当 Visa 周二推出适用于 EMV 的 Quick Chip 时,零售商陷入了尴尬但有趣的境地
当 Visa 周二(4 月 19 日)推出适用于 EMV 的 Quick Chip 时,零售商陷入了尴尬但有趣的境地。这项工作是一种不同的 EMV 实施,允许购物者在大约两秒钟内从读卡器中取出支付卡,而不是像现在那样将卡留在读卡器中,直到整个交易完成。
好消息:Quick Chip 消除了 EMV 流程中最令人讨厌的部分,即购物者在整个结账期间必须将卡留在读卡器中的部分。坏消息:尽管大多数人认为这一变化非常有利,但它实际上可能会阻碍 EMV 部署工作,因为这将是另一种需要学习的行为。这就提出了一个问题:当目标是大规模采用新行为时,是否一定比一致更好?
首先,让我们弄清楚细节。为了向消费者传达这一举措的优势,Visa 发行了新闻稿这对事实进行了一些改动。例如,它说 Quick Chip“加快了结账时间”。它显然不会这样做。如果杂货店顾客的购物车中有 72 件商品,则结账时间将是处理这些商品并获得付款授权码所需的时间。卡需要在读卡器中停留多长时间不会影响结账时间,因为即使现有的机制也会在结账完成后立即释放卡。
Visa 应该说的是,结账对于顾客来说可能看起来更舒服,因为它更接近他们习惯的磁条卡。如果你想真正延伸一下这一点,我想如果有人在 7-11 购买一件商品,他可能需要额外几秒钟的时间才能从读卡器中取出 EMV 卡并将其放回钱包中 — 这一操作原本可以完成尽管收银员正在施展结账魔法。但在这种罕见的情况下,Quick Chip 可能会无限地为更快的体验做出贡献。即使这样也不会加快结帐时间。
总而言之,购物者对速度、便利性和舒适度的看法极其重要。允许购物者在大约两秒内取出卡(Quick Chip 就是这样做的),使体验更接近通常的磁条体验。磁条可以更快——只要第一次滑动被接受——但它已经足够接近了。
正如你们许多人可能已经猜到的那样,这种便利会带来安全成本,但 Visa 并不担心这一点。中间人攻击的风险可能稍大一些。要了解安全问题,我们需要深入研究Quick Chip的工作原理。在创建 EMV 交易所需的密码时,EMV 交易正在等待最终的美元金额。使用快速芯片方法,密码是在交易前端生成的,用随机值替换实际金额——知道实际金额将在交易结束时输入。
Visa 全球风险产品副总裁斯蒂芬妮·埃里克森 (Stephanie Ericksen) 表示:“我们允许在授权恢复之前将卡从终端中取出。”这在美国工作得很好,因为美国交易是在线进行的,因此没有需要重置的离线计数器。这种仅在线交易的现实使美国市场有别于许多其他市场。
智能卡联盟执行董事兰迪·范德胡夫 (Randy Vanderhoof) 同意弗里德曼的安全观点。他说:“由于没有等待销售的实际交易价值包含在发送给发行人的密码中,并且商家终端没有验证返回的密码,因此数据安全流程被中断。”
Ingenico 支付解决方案副总裁艾伦·弗里德曼 (Allen Friedman) 表示,安全漏洞虽小但确实存在。 “作为授权响应的一部分,它确实消除了发卡机构更新卡的情况,而且还消除了验证(其中一个要素),”他说。 “被放弃的部分是与中间人攻击有关的第二层安全。”
具体来说,授权响应消息中有一个响应密码,芯片应该验证它。弗里德曼说:“这样就有了两个相互验证的实体。”他补充说,他认为此类攻击目前不是一个主要问题。
缺乏担忧的部分原因是 Visa 不希望所有商家都提供此服务,弗里德曼也不希望这样做,因此只要大多数交易仍然保持完全的安全性,就不应该成为问题。这就是事情变得有趣的地方。该计划对于商户来说是可选的,而某些类型的商户——QSR、便利店、多车道杂货店、大批量折扣店、咖啡店以及任何其他注重速度的地方——是 Visa 唯一要推动的项目。这意味着不仅 Visa EMV 的行为与 MasterCard EMV 和 American Express EMV 不同,而且不同商家的体验也会有所不同。
这才是真正的问题。要让消费者改变任何行为——尤其是支付行为——需要大量重复、愉快的互动。事实上,这是 Apple Pay 和 Google Wallet 等 NFC 支付的最大障碍之一。即使对于喜欢进行 NFC 支付的顾客来说,也没有足够多的商家接受 NFC 支付,让其成为一种习惯,感觉很正常。
EMV 接受度正在迅速增长,如今有很多主流零售商已经升级支持 EMV 卡。下一个技巧是让客户使用他们的 EMV 卡,并使用他们的芯片功能,而不是用磁条刷卡。
通过降低 EMV 购买体验的一致性(从一个商家到另一个商家,从一张卡到另一张卡),快速广泛使用 EMV 的目标就会被推迟。事实上,即使是Visa的计划也没有让所有商户都采用Quick Chip,从而保证了不一致的体验。这意味着购物者需要观看支付屏幕并按照屏幕上的提示进行操作——这是美国消费者喜欢做的事情。他们特别喜欢听从电脑的命令。
这就是为什么弗里德曼并不担心轻微的安全漏洞。他并不期望有足够多的商人利用它来产生巨大的影响。
大约六个月前,当 EMV 被大力推向美国时,如果所有卡品牌都采取统一立场,我会对此感觉好得多。如果它因此被推向所有商人。这会给所有人带来更好的体验。在某些时间、某些地方让某些人过得更好并不完全是令人欣快的东西。