为保障持卡人的合法权益和资金安<wbr>全,国际上已开始实施多种密码技<wbr>术。我国各商业银行也在探索、采<wbr>用部分有效的密码校验方法,为持<wbr>卡人提供安全的金融服务。</wbr></wbr></wbr></wbr>
一、国际上通行的银行卡密码校验<wbr>技术和标准</wbr>
1.CVV密码校验
CVV 密码校验是指商业银行在其使用的<wbr>银行卡号编码规则和磁条数据格式<wbr>中加入自定义加密算法的验证码(<wbr>CVN)。CVV信息被存储在磁<wbr>条银行卡的磁道中,根据卡号、磁道主账号、发卡银行标识代<wbr>码等信息,通过各银行自定义的特<wbr>殊加密算法进行加密,每步都采用<wbr>CVKA技术加密,得到验证码。<wbr>由于各行加密算法各不相同,因此,利用获得的银行卡信息<wbr>非法制作的部分假卡在发卡行解密<wbr>时能够被识别而无法使用。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
2.SSL安全协议
SSL安全协议 又称安全套接层(Secure Sockets Layer)协议,是Netsc<wbr>ape Communication公司<wbr>于1996年设计开发的。该协议<wbr>主要用于提高应用程序之间的数据<wbr>安全。SSL安全协议主要提供三<wbr>方面的服务:一是用户和服务器的合法性认证;二是加密数据<wbr>;三是保护数据完整性。SSL协<wbr>议涉及所有TCP/IP应用程序<wbr>,目的在于保证安装了安全套接层<wbr>的服务器之间数据传输的安全性。但随着电子商务活动的迅速<wbr>增加,对厂商认证的问题越来越突<wbr>出,因此人们预期SSL安全协议<wbr>将逐渐被SET协议取代。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
3.SET协议
SET 协议(安全电子交易规范)是万事<wbr>达卡和VISA公司于1996年<wbr>推出的基于信用卡进行电子交易的<wbr>安全措施的规则,是一种广泛应用<wbr>于互联网的安全电子支付协议。其认证过程使用RSA和DE<wbr>S算法,形成在互联网上安全使用<wbr>银行卡进行购物的标准。但SET<wbr>协议的认证过程非常繁琐,每笔交<wbr>易需要验证电子证书9次,验证数字签名6次,传递证书7次<wbr>,签名5次,对称加密4次和非对<wbr>称加密4次,完成一个含SET协<wbr>议的交易需要很长时间。因此,目<wbr>前这种协议并未被广泛推广使用。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
4.VISA 3-D认证
信用卡持卡人的身份验证一般采用<wbr>核对持卡人签名的方式,但在PO<wbr>S交易和网上交易中,商户无法确<wbr>认消费者是否为真实的持卡人。为<wbr>解决这一问题,VISA制定了3<wbr>-D验证标准,进行发卡机构、持<wbr>卡人、商户和收单机构的互动验证<wbr>。</wbr></wbr></wbr></wbr></wbr></wbr></wbr>
在 验证模型中,发卡机构负责建立用<wbr>户可访问的系统,该系统能够和3<wbr>-D Secure中的商户插件和VI<wbr>SA目录服务器交互,采用多种方<wbr>法对持卡人进行验证;收单机构负<wbr>责建立支付网关,保证信息流安全<wbr>,同时安装一个3-D Secure 商户插件,与VISA目录服务器<wbr>和发卡机构系统交互;中间域提供<wbr>参与3-D验证的发卡机构名录,<wbr>方便多方对交易进行认证。该技术<wbr>是开放性的,VISA允许美国运通和日本JCB使用,以确<wbr>保磁条信用卡在进行交易时能够得<wbr>到多方验证从而保障安全。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
5.万事达卡网上支付标准
