Visa 的 EMV 之争：“更好”还是“一致”？

当 Visa 于周二（4 月 19 日）推出适用于 EMV 的 Quick Chip 时，零售商陷入了尴尬但有趣的境地。这项努力是一种不同的 EMV 实现方式，购物者可以在大约两秒钟内从读卡器中取出支付卡，而不是像现在这样，将卡留在读卡器中，直到整个交易完成。

好消息是：Quick Chip 消除了 EMV 流程中最令人讨厌的部分，即购物者必须在整个结账过程中将卡留在读卡器中。坏消息是：尽管大多数人认为这一变化非常有利，但它实际上可能会阻碍 EMV 部署工作，因为这将是另一个需要学习的行为。这迫使我们思考：当目标是大规模采用一种新行为时，更好是否一定比一致更好？

首先，让我们来了解一下具体细节。为了向消费者传达此举的好处，Visa 发布了新闻稿报道中有些歪曲了事实。例如，报道说 Quick Chip“加快了结账时间”。但显然它并没有做到这一点。如果一位杂货店顾客的购物车中有 72 件商品，那么结账时间就是处理这些商品并获得付款授权码所需的时间。卡需要在读卡器中停留多长时间并不会影响结账时间，因为即使现有的机制也是在结账完成的瞬间释放卡。

Visa 应该说的是，结账可能对客户来说更舒服，因为它更接近他们习惯的磁条卡。如果你想要进一步说明，我想如果有人在 7-Eleven 购买一件商品，他可能需要多花几秒钟才能将 EMV 卡从读卡器中取出并放回钱包——否则他本可以完成这一操作尽管收银员正在施展结账魔法。但这种罕见的情况几乎是 Quick Chip 可能以微弱优势加快结账体验的唯一情况。而且即便如此，也无法加快结账时间。

尽管如此，购物者对速度、便利性和舒适度的感受非常重要。允许购物者在大约两秒钟内取出卡（Quick Chip 就是这样做的）使体验更接近通常的磁条卡体验。磁条卡可以更快——只要第一次刷卡被接受——但它已经足够接近了。

很多人可能已经猜到了，这种便利是有安全成本的，但 Visa 并不担心。中间人攻击的风险可能略大一些。要了解安全问题，我们需要深入了解 Quick Chip 的工作原理。在创建 EMV 交易所需的密码时，EMV 交易正在等待最终的美元金额。使用 Quick Chip 方法，密码是在交易的前端生成的，用随机值代替实际金额——知道实际金额将在交易结束时输入。

“我们允许在授权恢复之前将卡从终端移除，”Visa 全球风险产品副总裁 Stephanie Ericksen 表示。这在美国很有效，因为美国的交易都是在线进行的，因此不需要重置离线计数器。这种仅在线交易的现实使美国市场与许多其他市场区分开来。

智能卡联盟执行董事兰迪·范德霍夫 (Randy Vanderhoof) 同意弗里德曼的安全观点。他说：“由于没有等待销售的实际交易价值被纳入发送给发卡机构的密码中，并且商户终端没有验证返回的密码，数据安全流程被中断。”

Ingenico 支付解决方案副总裁 Allen Friedman 表示，这个安全漏洞很小，但确实存在。“它确实消除了发卡机构在授权响应过程中更新信用卡信息的功能，也消除了（一个）验证元素，”他说。“被删除的部分是第二层安全措施，与中间人攻击有关。”

具体来说，授权响应消息中有一个响应密码，芯片应该验证它。“然后你就有两个实体在互相验证，”弗里德曼说，并补充说，他目前不认为这类攻击是一个主要问题。

缺乏担忧的部分原因是 Visa 不希望所有商家都提供这项服务——弗里德曼也不希望——因此，只要大多数交易仍然保持完全安全，这应该不是问题。事情开始变得有趣了。这项计划对商家来说是可选的，而某些类型的商家——QSR、便利店、多车道杂货店、大批量折扣店、咖啡店和其他任何对速度要求很高的地方——是 Visa 唯一要推广的商家。这意味着，Visa EMV 不仅与万事达卡 EMV 和美国运通 EMV 的行为不同，而且体验也会因商家而异。

这才是真正的问题。要让消费者改变任何行为——尤其是支付行为——需要大量重复、愉快的互动。事实上，这一直是 Apple Pay 和 Google Wallet 等 NFC 支付的最大绊脚石之一。即使对于那些喜欢使用 NFC 支付的客户来说，接受 NFC 支付的商家也不够多，不足以让 NFC 支付成为一种习惯，成为一种常态。

EMV 接受度正在快速增长，如今许多主流零售商都已升级以支持 EMV 卡。下一个技巧是让客户使用他们的 EMV 卡——并使用其芯片功能，而不是使用磁条刷卡。

通过降低 EMV 购买体验的一致性（让其在不同商家、不同卡之间发生变化），EMV 快速广泛使用的目标被推迟了。事实上，即使是 Visa 的计划也没有让所有商家都采用 Quick Chip，从而保证了体验的不一致。这意味着购物者需要看着支付屏幕并按照屏幕的指示行事——这是美国消费者非常喜欢做的事情。他们尤其喜欢听从电脑的命令。

这就是弗里德曼并不担心这个小安全漏洞的原因。他并不认为有足够多的商家会利用这个漏洞带来巨大的影响。