昨天来源:安全牛网
全球知名IT协会ISACA的一份新研究指出:手机支付安全技术的进步,在控制风险和提高消费者信任上,正将传统塑料制支付卡远远抛在身后。
无论消费者还是商家,都能从手机支付中受益。
《手机支付是支付安全的赢家吗?》是ISACA于上月发布的一份指南,其中罗列了手机支付相对于物理支付和电子商务交易的数个优势。令牌化、特定于设备的密码和双因子身份验证,被描述为广受消费者和商家欢迎的主要进步。
手机支付,在嵌入式、改进的、透明的安全控制辅助下,展现了安全驱动业务的绝佳案例,为赢得终端用户的信任做出了很大贡献。
令手机支付技术傲视群雄的几个机制包括:
令牌化
安全手机支付应用,或者说手机钱包,并不传输银行卡主账号(PAN),而是发送随机产生的令牌到销售终端(POS)和支付网络。这一令牌在传输中保护了消费者的数据。
ISACA的指南中写道:“在与黑客和其他威胁的长期角逐中,令牌化是让手机支付在保护消费者敏感财务信息上领先于银行卡支付的安全解决方案。”
令牌可被配置为只在确切时间点针对符合特定条件、特定商家和特定金额的交易有效。只有发卡行和授权实体可以安全地将令牌映射回原始支付卡数据。
特定于设备的密码
该密码保证了支付是由持卡人设备发起的。即使黑客获取了手机支付交易数据,随令牌发送到POS终端的密码也是不能被另外的手机设备使用的,让被盗数据毫无用处。
双因子身份验证
通过利用两个独立的身份验证机制,为手机支付诈骗提供了额外的防护层。常见凭证包括:用户知道的东西(比如口令)、用户拥有的东西(比如支付卡或电话),还有指纹、声纹、面部识别等生物特征。
如果含有手机钱包的手机遗失,该手机可被远程擦除。因为消费者支付卡信息并未存储在手机上,支付卡不需要换新的。
商家也能像消费者一样,从多个方面获益于手机支付。对商家而言,主要益处在于,增强的安全应该能减少诈骗,从而降低成本。报告同时指出,将手机支付整合到商家业务中还能创造更具客户忠诚度的项目,以及让客户在没带银行卡的时候也能消费。
手机支付的安全优势可能会让公众以及认为手机支付很危险的安全专家吃惊。ISACA的《2015手机支付安全研究》显示,23%的IT和网络安全从业人员相信手机支付可以保证个人信息安全。但是,据Ovum预测,到2019年,全球手机支付用户数量将从2014年的4455万激增至10.9亿。
尽管现代手机支付方法提供了很多好处,该指南也点出了一些潜在的漏洞,其中就包括了用户在手机钱包应用中注册支付卡信息的时候,手机钱包提供商会用发送支付卡数据和设备地理坐标到发卡行之类的方法,任何差异都会引起后续要求更多验证的电话。
该指南鼓励采用了手机支付的商家经常性地风险控制措施进行再评估,以确保任何可能出现的新情况都能被有效处理。
