萬事達卡攜手聯邦銀行推出全台首張無磁條卡,宣告台灣無磁條卡片時代來臨。綜觀信用卡演變歷史,從最早期紙本簽帳單、凸字壓印機,到後來刷磁條、讀晶片,以及現在使用RFID感應快速付款,信用卡不僅追求消費時方便快速,也設計了多種驗證方法避免信用卡遭人盜刷或盜用。本篇便整理信用卡身分驗證方法的技術演變過程,未來使用信用卡消費時,更能夠了解卡片背後的技術與驗證攻防戰。
忘帶錢包推動信用卡誕生 從手寫單據到凸字壓印
信用卡「先買後付」的消費方法早在19世紀末開始出現,直到1950年,大來卡(Diners Club card)的聯合創始人Frank McNamara某次用餐時忘記帶錢包,開始思考是否有通用的支付方式不需要用到現金或支票。於是,替商務人士建立帳戶賒帳的想法逐步建立,最終推動大來卡誕生,這張信用卡也普遍被視為現代信用卡的開端。
不過,當時信用卡並沒有任何可以搭配的電子設備,因此在信用卡推動初期,店家拿到信用卡後,必須打電話給銀行,由銀行查詢帳戶裡面的餘額是否足夠,並給予店家授權碼,店家必須要手動抄寫顧客卡片上的資訊,將紙本單據寄給銀行撥款,交易過程非常慢而且容易出錯。為了讓交易更加方便,銀行開始在信用卡上加入「凸字」,搭配信用卡壓印機(Credit card imprinter)就能夠在紙上迅速留下卡片和店家的訊息。
信用卡凸字壓印的過程是,顧客把信用卡放入機器的卡槽,店家將複寫紙覆蓋在卡片上,並滑動機器上的滑塊,將卡片的凸字、店家資料壓印在複寫紙上。顧客在複寫紙上簽名,一份當作收據由顧客保留,另一份則是由店家留存,單據也會寄給銀行,由銀行授權付款。
這樣的過程雖然比手動抄寫卡片資訊要快上許多,但還是非常麻煩,店家也必須要在消費前核對卡號是否在銀行提供的黑名單上。此外,消費和實際支付的間隔太長,店家要等好幾天才會收到款項,還有若是顧客使用偽造的信用卡,等到銀行發現時已經太遲。
即使如此,凸字壓印仍然有其優勢,直到近代,有部分場所仍然保留凸字壓印收款。這是因為凸字壓印不需要連接網路就能夠留下信用卡訊息,因此多年前在飛機上、偏遠無網路的地區,信用卡壓印機可以作為備用的支付系統,部分信用卡也仍然保留凸字設計。
將錄音帶磁條貼上信用卡 方便卻引發側錄危機
現代信用卡常見到的磁條起源於1960年代,當時已經發展出錄音帶等與磁條有關的儲存技術,能夠把聲音或電腦資料存放在塑膠磁條裡。1969年,IBM的工程師Forrest Corry Parry萌生了將當時流行的儲存媒介貼在塑膠卡片上的想法,最終他在熨斗燙衣服的靈感啟發下,發現熨燙的方式能夠把磁條熔化、貼到卡片上,也就演變成現代常見的信用卡磁條。
信用卡磁條的材質與錄音帶相似,長條的塑膠帶上會佈滿磁性粒子,而當機器刷卡掃瞄時,可以透過偵測磁場的方向變化辨認出1和0,進而解碼解讀出卡號和其他資訊。信用卡磁條內部包含3個軌道、隱藏的CVV驗證碼,因此在消費刷卡後,機器會從磁條辨認出卡號、有效期限、驗證碼核對卡片資料,再傳送授權請求至銀行,由銀行比對傳送過來的驗證碼和帳戶餘額,若通過就會開放授權,完成消費流程。
使用磁條刷卡的好處在於,店家省下了多個確認卡號與資料的步驟,在刷卡後只需要讓顧客簽名並核對持卡人的身分即可。另外,卡片磁條內部隱藏CVV驗證碼,此驗證碼與信用卡背後肉眼可見的CVV驗證碼不同,可以防止有心人士擅自將可見到的卡片資訊複製至空白的信用卡上。
然而,磁條信用卡最大的問題在於,每次刷卡後傳送出去的資料都相同。因此,只要有人在提款機、刷卡機上面安裝側錄器,那麼當顧客刷卡時,就可以完整複製傳送出去的資料,包括卡號、有效期限、以及驗證碼。換句話說,即使無法透過複製卡號盜取信用卡資料,但若是攔截刷卡資訊,則卡片資料仍然會被盜取使用。
