本文作者：雷鋒網(wǎng)宅客頻道網(wǎng)絡(luò)安全作者，李勤

自從雷鋒網(wǎng)發(fā)布了一篇《暗網(wǎng)買信用卡紀(jì)實：親測盜刷無門檻》后，就有很多人加雷鋒網(wǎng)宅客大姐姐的微信。

本來我以為，又多了好多粉絲呀，真開心。

萬萬沒想到，童鞋們開口的第一句話是：請問暗網(wǎng)怎么上？我想買張信用卡。

這……之前發(fā)文并不是教你詐……

我感受到了危機，覺得這樣的人要是多了起來，信用卡分分鐘要被搞走的樣子，很不安全。

在宅客大姐姐惴惴不安，以為上篇發(fā)文為黑產(chǎn)無意中做了“貢獻”時，突然聽到了一個消息，數(shù)月前萬事達卡（MasterCard）曾開發(fā)了一款內(nèi)置指紋識別的信用卡。

這種指紋銀行卡的外觀、厚度與傳統(tǒng)銀行卡差不多，內(nèi)置的指紋傳感器很小，位于銀行卡右上角。

這是一張怎樣的卡？

最初聽到這個消息時，是在瑞典指紋識別廠商  Precise Biometrics（以下簡稱PB）的媒體溝通會上，當(dāng)時該公司中國區(qū)域市場負(fù)責(zé)人陳昭逸手持一張黑色信用卡，為現(xiàn)場媒體演示了如何使用該卡。

據(jù)陳昭逸介紹，使用這張指紋信用卡的基本流程是：信用卡插入可讀取芯片的支付終端后，會要求使用者提供指紋，驗證身份。傳感器讀取使用者的指紋后，將指紋數(shù)據(jù)發(fā)送到銀行卡的芯片中進行比較，判斷使用者身份，最終選擇完成或者終止支付活動。

這意味著，就算信用卡掉了或者被盜，被盜刷的幾率大大降低了！

PB 是為萬事達提供指紋識別安全方案的廠商之一，陳昭逸告訴我：這種加載了比較成熟的安全認(rèn)證方案的信用卡不需要商戶更換機器。

這就意味著不會增加更換機器成本，聽起來是筆喜大普奔的買賣呢。

在我正開心地為信用卡的安全認(rèn)證進步并似乎看到大規(guī)模商用的可能性之時，該市場人員很坦誠地補充，這張信用卡還是試用中，其實成本相對比較高。

我臉一紅，弱弱問了一句我最關(guān)心的問題：我這樣的人買得起嗎？

陳昭逸不敢告訴我實際成本價格，因為其與萬事達簽署了保密協(xié)議。但是，他謹(jǐn)慎地在不戳破我小小的自信心的情況下表示：其實這種卡對于有錢人來說，不算什么呢……

秒懂。

雖然姐現(xiàn)在不是有錢人，但萬一有一天成了有錢人呢？于是，我不死心，除了價格之外，還問了兩個最關(guān)心的問題：

可以錄幾個指紋？需要現(xiàn)場錄入嗎？（萬一不小心戳破了一個手指，弄壞了指紋怎么辦？）

這張卡要充電嗎？充電一次能用多少次？沒電了不能識別我的指紋的話還能用卡嗎？

好消息是，至少這張信用卡可以儲備兩個指紋，需要去銀行辦理信用卡時錄入，但是不能是你和你老婆的，只能是你一個人的（擔(dān)憂老婆愛剁手的男讀者請放心，你老婆用不了這張信用卡）。

壞消息是，這張卡需要充電，要么使用專門的充電器，要么在插入讀取設(shè)備時自動通電，一次充電可以刷卡200次。為了節(jié)省電量，可以在使用時才打開指紋識別模塊的開關(guān)。

沒電了的話……是否可以有普通的刷卡流程可以替代，還是直接像上次宅客頻道大姐姐那樣，發(fā)現(xiàn)也沒有帶現(xiàn)金和余額不為0 的銀行卡，加上倒霉催的不好意思借錢后，直接把臉一捂，把“買買買”的東西還給店員，接受尷尬的“鄙視”？

陳昭逸稱，也許在辦卡時用戶和銀行會就約定相應(yīng)的情況約定替換方案，具體要看發(fā)卡行與用戶的約定。

另一種觀點：藏在SE中的安全

在我因為卡費和要充電這種操作而覺得這張信用卡略雞肋時，又看到了友媒一童鞋不支持該卡的觀點：“萬事達卡憑什么覺得這個時代用戶還愿意專門去一趟銀行換卡？開發(fā)生物識別支付方式，就是想讓用戶不用總是要帶錢包或者銀行卡，現(xiàn)在居然只是在銀行卡上加入一個指紋識別?！?/p>

潛臺詞是：我們都已經(jīng)被“養(yǎng)”得這么“懶”了，你居然好意思畫蛇添足地想出這么個鬼方案？

（看到了這一個理由后，我進行了激烈的思想斗爭）

但是，這并不是一場普通的銀行卡，這是一張看上去能反盜刷的信用卡呢！雖然我是網(wǎng)絡(luò)安全行業(yè)一個不入流的報道者（此處只是謙虛），但是“安全”對我來說是頭等考慮因素呢！

