本文作者：雷鋒網(wǎng)宅客頻道網(wǎng)絡(luò)安全作者，李勤

自從雷鋒網(wǎng)發(fā)布了一篇《暗網(wǎng)買信用卡紀(jì)實(shí)：親測(cè)盜刷無(wú)門檻》后，就有很多人加雷鋒網(wǎng)宅客大姐姐的微信。

本來(lái)我以為，又多了好多粉絲呀，真開心。

萬(wàn)萬(wàn)沒想到，童鞋們開口的第一句話是：請(qǐng)問暗網(wǎng)怎么上？我想買張信用卡。

這……之前發(fā)文并不是教你詐……

我感受到了危機(jī)，覺得這樣的人要是多了起來(lái)，信用卡分分鐘要被搞走的樣子，很不安全。

在宅客大姐姐惴惴不安，以為上篇發(fā)文為黑產(chǎn)無(wú)意中做了“貢獻(xiàn)”時(shí)，突然聽到了一個(gè)消息，數(shù)月前萬(wàn)事達(dá)卡（MasterCard）曾開發(fā)了一款內(nèi)置指紋識(shí)別的信用卡。

這種指紋銀行卡的外觀、厚度與傳統(tǒng)銀行卡差不多，內(nèi)置的指紋傳感器很小，位于銀行卡右上角。

這是一張?jiān)鯓拥目ǎ?/span>

最初聽到這個(gè)消息時(shí)，是在瑞典指紋識(shí)別廠商  Precise Biometrics（以下簡(jiǎn)稱PB）的媒體溝通會(huì)上，當(dāng)時(shí)該公司中國(guó)區(qū)域市場(chǎng)負(fù)責(zé)人陳昭逸手持一張黑色信用卡，為現(xiàn)場(chǎng)媒體演示了如何使用該卡。

據(jù)陳昭逸介紹，使用這張指紋信用卡的基本流程是：信用卡插入可讀取芯片的支付終端后，會(huì)要求使用者提供指紋，驗(yàn)證身份。傳感器讀取使用者的指紋后，將指紋數(shù)據(jù)發(fā)送到銀行卡的芯片中進(jìn)行比較，判斷使用者身份，最終選擇完成或者終止支付活動(dòng)。

這意味著，就算信用卡掉了或者被盜，被盜刷的幾率大大降低了！

PB 是為萬(wàn)事達(dá)提供指紋識(shí)別安全方案的廠商之一，陳昭逸告訴我：這種加載了比較成熟的安全認(rèn)證方案的信用卡不需要商戶更換機(jī)器。

這就意味著不會(huì)增加更換機(jī)器成本，聽起來(lái)是筆喜大普奔的買賣呢。

在我正開心地為信用卡的安全認(rèn)證進(jìn)步并似乎看到大規(guī)模商用的可能性之時(shí)，該市場(chǎng)人員很坦誠(chéng)地補(bǔ)充，這張信用卡還是試用中，其實(shí)成本相對(duì)比較高。

我臉一紅，弱弱問了一句我最關(guān)心的問題：我這樣的人買得起嗎？

陳昭逸不敢告訴我實(shí)際成本價(jià)格，因?yàn)槠渑c萬(wàn)事達(dá)簽署了保密協(xié)議。但是，他謹(jǐn)慎地在不戳破我小小的自信心的情況下表示：其實(shí)這種卡對(duì)于有錢人來(lái)說(shuō)，不算什么呢……

秒懂。

雖然姐現(xiàn)在不是有錢人，但萬(wàn)一有一天成了有錢人呢？于是，我不死心，除了價(jià)格之外，還問了兩個(gè)最關(guān)心的問題：

可以錄幾個(gè)指紋？需要現(xiàn)場(chǎng)錄入嗎？（萬(wàn)一不小心戳破了一個(gè)手指，弄壞了指紋怎么辦？）

這張卡要充電嗎？充電一次能用多少次？沒電了不能識(shí)別我的指紋的話還能用卡嗎？

好消息是，至少這張信用卡可以儲(chǔ)備兩個(gè)指紋，需要去銀行辦理信用卡時(shí)錄入，但是不能是你和你老婆的，只能是你一個(gè)人的（擔(dān)憂老婆愛剁手的男讀者請(qǐng)放心，你老婆用不了這張信用卡）。

壞消息是，這張卡需要充電，要么使用專門的充電器，要么在插入讀取設(shè)備時(shí)自動(dòng)通電，一次充電可以刷卡200次。為了節(jié)省電量，可以在使用時(shí)才打開指紋識(shí)別模塊的開關(guān)。

沒電了的話……是否可以有普通的刷卡流程可以替代，還是直接像上次宅客頻道大姐姐那樣，發(fā)現(xiàn)也沒有帶現(xiàn)金和余額不為0 的銀行卡，加上倒霉催的不好意思借錢后，直接把臉一捂，把“買買買”的東西還給店員，接受尷尬的“鄙視”？

陳昭逸稱，也許在辦卡時(shí)用戶和銀行會(huì)就約定相應(yīng)的情況約定替換方案，具體要看發(fā)卡行與用戶的約定。

另一種觀點(diǎn)：藏在SE中的安全

在我因?yàn)榭ㄙM(fèi)和要充電這種操作而覺得這張信用卡略雞肋時(shí)，又看到了友媒一童鞋不支持該卡的觀點(diǎn)：“萬(wàn)事達(dá)卡憑什么覺得這個(gè)時(shí)代用戶還愿意專門去一趟銀行換卡？開發(fā)生物識(shí)別支付方式，就是想讓用戶不用總是要帶錢包或者銀行卡，現(xiàn)在居然只是在銀行卡上加入一個(gè)指紋識(shí)別?！?/p>

潛臺(tái)詞是：我們都已經(jīng)被“養(yǎng)”得這么“懶”了，你居然好意思畫蛇添足地想出這么個(gè)鬼方案？

（看到了這一個(gè)理由后，我進(jìn)行了激烈的思想斗爭(zhēng)）

但是，這并不是一場(chǎng)普通的銀行卡，這是一張看上去能反盜刷的信用卡呢！雖然我是網(wǎng)絡(luò)安全行業(yè)一個(gè)不入流的報(bào)道者（此處只是謙虛），但是“安全”對(duì)我來(lái)說(shuō)是頭等考慮因素呢！

（經(jīng)過激烈的思想斗爭(zhēng)后，感覺我不能一棍子打死這張卡，而是需要了解更多信息）

恰巧，前幾天，宅客大姐姐又參加了一個(gè)老牌智能卡廠商、數(shù)字安全公司金雅拓的媒體溝通會(huì)。

冥冥中自有天意，金雅拓也是萬(wàn)事達(dá)這張神器的指紋識(shí)別信用卡的合作伙伴之一。

金雅拓中國(guó)區(qū)銀行與支付業(yè)務(wù)市場(chǎng)部經(jīng)理魏暉透露，目前萬(wàn)事達(dá)的這張卡正在南非地區(qū)試點(diǎn)，“我們預(yù)計(jì)在今年，跟這些相關(guān)的卡組織、相關(guān)機(jī)構(gòu)完成一些實(shí)驗(yàn)性工作。”

魏暉闡述了他們與萬(wàn)事達(dá)在銀行卡領(lǐng)域引入生物識(shí)別技術(shù)方面的考量：

第一，在支付方式上，用戶越來(lái)越青睞生物識(shí)別技術(shù)，尤其是指紋識(shí)別技術(shù)，越來(lái)越多的用戶已經(jīng)在手機(jī)終端上接受使用指紋識(shí)別技術(shù)，比如，Apple Pay、華為Pay等?？上У氖?，目前在銀行卡上，還不行。

所以，當(dāng)用戶在用銀行卡時(shí)，可能還得用傳統(tǒng)方式輸入密碼，或者簽字等，這是用戶體驗(yàn)方面缺憾之一。

第二，生物識(shí)別技術(shù)有很多潛在好處，但是行業(yè)里很多人有所顧慮，擔(dān)心生物識(shí)別信息會(huì)因惡意攻擊被泄露。很多國(guó)家和地區(qū)有相關(guān)的監(jiān)管要求，比如，這種生物識(shí)別涉及到個(gè)人隱私，必須要得到相關(guān)法律、技術(shù)等各方面保障。