万事达卡网上支付标准(Mast<wbr>er Secure Code)通过一个隐藏域UCA<wbr>F收集、传递、显示持卡人认证信<wbr>息,支持包括PC认证、智能卡认<wbr>证和基于3-D安全技术的认证等<wbr>多种认证方式。其采用的技术和V<wbr>ISA 3-D不一样,但银行卡信息验证<wbr>程序基本一样。</wbr></wbr></wbr></wbr></wbr></wbr></wbr>
6.JCB J/Secure
JCB 于2004年推出信用卡互联网验<wbr>证服务J/Secure。J/S<wbr>ecure基本与VISA 3-D认证架构相同,也是发卡行<wbr>在交易授权之前增加持卡人密码验<wbr>证步骤。由于JCB与VISA、<wbr>万事达卡的全面合作,J/Sec<wbr>ure架构允许收单和发卡机构选择不同的技术方案,JCB<wbr>均可提供支持。</wbr></wbr></wbr></wbr></wbr></wbr></wbr>
7.银联CUP Secure
银联于2005年推出CUP Secure(China UnionPay Secure),采用统一持卡人<wbr>、发卡机构、收单机构和商户四方<wbr>操作流程、服务流程和结算流程的<wbr>方式,为国内互联网消费者提供相<wbr>关服务。</wbr></wbr></wbr></wbr>
8.EMV迁移技术
EMV迁移技术由银行公会与国际<wbr>组织EMV推出,主要用于保障芯<wbr>片卡的安全使用。<br>(1)芯片借记卡</wbr></wbr>
传 统的磁条借记卡在持卡人输入密码<wbr>后,系统以PIN Block传送至发卡行核查;若<wbr>磁条卡遭侧录且密码泄漏,卡片就<wbr>容易在短时间内被复制,发生存款<wbr>被盗取、卡片额度被盗用的问题。<wbr>而芯片借记卡具有CPU、内存及I/O,几乎具备计算机最<wbr>基本的功能,因此本身可安全存放<wbr>发卡行的逻辑运算与基码。使用芯<wbr>片卡交易时,芯片借记卡直接进行<wbr>密码验证,验证通过后才产生交易验证码并传送给发卡行核查<wbr>。由于不法分子无法自行复制芯片<wbr>卡的逻辑运算,可有效解决密码被<wbr>侧录的风险。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
(2)芯片信用卡
传统的磁条信用卡由刷卡机读取某一<wbr>磁道的资料,经通信网络发送至发<wbr>卡行,发卡行通过CVV验证磁条<wbr>卡的真实性后发出授权码。芯片信<wbr>用卡自带3DES Key程序,可利用其内部存放的<wbr>EMV参数产生ARQC (Authorization ReQuest Cryptogram,授权请求<wbr>密码电文)进行验证。某一磁道信<wbr>息被泄露而复制出的伪卡,因不能<wbr>复制芯片卡内部的Key,无法产<wbr>生ARQC发往发卡行授权,降低了发卡行的伪卡风险。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
二、部分商业银行
确保银行卡密码安全的一些做法在<wbr>使用通行银行卡密码技术的同时,<wbr>部分商业银行还采用了其他密码处<wbr>理办法以确保银行卡的使用安全。<wbr></wbr></wbr></wbr></wbr>
1.英国巴克莱银行的多因素密码<wbr>校验方法</wbr>
该方法要求使用网上银行服务的用<wbr>户在交易前必须输入姓氏、12位<wbr>会员号码、5位数密码及两个字节<wbr>的其他密码。</wbr></wbr></wbr>
2.苏格兰皇家银行的多因素密码<wbr>校验方法</wbr>
该方法与英国巴克莱银行多因素密<wbr>码校验方法略有不同,要求客户在<wbr>输入生日和个人识别码(PIN)<wbr>后,必须回答几个随机问题(已在<wbr>银行卡资料库中预留的答案)。只<wbr>有所有的号码均正确、问题答案与<wbr>预留答案均一致,才能使用网上银<wbr>行服务。</wbr></wbr></wbr></wbr></wbr></wbr></wbr>
3.荷兰Rabobank Group和比利时富通集团采取<wbr>随机编码方法形成的动态密码</wbr>
荷兰Rabobank Group和比利时富通集团两家<wbr>企业均为客户配备了可产生随机代<wbr>码的微型装置,客户登录网上银行<wbr>时必须输入装置产生的随机代码,<wbr>同时要求客户输入姓氏、12位会<wbr>员号码、5位数密码和其他预留密<wbr>码(两个字节)。</wbr></wbr></wbr></wbr></wbr></wbr>
