導讀:SearchSecurity記者最近采訪了Gartner研究公司副總裁兼著名分析師Avivah Litan有關她最近對芯片密碼技術的安全和合規(guī)影響的研究。
Visa和MasterCard正在向商家施壓要求他們部署芯片密碼(Chip and PIN)技術,雖然該技術將提高交易安全,但也會讓PCI合規(guī)變得更加困難。
2015年可能會是Chip and Pin技術(也被稱為EMV)突破性的一年,主要是因為零售商日益濃厚的興趣以及即將到來的最后期限:屆時還沒有部署該技術的商家將承擔新的責任。
SearchSecurity記者最近采訪了Gartner研究公司副總裁兼著名分析師Avivah Litan有關她最近對芯片密碼技術的安全和合規(guī)影響的研究。
對于EMV,請您向我們的讀者介紹一下即將到來的2015年10月欺詐責任最后期限的相關信息。這個最后期限意味著什么,以及它將對EMV部署產(chǎn)生何種影響?
Avivah Litan:基本上來講,2015年10月1日的EMV責任調(diào)整最后期限間接激勵著商家和銀行部署EMV芯片。在一些國家只有相關規(guī)定,但在美國市場和其他市場,這是責任調(diào)整。這意味著在這個日期之后,如果發(fā)生欺詐交易,在發(fā)卡行、收單銀行、交易處理方以及商家中,誰的安全性最低,誰就需要承擔責任。也就是說,如果有人拿著芯片卡進入零售商店,而商家沒有相應的銷售終端系統(tǒng),該商家可能要為該交易導致的任何欺詐行為承擔責任。
同樣地,如果商家有芯片密碼兼容的終端系統(tǒng),而消費者沒有芯片卡,那么發(fā)卡銀行必須為刷卡交易中發(fā)生的任何欺詐行為負責。所以這間接激勵著銀行和商家部署基于芯片密碼的系統(tǒng)。
美國EMV遷移論壇是智能卡供應商聯(lián)盟,該組織估計,到明年年底將有900萬臺EMV功能的支付終端,以及多達9億張芯片卡。首先,你同意這些預測嗎,以及EMV技術最終將如何影響商家保護支付數(shù)據(jù)安全的能力?
Litan:我自己并沒有作出預測,但你只要看看全球各地發(fā)生的情況就可以知道答案。如果你訪問EMVCo網(wǎng)站,你會看到其中聲稱現(xiàn)在不到30%的交易涉及EMV,不到40%的支付終端支持EMV,所以這是相當緩慢的過程。雖然美國即將到來的最后期限將會在很大程度上改變這種現(xiàn)狀,但在其他國家,EMV芯片交易不會進展那么順利。這些系統(tǒng)需要一段時間才會推出。
我認為,還要過5到7年我們才會看到85%的芯片交易,即芯片密碼卡用于芯片功能的終端。在那之前,商家仍然需要按照現(xiàn)在的方式保護它們的系統(tǒng),這仍然會是針對磁卡,商家仍然需要接受這些卡,并且,很多犯罪分子也會從中受益。這種情況在短期內(nèi)并不會發(fā)生太大的改變。
一直備受爭論的話題是,未使用密碼的EMV交易是否比磁卡交易更安全?你的觀點是什么,從長期來看,你認為銀行會避免廣泛部署基于密碼的信用卡嗎?
Litan:我認為沒有密碼的EMV比磁卡要安全得多,但有密碼的EMV更加安全。根據(jù)美國聯(lián)邦儲備委員會2013年報告的數(shù)據(jù)顯示,基于密碼的交易和基于簽名的交易相比,欺詐行為減少了700%。這是一個巨大的改進,我不明白為什么美國不遷移到芯片密碼,EMV交易顯然要比磁卡安全得多。
按理來說,交易欺詐的減少應該會激勵銀行支持芯片密碼,為什么他們在拖延?