第三，生物識(shí)別技術(shù)在越來(lái)越多設(shè)備上應(yīng)用傳輸，會(huì)不會(huì)因?yàn)橐恍┞┒幢环欠ǚ肿痈`取，在這個(gè)行業(yè)里面其實(shí)有很多人在探討。比如，生物信息在什么場(chǎng)景下只能存儲(chǔ)在某一離線終端設(shè)備上，什么場(chǎng)景下這個(gè)信息是可以存儲(chǔ)在云端或者服務(wù)器端，要結(jié)合不同法律法規(guī)和監(jiān)管要求。

如果說(shuō)第一點(diǎn)產(chǎn)生了需求，那么第二點(diǎn)和第三點(diǎn)就是在展示智能卡的優(yōu)勢(shì)了。所以魏暉說(shuō)，在這種指紋識(shí)別信用卡上，所有生物識(shí)別信息存儲(chǔ)在銀行卡上的 SE 中，安全性、保密性等有充分保障。

宅客大姐姐查閱了公開資料，SE 是一個(gè)CPU卡，可以運(yùn)行智能卡應(yīng)用程序（稱為小應(yīng)用或卡應(yīng)用）。一個(gè)智能卡從本質(zhì)上講就是在單一芯片上的微型計(jì)算環(huán)境，具有完備的CPU、ROM、EEPROM、RAM和I/O接口。一般智能卡還具有密鑰算法協(xié)處理器，可以支持常用的加解密算法，例如，DES、AES和RSA等。智能卡通過多種技術(shù)實(shí)現(xiàn)抗攻擊特性，很難通過分解或分析芯片提取數(shù)據(jù)。

事實(shí)上手機(jī)用戶對(duì) SE 都不陌生，因?yàn)槭謾C(jī)的 SIM 卡本身就是一個(gè)SE 。

原來(lái)是個(gè)老熟人！

因?yàn)樗行畔⑹窃?SE 里存儲(chǔ)完成，這張銀行卡在任何的應(yīng)用場(chǎng)景下、在任何不同支付終端上，不會(huì)有任何隱私生物信息的傳遞，因此不會(huì)涉及到現(xiàn)有支付環(huán)境、支付設(shè)備的改造，沒有任何影響。

“所以，其安全性能夠得到充分保障，這也是行業(yè)里很多人對(duì)該方案比較認(rèn)可和關(guān)注的重要原因之一?！蔽簳熣f(shuō)。

但是，關(guān)于這種帶指紋識(shí)別的信用卡，還有許多有待市場(chǎng)驗(yàn)證的變動(dòng)。比如，魏暉就稱，到底要不要做成充電式的信用卡，現(xiàn)在也有幾個(gè)方案在討論，這意味著，之前大姐姐獲得的信息并不是定論，他們也在試水。

安全還是便利：尋找平衡點(diǎn)

所以，有了帶指紋識(shí)別的信用卡，我還怕暗網(wǎng)買卡人嗎？我的結(jié)論是：南非的朋友們，有錢你先試。試好了，萬(wàn)事達(dá)對(duì)上述問題有解決措施，市場(chǎng)就會(huì)給其反饋。

以前，常有做移動(dòng)支付的朋友對(duì)我說(shuō)，不同支付方案總在便利性和安全性之間尋找一個(gè)平衡點(diǎn)。

對(duì)于這一點(diǎn)，這種指紋識(shí)別信用卡能不能準(zhǔn)確把握？

你來(lái)定。

至于童鞋們要爭(zhēng)論指紋識(shí)別是否安全，這又是另外一個(gè)話題了。至少，就PB 和金雅拓而言，都卯足了勁與假指紋作斗爭(zhēng)，各家也都有自己的“攻防”方案，自此不再贅述。有興趣可以上雷鋒網(wǎng)搜索“指紋識(shí)別”，相信應(yīng)對(duì)“假指紋”的攻防戰(zhàn)會(huì)讓你大吃一驚。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。