我對身份驗證和支付行業的令牌化技術概念感到困惑，請問作為一次性密碼的令牌與Apple Pay使用的令牌有什么區別?同時，PCI DSS等合規機構如何看待令牌化技術?

AD：

我對身份驗證和支付行業的令牌化技術概念感到困惑，請問作為一次性密碼的令牌與Apple Pay使用的令牌有什么區別?同時，PCI DSS等合規機構如何看待令牌化技術?

Mike Chapple：令牌化技術是我最喜歡的安全技術之一，特別是因為它可幫助減少PCI DSS合規范圍。在深入研究該技術的工作原理之前，讓我來解釋一下讓大家困惑的一個問題。在安全領域，“令牌”被用在兩個概念中。大家熟悉的令牌可以是指人們攜帶的物理實體(通常在鑰匙鏈上)，它可以生成一次性密碼，用在多因素身份驗證系統中。但這并不是我們在令牌化技術中談到的令牌。

令牌化技術中使用的令牌是指用于取代敏感數據的字母數字代碼，令牌化技術(例如Apple Pay和很多較新的POS系統中使用的技術)使用這些代碼來代替零售商記錄中的信用卡號碼。在正確部署的情況下，這種技術可以確保信用卡號碼不會接觸零售商的系統，幫助其減少PCI DSS合規范圍。

例如，客戶可能會在商店的收銀臺使用令牌化技術，他/她可通過自助服務讀卡器刷信用卡，這張卡使用了只有銀行知道的加密密鑰，在這位客戶刷卡時，該讀卡器可能會使用點對點加密技術來加密敏感信用卡信息。隨后，加密的信用卡號碼會通過零售商系統發送到銀行進行處理。與此同時，POS系統會在其記錄中記錄令牌值，銀行可使用這個數值綁定到特定信用卡交易。POS系統永遠不會看到未加密的信用卡號碼，所以它并不在PCI DSS合規范圍內。

支付卡行業安全標準委員會已經認識到令牌化技術的價值，并支持大家使用該技術來提高安全性以及減少合規工作范圍。