Litan:對此我有兩種觀點。第一,他們不想要影響客戶體驗。他們擔心客戶不習慣為信用卡使用密碼,他們可能記不住密碼,而不得不重置密碼等。我并不同意這些觀點。在加拿大,銀行不想支持密碼芯片是因為他們有相同的擔憂,但他們最終還是這樣做了,而消費者在使用中也沒有出現(xiàn)使用問題或者記不住密碼的問題。
另一個問題是,如果消費者使用密碼,銀行害怕這些密碼會被盜并用于執(zhí)行ATM欺詐。銀行最擔心這一點,因為他們不能逆向ATM欺詐到任何商家;ATM是銀行的,這是銀行的錢,他們將需要賠償消費者的損失。由于密碼可能以很多不同的方式被盜(例如略讀、肩窺等),我不認為銀行想要承擔芯片密碼的廣泛使用可能帶來的ATM欺詐責任。
這使我想到你最新的研究報告,其中你提到攻擊者利用糟糕部署的基于EMV芯片的支付應用,破壞EMV控制來執(zhí)行廣泛的欺詐行為。你最關注的是什么?
Litan:從安全的角度來看,EMV本身是一個非常強大的協(xié)議,但它的部署方式也很重要;愈強壯也容易暴露愈多的缺點。在有些情況下,銀行不會驗證發(fā)送給他們的EMV交易數(shù)據(jù),他們認為這沒問題,所以他們沒有驗證密碼和一次性計數(shù)器,而罪犯就利用了這一點。他們重新布線交易系統(tǒng),并發(fā)送虛擬和欺詐性交易。
在商家方面,在所有人都支持使用EMV之前,他們不太可能“關閉”磁卡交易。這也讓犯罪分子創(chuàng)建了這樣的惡意軟件,即當用戶試圖進行芯片密碼交易時,提示用戶首先輸入其磁卡數(shù)據(jù),然后再提示他們輸入密碼。
請記住,這個惡意軟件并沒有“破壞”EMV;它只是利用支付應用的部署方式來破壞支付應用,讓它們按照他們的指示去竊取客戶的支付數(shù)據(jù)。這只是兩個具體的例子,還可能有更多的情況。
EMV技術對商家的PCI DSS合規(guī)有什么影響?有什么好處?
Litan:對于支付卡數(shù)據(jù)安全,EMV肯定會帶來好處。當EMV交易所占比率足夠高時,犯罪分子將難以找到磁卡數(shù)據(jù)來創(chuàng)建假冒卡。另外,在短期內(nèi)EMV并不會緩解PCI合規(guī)負擔,但在長期內(nèi)會緩解。希望有一天商家不再需要保護磁卡數(shù)據(jù),而是保護EMV數(shù)據(jù),這樣會更簡單。
在短期內(nèi),先不說責任問題,對于考慮投資額外技術來避免支付卡數(shù)據(jù)泄露事故的商家而言,EMV有意義嗎?
Litan:是的,EMV對Visa和MasterCard都有意義。從安全的角度來看,該是比磁條卡使用的協(xié)議更強大的協(xié)議。
另外,我想問你關于Apple Pay的問題。有人認為Apple Pay會給支付數(shù)據(jù)安全帶來改革,你同意嗎?
Litan:我不認為它會改變游戲規(guī)則,因為它只是延續(xù)Visa/MasterCard支付系統(tǒng),但它比磁條卡有著顯著的改進。這種支付更加安全,也很便于消費者使用。
最后,今年你最關注的PCI DSS趨勢是什么?
Litan:除了犯罪分子利用糟糕部署的EMV芯片支付應用,我還關注著一些其他趨勢。EMV令牌最先由Apple Pay和支付網(wǎng)絡部署,它基于的協(xié)議不同于令牌化系統(tǒng)商家用于限制PCI審計范圍的協(xié)議—這可能導致令牌部署沖突。我希望看到令牌化標準的更多發(fā)展,并希望它可以很好地適用于商家、發(fā)卡行和所有支付系統(tǒng)參與方。我也希望商家對EMV令牌協(xié)議及其BIN范圍提供的更多透明度,以及識別客戶的可行方法,而不需要依靠卡號碼。