Thanh toán NFC đang chiếm lĩnh thế giới - hoặc ít nhất là cách mạng hóa cách chúng ta thanh toán hàng hóa tại cửa hàng. Trong trường hợp bạn không biết, công nghệ đang bùng nổ ở phần lớn Châu Âu, Canada và Châu Á.
Vương quốc Anh muốn tất cả các thiết bị đầu cuối tại điểm bán hàng không tiếp xúc vào năm 2020, trong khi hơn 53% người Úc sử dụng ứng dụng NFC ít nhất một lần mỗi tuần. Tại Trung Quốc, hệ thống thanh toán NFC đã trở nên phổ biến đến mức các chuyên gia tin rằng đất nước này đang trên đà trở thành xã hội không dùng tiền mặt đầu tiên chỉ trong vòng vài năm ngắn ngủi.
Hoa Kỳ đi sau một chút so với đường cong, nhưng đã đạt được vị thế nhanh chóng. Các doanh nghiệp như McDonalds và Walgreens hiện cung cấp thanh toán không tiếp xúc, với nhiều doanh nghiệp khác luôn trực tuyến.
Khi số lượng doanh nghiệp chấp nhận ứng dụng NFC ngày càng tăng, thì số lượng ứng dụng cũng tăng theo. Nhưng ở Tây bán cầu, có 3 công ty dẫn đầu:Apple Pay, Android Pay và Samsung Pay. Hãy xem xét giá trị bảo mật của từng cái.
Apple Pay
Chúng tôi đã xem xét toàn diện tính bảo mật của Apple Pay trong một bài viết ở nơi khác trên MakeUseOf. Ứng dụng này đã xuất hiện từ năm 2014. Bạn sẽ tìm thấy nó trong tất cả các phiên bản của iPhone 6, 7, 8 và X. Bạn có thể sử dụng nó để thanh toán tại các cửa hàng và nếu sở hữu máy Mac, bạn cũng có thể sử dụng nó để thực hiện thanh toán trực tuyến.
Giống như nhiều ứng dụng, biện pháp bảo mật chính của Apple Pay là mã hóa. Thay vì lưu trữ số thẻ tín dụng thực của bạn trên thiết bị, ứng dụng tạo số tài khoản ảo.
Token hóa hoạt động nhờ vào một quá trình mã hóa phức tạp. Sau khi bạn đã nhập chi tiết thẻ tín dụng của mình vào ứng dụng, thiết bị sẽ mã hóa chúng và gửi chúng đến máy chủ của Apple. Sau khi nhận được các số, Apple sẽ giải mã chúng, thêm mạng thanh toán thẻ của bạn và mã hóa lại chúng bằng một khóa mà chỉ mạng thẻ của bạn mới có thể mở khóa.
Sau đó, nhà cung cấp cho phép bổ sung thẻ, tạo Số tài khoản thiết bị (DAN) dành riêng cho thiết bị, mã hóa thẻ và gửi cho Apple. Apple không thể giải mã nó. Cuối cùng, Apple thêm DAN vào Phần tử bảo mật (SE) trên điện thoại của bạn. Phần tử bảo mật là một công nghệ tiêu chuẩn ngành mà chúng ta sẽ nói rõ hơn về nó ngay sau đây.
Apple cũng bảo vệ bạn khỏi mất mát nhờ ứng dụng Find My iPhone. Nó cho phép bạn xóa thiết bị từ xa và do đó xóa mọi thẻ tín dụng, thẻ ghi nợ, thẻ trả trước và phần thưởng mà bạn đã lưu. Bạn cũng có thể sử dụng trang tài khoản ID Apple của mình để thông báo cho các nhà cung cấp thẻ của bạn. Họ sẽ tự động chặn bất kỳ khoản thanh toán nào được thực hiện thông qua ứng dụng Apple ID.
Tất cả nghe có vẻ tuyệt vời, nhưng Apple Pay thực sự gây ra một số lo ngại về quyền riêng tư. Theo Điều khoản dịch vụ của ứng dụng:
"Apple gửi thông tin về hoạt động tài khoản iTunes và App Store của bạn, thông tin về thiết bị của bạn, thông tin về việc sử dụng thiết bị và vị trí của bạn tại thời điểm bạn thêm thẻ tín dụng, thẻ ghi nợ hoặc thẻ trả trước cho ngân hàng hoặc công ty phát hành thẻ của mình."
Nghe có vẻ đáng lo ngại.
Android Pay
Nhiều tính năng bảo mật cốt lõi của Android Pay cũng giống như Apple Pay. Quá trình mã hóa mã hóa rộng rãi tương tự, nhưng có một điểm khác biệt cơ bản.
Thay vì sử dụng Yếu tố bảo mật để tạo mã thông báo, Android Pay sử dụng một quy trình được gọi là Mô phỏng thẻ máy chủ (HCE).
Mô phỏng thẻ máy chủ đã là một phần của hệ điều hành Android kể từ phiên bản 4.4. Thay vì lưu trữ thông tin xác thực thanh toán trên Phần tử bảo mật bên trong thiết bị, HCE đặt chúng trong môi trường từ xa và sử dụng đám mây để giao tiếp với thiết bị.