4.德国部分银行的批处理密码
德国部分商业银行可为持卡人的一<wbr>张借记卡提供密码单,密码单一般<wbr>记录50或100个银行卡密码,<wbr>所有密码的有效期为1~2个月,<wbr>每个密码使用一次后随即作废。持<wbr>卡人每次使用前可记下几个密码,<wbr>使用借记卡交易时,即使银行卡和<wbr>密码被盗,也不用担心银行卡被他<wbr>人冒用。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
5.美国花旗银行的动态账号
花旗银行于2006年推出一种新的<wbr>安全技术,使其信用卡号不再通过<wbr>互联网传送。客户下载专用软件至<wbr>电脑后,即会自动启动安全功能。<wbr>在线购物时,每次提供用户名和密码,都会自动产生随机号码<wbr>代替信用卡号码,形成"虚拟账号<wbr>"(花旗银行信用卡用户免费使用<wbr>)。零售商可像处理任何信用卡号<wbr>码一样处理这种替代号码,不会延迟购物时间,虚拟账号在每<wbr>次购物之后便失效,不得重复使用<wbr>。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
6.我国内地的双重密码保护机制<wbr>和动态密码验证</wbr>
由于网上银行系非接触式金融交易,所以,国<wbr>内商业银行在网上银行操作中设置<wbr>了多重安全保障,如采用查询密码<wbr>和交易密码双重密码保护机制,采<wbr>用动态密码验证、浏览器证书、移动证书等多种安全认证方式<wbr>,提供数字软键盘密码输入方式等<wbr>。除上述安全措施外,部分商业银<wbr>行还及时借助短信发出用卡情况通<wbr>知,使客户在第一时间了解账户变动信息。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
工商银行、招商银行等还于几年前<wbr>推出可保存在硬盘或USB存储器<wbr>上的移动证书,客户可以随身携带<wbr>这种电子证书。在进行部分网上银<wbr>行交易前,客户必须使用密码、C<wbr>VV码和电子证书进行三重校验,<wbr>确认身份后才能开始交易,以防资<wbr>金被盗用。</wbr></wbr></wbr></wbr></wbr></wbr></wbr>
7.我国香港地区的银行卡密码和<wbr>电子证书双重认证<br><br>香港地区银行业于2005年6月<wbr>推出双重认证。客户在交易时必须<wbr>同时使用密码和电子证书确认身份<wbr>。由于香港的智能身份证已含有内<wbr>置的安全证书,这种双重认证方法<wbr>可有效确认客户身份,但智能身份<wbr>证中的安全证书必须使用特殊设备<wbr>读取,在使用时尚有一定程度的不<wbr>便。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
8.我国香港地区的银行卡密码和<wbr>手机短信密码双重认证</wbr>
香港地区部分银行已就网上银行交<wbr>易推出双重认证,客户在发出交易<wbr>需求后,银行用手机短信向客户发<wbr>出一次性密码,只有在输入银行卡<wbr>密码和一次性密码后,整个交易才<wbr>能被确认并完成。</wbr></wbr></wbr></wbr></wbr>
9.我国香港地区的银行卡密码和<wbr>保安编码器双重认证</wbr>
香港恒生、汇丰银行通过向客户发放<wbr>保安编码器的方式保障银行卡交易<wbr>安全。保安编码器仅有拇指大小,<wbr>有一个液晶屏、一个按钮和一个钥<wbr>匙环。每个编码器都有独特编号,可与银行卡号挂接。编码器<wbr>有内置时钟,每次按下按钮,会根<wbr>据编码器编号和交易时间生成6位<wbr>数密码。客户必须同时输入银行卡<wbr>密码和编码器密码,才能获得身份认证。由于编码器密码与交<wbr>易时间挂钩,所以每次生成的密码<wbr>都不一样,而且每个密码在很短时<wbr>间内就会失效,即使被他人偷看或<wbr>记录下银行卡号、银行卡密码和保安密码,几分钟后保安密码<wbr>就无法使用了。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