晶片卡動態密碼防側錄 加入PIN碼驗證機制
在磁條信用卡興起之前,已經出現「由電腦晶片驅動的卡片」的相關研究。加入晶片的信用卡就像擁有了具備獨立計算能力的大腦,透過「動態密碼」功能,晶片負責將拿到的資訊搭配專屬的私鑰計算,並將計算結果傳送給刷卡機,刷卡機再傳給銀行,由銀行進行驗算。
晶片信用卡的驗證流程為,顧客將卡片插入刷卡機,刷卡機會給晶片隨機的數字,而晶片會利用內建的私鑰把交易金額、日期、剛剛得到的隨機數字一同進行加密運算,這個算完的結果就稱為ARQC(Authorization Request Cryptogram,授權請求密碼)。晶片將ARQC透過刷卡機交給銀行,銀行再使用對應的公鑰驗算,如果算出來的答案正確無誤,那麼就代表這筆交易確實是由這張卡片提出。因此信用卡的「晶片」就像是獨特且專屬於該張卡片的計算公式,此公式只留在卡片裡面,不會被傳送出去。
在晶片以外,持卡人的身分驗證流程也有所更新。過往仰賴店員辨識簽名,但容易判斷錯誤,而晶片信用卡加入PIN碼驗證機制,當顧客刷卡後,系統會要求輸入PIN碼才能夠消費。此PIN碼可以視作啟用晶片的鑰匙,必須要有正確的鑰匙才會把ARQC密碼傳送給銀行,同時若輸入失敗太多次,那麼晶片就會啟動鎖卡機制。
擁有晶片動態密碼和PIN碼驗證之後,即使提款機、刷卡機被安裝了側錄器,也只能拿到傳送給銀行的ARQC,無法獲得信用卡晶片私鑰。另外,PIN碼僅有持卡人本人知道,也就是說卡片即使被偷,沒有PIN碼就無法解開晶片消費,若PIN碼多次輸入錯誤也會直接鎖卡。
RFID感應消費更快速 卡片不需交給店員
卡片加入晶片後,側錄和盜用的情況的確減少了,不過每次消費都要經過插卡、運算、輸入PIN碼的過程,讓人感到麻煩。於是銀行再次增加信用卡驗證方式,在卡片內加入金屬線圈,因此卡片可以透過磁場啟用晶片,不需要將晶片插入刷卡機,這也就是感應支付的原理。
當內部設有線圈的信用卡靠近刷卡機時,刷卡機周遭有特定頻率的電磁場,而卡片在進入磁場範圍後,線圈內部就會產生微弱的感應電流,利用這電流來喚醒晶片。至於計算方式維持私鑰、隨機數字模式,晶片會將ARQC傳遞給刷卡機,由刷卡機傳送給銀行進行驗算。
感應卡讓顧客不需要把信用卡交給店員就能夠完成交易,且刷卡機磁場強度會隨著距離遞減,因此磁場範圍通常僅有4公分。此點也讓感應消費更為安全,顧客不會因為感應意外觸發消費,且有心人士同樣無法從遠端竊取資料,如果想要盜刷卡片,則讀卡機必須要貼緊卡片才有可能辦到。
話雖如此,仍無法完全避免近距離利用RFID盜刷的可能性,因此部分品牌推出防RFID感應的錢包、隔層等設計,都是為了避免透過近距離感應來盜刷。
信用卡小額支付免簽名 萬事達卡推動無磁條化
信用卡已經成為支付的主要方法之一,而在追求方便的同時,也透過技術革新加強防盜和安全。如今感應支付只要輕輕靠卡就能夠完成消費,而為求小額支付時的簡便和快速,各國都有「免簽名、免密碼」額度,換句話說在此額度以下的靠卡交易不需要簽名或輸入PIN碼驗證。以台灣為例,單筆金額在3000元以下者,通常不需要簽名即可完成交易。
從手寫單據、凸字壓印、磁條化,到晶片卡動態密碼和感應消費,信用卡不斷地尋找方便和安全的平衡,使用各式各樣的驗證方法防止盜用造成經濟損失。如今信用卡通常都會提供多種支付方法,包括磁條、晶片插卡、RFID感應等,然而部分驗證方法使用率較低,例如萬事達卡宣布預計於2033年前全面完成信用卡及簽帳金融卡無磁條化,或許未來「刷卡」的「刷」動作將正式消失,成為歷史的痕跡。
2.jpg){kind=link}