现在各种各样的非接触式支付层出不穷。不说手机、手环上的 NFC 支付,静态方面,公交卡、饭卡,乃至银行卡(特指银联的 QuickPass 电子钱包),都开始支持“挥卡”支付。
听说过那种笑话吧。上下班高峰期,去挤公交的时候,带上一个(非接触式)刷卡机,可以挤到很多人的钱包,于是可以刷到很多公交卡,钱就没了。
听起来很可怕是吗。的确,卡在我们手里,理论上说,被人刷就是刷了,也没什么办法。如果真要保护自己,我们需要像斯诺登一样,把卡放在金属包装里,通过电磁屏蔽,来避免外部的读卡器读卡。然而这样一来,用的时候还得把卡从卡套里拿出来,挺不方便的。
这种时候,我们只能依赖制度保障,避免被盗刷。如果制度过硬,我们真的不需要担忧这种问题。
事实是,整个系统还算是靠谱的。我们从刷卡机的距离、刷卡机是否“合法”、刷卡机的管理机制来看看。
一、刷卡机的距离
刷卡机的刷卡距离,是跟刷卡机发射信号的功率有关的。在收费站的 ETC 不停车收费系统,读卡距离能达到 1m 以上,这就是人类科技的普遍最高水平。(当然,平时我们遇到的读卡机是厘米级的,否则太耗电。)
很可惜,刚才查了一下,连市面上卖的一般的读卡器距离都可以到 10cm,这意味着挤公交的时候也没办法不被读到卡了。这点是卡片本身无法控制的。
二、刷卡机是否“合法”
所谓合法,就是说,刷卡机需要和卡片互相校验(利用类似密码的方式),不合法的设备不能完成交易。这样既能避免假卡坑商家的钱,也能避免假读卡机。
对于饭卡等小地方使用的卡片,有时为了省钱,我想那校验机制就不能恭维了。当然这个是不一定的。
对于公交卡这类,如果有漏洞,一旦捅出来就事大了。同理,对于最谨慎的金融、银行,银联卡上自带的电子钱包的设计是国家标准,出篓子的话将会是极大的信用危机。所以设计者是很谨慎的。
所以,被人偷偷刷了卡的机率,决定于卡的校验机制,决定于系统花了多少钱。即便在最高等级的卡片上被盗刷,有一点可以肯定,那多半是“内鬼”,不会是哪个黑客自己造了一台万能刷卡机。当然学校单位的卡被盗刷,多半只能呵呵了。
三、刷卡机的管理机制
刷到了钱,总要取出来吧。一般,刷卡机每天会把刷卡记录跟一个中心系统“对账”,只有对了帐,才能把电子的钱数转成真金。这一步,就需要“官方”介入了。
作为一个成熟的支付系统,公司里一定会有很完善的制度(至少银行是这样)。比如,刷卡机不能随意移动,刷卡机登记了详细的公司信息(个人是不能收款的),刷卡机不能拿来套现。
好了,如果盗刷真的出现,该怎么走制度呢?
出现盗刷,交易应该是“合法”的,卡片上会有交易记录,刷卡机上更会有交易记录(否则不能换钱)。这个时候,查交易记录,就可以抓贼了。我想,卡公司一定不会简单放过这种商户的,否则这可是大大的信用危机。
四、总结
梗概君来了。为什么我们不用担心非接触式电子钱包被人用可移动刷卡机乱刷呢?
- 电子钱包很容易被“刷”,这并没有什么办法,而且读卡机的读卡距离可以到 10 cm。
- 卡片被扣钱之前,需要卡片和机器互相校验,还需要按流程留下交易记录。这个流程出现漏洞的话,说明设计系统的人不严谨。一般大系统不敢出漏洞。
- 系统没有漏洞的情况下,被盗刷,可以按流程规规矩矩地查到扣钱的全过程,从而有人受罚。
当然,这种想法或许有些天真。首先,“系统漏洞”,这个未知因素现在可是越来越调皮了。但我依然相信金融行业,尤其是银行近乎变态的风控管理。以及“内鬼”,爱扯皮的机构我们也不是没遇过。
说来说去,机器都很老实,我们靠的是末端的对人的信任,这就是一整套的信任体系。没有对人的信任,自然也不会有生活的便捷,这两者往往是共存的。信息社会越来越复杂了而已。
延伸阅读:http://www.geekpark.net/topics/213003
(虽然对 360 没有多少好感,但无线安全的确是一个严峻的问题)