2006年10月30日 星期一

RFID信用卡安全受質疑 但發卡公司堅稱付費系統裡額外的資料保護與反詐騙措施會提供完整保護

紐約時報週二報導,一群研究人員發現使用無線射頻辨識(RFID)技術的新一代信用卡有安全性與隱私外洩的漏洞。但信用卡公司堅稱,這項駭人聽聞的研究結果在現實世界不見得會發生,而且付費系統裡額外的資料保護與反詐騙措施會提供消費者完整的保護。    這項實驗是由資訊管理與儲存公司EMC旗下RSA數據安全實驗室的研究人員所執行。他們在測試威士(Visa)、萬事達卡(MasterCard)與美國運通(American Express)這三家發卡機構所發出的二十張RFID信用卡(即不必刷卡,感應式的),發現傳輸資料時,持卡者的姓名與其他資料以純文字格式進行,並未加密,而且他們只需使用一台由現成的電腦與無線電零件所組裝、花費約一百五十美元、相當於一本平裝書大小的設備,就可讀取並儲存信用卡持卡人的資料。    這些研究人員說,他們有可能製造另一台更小更便宜的設備,約莫一包口香糖大小,而且費用不到五十美元。    由於這些新一代信用卡就算隔著皮夾與衣服,還是能被讀取得到,資料安全性堪慮,之前就已引來隱私權保護團體與消費者團體對此強烈質疑。    威士的新興產品開發資深副總崔普雷特表示,「這是個有趣的技術練習,但以對一位消費者的實際威脅而言,那樣的威脅實際上並不存在。」    這些發卡公司並指出,只測試二十張卡並不能提供信用卡市場確切的情形;通常信用卡市場使用的安全標準要比測試信用卡時更高。萬事達卡的一位主管克蘭茲利表示研究取樣太少。他說,「這好似有人在戲院裡大叫,『失火了!』因為有人點了一根菸。」    發卡公司表示,雖然有可能以純文字格式傳輸信用卡上的資訊,但使用信用卡購物須經過使每一筆交易獨一無二的加密驗證程序。他們表示,大多數信用卡實際上會送出一組跟卡號不同的假數據,此組數據只能與在送出前已加密的「語彙基元(token)」連用。美國運通主管預付卡的副總裁兼總經理波那勒指出,基本上這是無用的資訊,不能在竊取後再回頭使用,以為交易會完成。 資料來源: 工商時報 2006/10/25

沒有留言: