保证RFID信用卡安全的四项措施
对于RFID安全的担心并不是新鲜事。然而,当美国捷运公司和Chase公司去年开始发放具有RFID功能的信用卡的时候,这些担心就增长了。当马萨诸塞州大学的研究人员今年10月宣布他们突破了信用卡RFID安全功能的时候,这种担心就进一步升级了。
RFID使用
到目前为止,RFID芯片仅用于商品、运输集装箱和家畜的标签。这些小芯片能够通过无线电信号向记录这种数据的读卡器发射有关标签的产品的数据。RFID的应用有自己的好处。一个好处是具有RFID功能的集装箱能够自动进行存货跟踪。由于RFID系统自动把数据转给供应链管理系统,货物不再需要进行人工登记。不过,这个技术对于窃贼也提供了同样的方便。窃贼能够利用RFID的安全漏洞欺骗运输产品或者自己跟踪运输的产品以便偷窃有标签的货物。
RFID安全的担心
由于RFID是嵌入在某些信用卡中的,这就为信用卡诈骗敞开了大门。安全和隐私专家称,他们最担心的是RFID卡能够在空中公开“散发”个人信息。有些人担心,某些恶意用户可以制作一个读卡器偷窃信用卡号码,即使把信用卡安全地放在衣袋里也不能幸免。
马萨诸塞州大学的研究结果是没有帮助的。在一项实验中,这个学校仅用一台价值150美元的家庭制造的设备就“嗅”到了嵌入RFID芯片的信用卡中的用户名和账户号码。为了消除这种担心,信用卡公司做出的回应是反驳这些研究结果。
首先,信用卡公司争辩称,他们的客户信息是受到充分保护的。他们说,RFID信号是采用128位加密的,实际的用户名和卡号并不传输出去。相反,他们的设施在处理信用卡业务的过程中使用一种能够翻译成用户账户信息伪号码。然而,研究人员反驳说,他们检查了Visa公司的信用卡,万事达公司的“OneSmart”卡和American Express ExpressPay公司的信用卡,所有这些卡都发出了没有加密的用户名和账户号码。
然后,这些信用卡公司称,研究人员使用的20个研究样本(只有20个卡)太少。他们到目前为止还没有接到任何这种攻击的报告,也没有看到研究人员制作的这种设备。但是,这种一种含混不清的安全。含糊不清的安全就是不安全的。
RFID安全的挑战
不过,信用卡中的RFID芯片本身就存在一些需要了解的安全难题。RFID芯片很小,内存和存储容量也同样小。这就限制了它能够容纳的数字和加密密钥的长度,从而使它很难实施进行强大加密所需要的公共密钥交换等事情。
另一个有帮助的事情是大多数RFID芯片都是静态的。这种芯片的小容量使其很难制作成能够进行细微调整的可编程芯片。一旦信息刻录到芯片中,芯片中的数据就不能改变了。有些芯片具有有限的远程编程的能力。但是,这种芯片很少。
保证RFID信用卡安全:最佳做法
不要进一步研究这个争论,让我们研究一些保护RFID信用卡安全的最佳做法。遗憾的是,对于许多拥有这种信用卡的消费者来说,还没有很多保护措施,因为这些信用卡的安全措施仍不成熟。使用一种能够封锁无线电信号的盒子携带信用卡对于大多数用户来说是不现实的,用刀子把RFID芯片从信用卡中抠掉也是不现实的。
然而,在填写申请表之前看看这种信用卡是否能够满足某些最低的安全要求还是可能的。在签署协议之前,RFID信用卡申请者应该向发卡机构询问四个问题:
1.确实发出的数据什么?发出的是信用卡号还是代表信用卡的伪号码?RFID芯片能够通过编程发送与卡处理器后端系统上的账号相匹配的伪号码。如果这个伪号码被人嗅到,这个号码对于信用卡窃贼是没有用的。
2.信用卡中发出的数据是不是加密的,如果是加密的,其长度是多少?如果这个信用卡发送用户的真实信息,包括持卡者的名字、账户号和过期时间,那么,所有数据都要以加密的方式传输。应该使用强大的加密措施,至少是128位。
3.这个信用卡的数据能够发送多远?RFID芯片的数据传输距离只能有几英尺,不能传输到停车场以外。传输距离越短,恶意捕捉这个数据的风险就越小。
4.这种信用卡的发行机构是否拥有后台反诈骗系统?检查一下这个发行机构是否使用类似于Fair Issac公司的“Falcon Fraud Manager”(猎鹰诈骗管理器)那样的诈骗检测系统。这种系统不能保护信用卡本身的数据损失,但是,它能够阻止利用恶意窃取的RFID信用卡中的数据进行的诈骗交易。
请记住,RFID信用卡安全仍在发展之中。虽然这些建议不能提供整体的RFID安全,但是,这些建议能为持卡者提供一些缓解威胁的控制方法和保护措施。