萬事達卡(Mastercard)日前宣布一項重大變革,計劃在2030年前取消信用卡和簽帳金融卡上的傳統16位卡號,轉而採用權杖化(tokenization)技術和生物辨識認證來提升支付安全性,對抗日益嚴重的身分盜用和詐欺問題。
自2022年起,萬事達卡已開始在支付生態系統中整合生物辨識認證技術,讓用戶能透過微笑或揮手等方式完成交易。接下來的改革重點是以權杖取代卡號,將16位數字識別碼轉換為儲存在裝置中的獨特數位代碼,確保在線上或感應式支付過程中,卡片資料不會外洩。
這項無卡號支付系統將率先與AMP Bank合作推出,預計明年將有更多金融機構加入。根據萬事達卡的規劃,移除實體卡號將大幅降低未經授權的交易,並減少資料外洩事件的相關風險。一旦資料庫遭到入侵,由於不再儲存實體支付資訊,客戶的財務資料將不會暴露。
根據澳洲的統計數據,2023-24年度的卡片詐欺交易金額高達8.68億澳元,較前一年度的6.775億澳元大幅增加。特別值得注意的是,非實體卡交易詐欺(card-not-present fraud)占所有卡片詐欺的92%,且在上一財年增加了29%。這凸顯了傳統卡片安全機制,如卡片驗證碼(CVV)的效力正在逐漸減弱。
而台灣金管會統計,2024年前三季台灣非現金支付交易筆數已達60.66億筆,總交易金額高達新台幣6.17兆元,較前年同期大幅成長15%。
相關文章:國際兩大發卡組織推生物辨識支付 提升線上交易安全
近年來,全球多起重大資料外洩事件,包括萬豪酒店、喜達屋酒店和Ticketmaster等案例,導致數億客戶的敏感財務資訊遭到曝露。透過取消儲存卡號的做法,可預防未來攻擊者利用過時資訊進行詐騙。
然而,新系統的採用也面臨諸多挑戰。雖然數位銀行用戶可能會順利過渡,但年長者和依賴傳統銀行服務的身心障礙者可能在轉向行動裝置認證時遇到困難。此外,將安全性依賴從實體卡轉移到行動裝置也帶來新的風險,例如SIM卡置換詐欺和冒充詐騙等手法可能會因數位支付系統的演進而升級。
生物辨識認證也存在其特有的挑戰。
與信用卡資料不同,生物辨識資料是不可更改的。一旦遭到入侵,無法像更換卡號那樣重新設定,這使得身分盜用的風險更加嚴重。過去BioStar 2安全系統和澳洲Outabox人臉辨識資料外洩事件都凸顯了生物辨識資料外洩的潛在風險。
隨著無接觸支付持續成長,實體卡片可能很快就會成為過去。零售創新如亞馬遜的Just Walk Out技術更加速了這個趨勢,目前已在70家亞馬遜自營店和85家第三方商店部署,年底前全球店數將超過 240 家,是年初的一倍多。
資安專家指出,雖然生物辨識支付代表了數位商務的未來發展方向,但在全面採用前,業界需要建立更完善的安全標準和保護機制,以確保用戶的生物辨識資料受到適當保護。