì)于支付卡數(shù)據(jù)安全，EMV肯定會(huì)帶來好處。當(dāng)EMV交易所占比率足夠高時(shí)，犯罪分子將難以找到磁卡數(shù)據(jù)來創(chuàng)建假冒卡。另外，在短期內(nèi)EMV并不會(huì)緩解PCI合規(guī)負(fù)擔(dān)，但在長期內(nèi)會(huì)緩解。希望有一天商家不再需要保護(hù)磁卡數(shù)據(jù)，而是保護(hù)EMV數(shù)據(jù)，這樣會(huì)更簡單。

在短期內(nèi)，先不說責(zé)任問題，對(duì)于考慮投資額外技術(shù)來避免支付卡數(shù)據(jù)泄露事故的商家而言，EMV有意義嗎?

Litan：是的，EMV對(duì)Visa和MasterCard都有意義。從安全的角度來看，該是比磁條卡使用的協(xié)議更強(qiáng)大的協(xié)議。

另外，我想問你關(guān)于Apple Pay的問題。有人認(rèn)為Apple Pay會(huì)給支付數(shù)據(jù)安全帶來改革，你同意嗎?

Litan：我不認(rèn)為它會(huì)改變游戲規(guī)則，因?yàn)樗皇茄永m(xù)Visa/MasterCard支付系統(tǒng)，但它比磁條卡有著顯著的改進(jìn)。這種支付更加安全，也很便于消費(fèi)者使用。

最后，今年你最關(guān)注的PCI DSS趨勢(shì)是什么?

Litan：除了犯罪分子利用糟糕部署的EMV芯片支付應(yīng)用，我還關(guān)注著一些其他趨勢(shì)。EMV令牌最先由Apple Pay和支付網(wǎng)絡(luò)部署，它基于的協(xié)議不同于令牌化系統(tǒng)商家用于限制PCI審計(jì)范圍的協(xié)議—這可能導(dǎo)致令牌部署沖突。我希望看到令牌化標(biāo)準(zhǔn)的更多發(fā)展，并希望它可以很好地適用于商家、發(fā)卡行和所有支付系統(tǒng)參與方。我也希望商家對(duì)EMV令牌協(xié)議及其BIN范圍提供的更多透明度，以及識(shí)別客戶的可行方法，而不需要依靠卡號(hào)碼。