Apple Pay 值得信賴嗎？告訴你它背後的運作機制

一旦和財產有關，除了便利之外，人們最關心的就是安全問題。Apple Pay 被認為是真正的下一代數位支付系統，到底它的安全性有多高？TUAW 介紹 Apple Pay 背後的運作機制，告訴我們到底它有多安全。EMV支付系統的 Tokenisation 技術框架，可以在這裡下載。

▲圖片來源

依照 Apple Pay 的機制，使用者的信用卡資訊完全保密。無論是 iPhone 還是店家的伺服器上，都不會保存使用者的信用卡資訊。

當使用者第一次註冊 Apple Pay 的時候，信用卡的資訊會發送到對應的信用卡網路中心，馬上加密。一旦信用卡網路查明信用卡資訊是有效的之後，就會返回一個 Token（直譯為代幣，一組動態加密的代碼）的資訊到使用者的設備上，儲存在 iPhone 的「行動安全支付元件」（Secure Element）裡。

那麼 Token 是什麼東西？它實際上是一串隨機生成，但獨一無二的 16 位數字。它幾乎沒有什麼用途，除了是認為與你的信用卡卡號相關的之外。而且，它僅僅表示信用卡卡號末尾 4 個數字。

2012 年，來自 First Data 的白皮書解釋了 Token 機制的優越性：Token 可以像信用卡一樣，用於商業的銷售報告、市場分析，但不可用於商業環境以外的欺詐交易當中。Token 的好處在於，它在正常的商業交易當中，以最快的速度隱匿了信用卡的卡號。

這個過程是這樣的，一旦用戶透過 Apple Pay 支付，iPhone 就會發送一個 Token 資訊給商家，商家又將 Token 資訊發送給信用卡網路中心，由後者找到相關的信用卡帳戶。然後，信用卡網路馬上聯繫相關的銀行，獲得許可。一旦信用卡資訊得到許可，銀行將返回一個許可資訊，指示商家交易繼續。整個交易之所以安全，是以為它都基於 Token 資訊，而非基於信用卡卡號。

讓人安心的是，駭客無法解密 Token 進而得到用戶的信用卡卡號。

Apple Pay 並非基於數學的方法來為信用卡卡號生成 Token 資訊，因此它生成的 Token 資訊無法使用方程式進行還原，也就得不到信用卡卡號的資訊。在 Apple Pay 當中，一旦載入一張信用卡，系統就會迅速使用隨機生成的 Token 資訊進行替代。換言之，Token 資訊是一次性的，即便有人掌握大量 Token 資訊也是無用的，他也沒辦法透過這些資訊得到使用者的信用卡卡號。

Apple Pay 的使用是和 Touch ID 深度整合的——每一次交易，使用者都需要按下 Touch ID，以完成交易。從表面看，這個操作十分簡單，但是背後實際上並不那麼簡單。每一次交易，Apple Pay 都在密碼保護的情況下，為交易動態生成信用卡安全碼（CVV）。是的，它的作用很像信用卡後面印著的安全碼，只不過是由蘋果的演算法動態生成。

另外，有兩個重要事實需要記住：

在使用 Token 的時候，必須輸入密碼，蘋果利用 TouchID 來實現這個過程；不光如此，密碼還確保 Token 資訊一次只被一個設備使用。

總而言之，蘋果所打造的移動支付功能，是基於 Token 來實現的，它能代表信用卡，卻很難被破解。而且，由於商家不會儲存消費者的信用卡資訊，因此，對於消費者來說，Apple Pay 可以減少個人資訊洩密的風險。

延伸閱讀：

Samsung、PayPal 廣告狂酸 iPhone6：大螢幕沒新意、行動支付不安全

新的 iOS 8 來了，Apple Pay 電子錢包、Quicktype 功能公佈