汇丰银行与恒生银行在如何使用保<wbr>安编码器上采用了不同的选择。恒<wbr>生银行将保安编码器作为高风险银行服务的保障手段,仅在客户<wbr>需要向未登记账户转账或支付时才<wbr>用到保安密码,因此客户必须去银<wbr>行主动申请并被确认曾使用过高风<wbr>险银行服务,才能免费得到保安编码器。汇丰相对更谨慎一些<wbr>,不但为每个用户都免费发放保安<wbr>编码器,而且要求例如登录网上银<wbr>行查看账户等最基本的操作,都必<wbr>须使用保安编码器,因此操作安全性比恒生银行更高,但程序<wbr>相对更为复杂。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
三、几点思考
目前,我国各商业银行采取的磁条<wbr>银行卡密码技术基本与国际接轨。前述的8项国际通行银行<wbr>卡密码校验技术,除SET和EM<wbr>V外,有6项已被我国商业银行普<wbr>遍采用。但必须看到,国内已发生<wbr>的各类银行卡泄密案件中,与银行卡密码密切相关的风险主要<wbr>在于:一是部分商业银行没有真正<wbr>履行好风险防范义务,在系统维护<wbr>过程中未严格控制操作流程,导致<wbr>密码技术管理存在疏漏而泄密;二是日常业务中未明确提示持<wbr>卡人仔细阅读领用合约或有关协议<wbr>,持卡人因缺乏安全保护意识或防<wbr>护措施不全,将账号和密码泄漏给<wbr>第三人,从而产生风险;三是社会上一些不法分子将犯罪目标<wbr>锁定在银行卡上。因此,不能单纯<wbr>通过提高密码技术防范风险。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
1.在密码技术和校验方法上双管<wbr>齐下,构筑银行卡的安全保障</wbr>
在银行卡产业持续快速发展、基于银<wbr>行卡的交易量逐年上升、银行卡适<wbr>用范围不断扩大的形势下,各商业<wbr>银行还应进一步加强银行卡安全技<wbr>术的研究和应用,除使用国际通行的免费技术和标准外,应研<wbr>究和借鉴国外部分银行的有效做法<wbr>,形成自身独特的密码设置和校验<wbr>方法,进一步从技术和操作两方面<wbr>有效防范风险。</wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
2.业务操作和宣传教育双管齐下<wbr>,防范银行卡密码风险</wbr>
一是商业银行要加强对银行卡业务操<wbr>作风险的控制,完善操作制度和业<wbr>务流程,提高银行卡业务的电子化<wbr>、自动化、封闭化运行程度;二是<wbr>要将有关银行卡的公共教育宣传工作落实到银行卡业务的各个<wbr>环节中去,切实增强银行卡使用者<wbr>的风险防范意识,使持卡人清楚认<wbr>识到因不正确用卡而带来的风险将<wbr>由自己承担,掌握并认真执行基本风险防范方法,进而对商业<wbr>银行风险防范工作进行社会监督。<wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
3.技术性研究和应用性研究双管<wbr>齐下,逐步推行EMV迁移技术</wbr>
芯片卡相对于磁条卡而言更加安全。<wbr>由于我国各商业银行发行的芯片卡<wbr>数量很少,而且每张多功能芯片卡<wbr>的制作成本远远高于空白磁条卡的<wbr>成本,其后台系统的升级成本更高,因此,目前我国芯片卡大<wbr>部分用于封闭领域,如相对独立的<wbr>校园、连锁加油站、公交、地铁等<wbr>,尚未在开放市场上通用。随着计<wbr>算机技术的突飞猛进,芯片产品的平均价格大约每年下降20<wbr>%~30%,可以预期,我国的银<wbr>行卡技术将随着信息技术的飞速发<wbr>展逐步实现升级换代 </wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
扫一扫
6260
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