Điều này có một số lợi ích chính so với SE vật lý:
- Không gian lưu trữ của SE vật lý có giới hạn, lưu trữ HCE có thể mở rộng.
- Một phần tử HCE có thể sử dụng nhiều sức mạnh tính toán hơn và do đó triển khai các biện pháp bảo mật mạnh mẽ hơn.
- Các SE từ xa được triển khai thông qua HCE dẫn đến ít bên liên quan hơn và chi phí thấp hơn cho người tiêu dùng.
Tuy nhiên, có một nhược điểm về bảo mật:vì HCE dựa trên Phần tử bảo mật từ xa, nó phải cho phép bạn thực hiện thanh toán khi đang ngoại tuyến. Nó giống như sử dụng thẻ tín dụng tạm thời.
Cơ hội không tồn tại lâu; cuối cùng, bạn sẽ phải kết nối lại với máy chủ trước khi có thể thực hiện thêm thanh toán. Nhưng điều đó có nghĩa là ai đó sở hữu thiết bị của bạn và biết số PIN của bạn có thể vô hiệu hóa Wi-Fi của bạn và tiếp tục chi tiêu nhỏ trước khi bạn có thời gian phản ứng. Rủi ro là tối thiểu, nhưng nó tồn tại.
Samsung Pay
Ứng dụng thanh toán NFC cuối cùng trong "ba ông lớn" là Samsung Pay. Đó là câu trả lời của công ty Hàn Quốc đối với Apple Pay. Giống như Apple Pay, đây là một ứng dụng độc quyền chỉ chạy trên các sản phẩm của Samsung.
Trước khi chúng ta đi vào chi tiết bảo mật của ứng dụng, cần đề cập đến một tính năng không được cung cấp bởi Android hoặc Apple. Samsung Pay hỗ trợ thiết bị đầu cuối điểm bán hàng NFC và cũng hoạt động với các đầu đọc Truyền tải an toàn từ tính (MST) và Europay MasterCard Visa (EMV) phổ biến. Như vậy, nó là một sản phẩm toàn diện hơn.
Samsung chống lại Samsung Knox để bảo vệ chống lại hoạt động đáng ngờ. Đổi lại, Knox được xây dựng trên kiến trúc ARM TrustZone. Bảo mật TrustZone có ba khía cạnh, TIMA KeyStore, bảo vệ hạt nhân thời gian thực và chứng thực
Điện thoại Samsung bỏ xa cuốn sách của Apple; Phần tử Bảo mật nằm trên chính thiết bị. Công nghệ HCE không được sử dụng. Trong điện thoại Samsung S8 gần đây, gã khổng lồ bảo mật kỹ thuật số Gemalto chịu trách nhiệm về SE.
Khi thanh toán, cả ba ứng dụng đều rất giống nhau. Bạn sẽ cần sử dụng mã PIN hoặc ID sinh trắc học của mình để ủy quyền cho mỗi lần thanh toán. Đối với số tiền lớn hơn, bạn thường phải cung cấp chữ ký. Do quá trình mã hóa, nhà cung cấp sẽ không bao giờ nhìn thấy chi tiết thẻ của bạn.
Nếu bị mất điện thoại, bạn có thể sử dụng một ứng dụng trực tuyến có thể chặn và xóa ứng dụng Samsung Pay từ xa.
Bạn có nên sử dụng tiền mặt và thẻ không?
Không có ứng dụng nào là hoàn hảo - tin tặc luôn tìm sơ hở và tìm cách khai thác bạn và dữ liệu của bạn.
Nếu theo dõi tin tức công nghệ, bạn sẽ thỉnh thoảng thấy những câu chuyện bật lên vạch trần những sai sót trong ứng dụng NFC. Ví dụ:vào tháng 8 năm 2016, một nhà nghiên cứu bảo mật đã lập luận rằng các mã thông báo của Samsung Pay không đủ ngẫu nhiên và có thể trở nên dễ đoán.
Tương tự, vào tháng 3 năm 2016, các chuyên gia lập luận rằng tội phạm có thể nạp thẻ tín dụng bị đánh cắp vào Apple Pay, sử dụng chúng trong một thời gian ngắn, sau đó vứt bỏ điện thoại.
Tất nhiên, tình hình là đáng lo ngại. Nhưng tất cả các ứng dụng NFC đều an toàn hơn so với việc sử dụng tiền mặt và thẻ tín dụng để ủy quyền chữ ký truyền thống. Quan trọng nhất, khi công nghệ phát triển hơn nữa, tính bảo mật của các ứng dụng sẽ chỉ được cải thiện.
Bạn có sử dụng ứng dụng NFC không?
Trong bài viết này, chúng tôi đã giới thiệu ngắn gọn cho bạn về các tính năng bảo mật được cung cấp bởi ba trong số các ứng dụng thanh toán lớn nhất ở Châu Âu và Bắc Mỹ.
Bạn có sử dụng ứng dụng NFC không? Bạn có tin tưởng họ không? Chúng có đủ an toàn không? Và bạn có nghĩ rằng chúng có thể thay thế tiền mặt? Bạn có thể để lại tất cả ý kiến và phản hồi của bạn trong phần bình luận bên dưới. Và hãy nhớ chia sẻ bài viết này với những người theo dõi bạn trên mạng xã hội.