（經(jīng)過激烈的思想斗爭后，感覺我不能一棍子打死這張卡，而是需要了解更多信息）

恰巧，前幾天，宅客大姐姐又參加了一個老牌智能卡廠商、數(shù)字安全公司金雅拓的媒體溝通會。

冥冥中自有天意，金雅拓也是萬事達這張神器的指紋識別信用卡的合作伙伴之一。

金雅拓中國區(qū)銀行與支付業(yè)務(wù)市場部經(jīng)理魏暉透露，目前萬事達的這張卡正在南非地區(qū)試點，“我們預(yù)計在今年，跟這些相關(guān)的卡組織、相關(guān)機構(gòu)完成一些實驗性工作?！?/p>

魏暉闡述了他們與萬事達在銀行卡領(lǐng)域引入生物識別技術(shù)方面的考量：

第一，在支付方式上，用戶越來越青睞生物識別技術(shù)，尤其是指紋識別技術(shù)，越來越多的用戶已經(jīng)在手機終端上接受使用指紋識別技術(shù)，比如，Apple Pay、華為Pay等?？上У氖牵壳霸阢y行卡上，還不行。

所以，當(dāng)用戶在用銀行卡時，可能還得用傳統(tǒng)方式輸入密碼，或者簽字等，這是用戶體驗方面缺憾之一。

第二，生物識別技術(shù)有很多潛在好處，但是行業(yè)里很多人有所顧慮，擔(dān)心生物識別信息會因惡意攻擊被泄露。很多國家和地區(qū)有相關(guān)的監(jiān)管要求，比如，這種生物識別涉及到個人隱私，必須要得到相關(guān)法律、技術(shù)等各方面保障。

第三，生物識別技術(shù)在越來越多設(shè)備上應(yīng)用傳輸，會不會因為一些漏洞被非法分子竊取，在這個行業(yè)里面其實有很多人在探討。比如，生物信息在什么場景下只能存儲在某一離線終端設(shè)備上，什么場景下這個信息是可以存儲在云端或者服務(wù)器端，要結(jié)合不同法律法規(guī)和監(jiān)管要求。

如果說第一點產(chǎn)生了需求，那么第二點和第三點就是在展示智能卡的優(yōu)勢了。所以魏暉說，在這種指紋識別信用卡上，所有生物識別信息存儲在銀行卡上的 SE 中，安全性、保密性等有充分保障。

宅客大姐姐查閱了公開資料，SE 是一個CPU卡，可以運行智能卡應(yīng)用程序（稱為小應(yīng)用或卡應(yīng)用）。一個智能卡從本質(zhì)上講就是在單一芯片上的微型計算環(huán)境，具有完備的CPU、ROM、EEPROM、RAM和I/O接口。一般智能卡還具有密鑰算法協(xié)處理器，可以支持常用的加解密算法，例如，DES、AES和RSA等。智能卡通過多種技術(shù)實現(xiàn)抗攻擊特性，很難通過分解或分析芯片提取數(shù)據(jù)。

事實上手機用戶對 SE 都不陌生，因為手機的 SIM 卡本身就是一個SE 。

原來是個老熟人！

因為所有信息是在 SE 里存儲完成，這張銀行卡在任何的應(yīng)用場景下、在任何不同支付終端上，不會有任何隱私生物信息的傳遞，因此不會涉及到現(xiàn)有支付環(huán)境、支付設(shè)備的改造，沒有任何影響。

“所以，其安全性能夠得到充分保障，這也是行業(yè)里很多人對該方案比較認(rèn)可和關(guān)注的重要原因之一?！蔽簳熣f。

但是，關(guān)于這種帶指紋識別的信用卡，還有許多有待市場驗證的變動。比如，魏暉就稱，到底要不要做成充電式的信用卡，現(xiàn)在也有幾個方案在討論，這意味著，之前大姐姐獲得的信息并不是定論，他們也在試水。

安全還是便利：尋找平衡點

所以，有了帶指紋識別的信用卡，我還怕暗網(wǎng)買卡人嗎？我的結(jié)論是：南非的朋友們，有錢你先試。試好了，萬事達對上述問題有解決措施，市場就會給其反饋。

以前，常有做移動支付的朋友對我說，不同支付方案總在便利性和安全性之間尋找一個平衡點。

對于這一點，這種指紋識別信用卡能不能準(zhǔn)確把握？

你來定。

至于童鞋們要爭論指紋識別是否安全，這又是另外一個話題了。至少，就PB 和金雅拓而言，都卯足了勁與假指紋作斗爭，各家也都有自己的“攻防”方案，自此不再贅述。有興趣可以上雷鋒網(wǎng)搜索“指紋識別”，相信應(yīng)對“假指紋”的攻防戰(zhàn)會讓你大吃一驚。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。