[讨论] 近期媒体报道信用卡消费不需要密码

Joeizhou

很奇怪，在这个专业的安全论坛上关于此事一片安静。 难道这真的变成了认证论坛码？

Joeizhou

新郎网的报道\r\nhttp://finance.sina.com.cn/x/20021126/0737282543.shtml\r\n新郎网上的评论\r\nhttp://comment.sina.com.cn/cgi-b ... ;newsid=31-1-282543

yfzhou72

这个问题到是没注意。我也不是很有经验。查查资料先。

Joeizhou

可以从评论中看到，大多数发言的网友具有一定的信用卡消费的知识。80%的贴子在嘲笑记者无知。但是，真的如此吗？\r\n\r\n[技术背景] （个人知识所限，有专家请指正）\r\n除了少数几张卡，中国不存在真正意义上的信用卡。中国的信用卡只是半贷记卡。用户使用起来，拿它当借记卡。为了保证统一用词，以下我们还是称中国的这些卡为信用卡。\r\n前几年，银行在部署POS时，将信用卡和借记卡一视同仁，故要求信用卡也输入交易密码。用户养成了用交易密码保护卡内资金的习惯。\r\n\r\n现在，银行要和国际接轨，取消了对信用卡的交易密码认证过程，（但这不意味这不经过联机授权过程），用户身份的认证靠签名这一手段。这一做法是符合国际惯例的，是真正信用的使用方法。

Joeizhou

做错事的\r\n[各家银行] （可能还有银联）\r\n与国际惯例接轨是没错， 但是从安全角度来说，这属于重大的安全政策和安全标准/步骤的变更。银行没有做出周全的变更计划，完成对商家/用户的知晓教育（Awareness Education），仅仅将其作为一个技术细节的变更就推出，是极其草率和不负责任的。\r\n\r\n[媒体]\r\n中国媒体缺乏专业知识和专业精神早就不是什么新闻了，要不怎么成天闹水变油和木乃伊怀孕的笑话。\r\n媒体吵吵这件事没错，但吵的不在点上。国内媒体对于技术和IT系统有一种天生的畏惧和仇视的态度。\r\n我非常担心国内银行卡向国际接轨的这一举措会迫于媒体的压力而半路夭折。

Joeizhou

受害人\r\n[商户][持卡人]\r\n由于缺乏银行的知晓教育（Awareness Education），商户和用户已经养成了这样的心理定式：\r\n商户：只要密码正确，就是持卡人。我就能收到钱。\r\n持卡人：卡内资金和信用额度是靠密码保护的，只要密码不泄漏，就是安全的。\r\n\r\n现在，这都变成了假象。\r\n而真相是：\r\n商户：\r\n必须认真核对签名，签名与卡后签名相符才是真正的持卡人。 \r\nPOS机打出交易凭证，只是证明卡内有这么多钱，并不证明用户就是持卡人。\r\n\r\n\r\n持卡人：\r\n赶快翻翻钱包，看看还有哪张卡没签名的，赶快签上。\r\n保护好信用卡号码，现在不比以前了。\r\n\r\n\r\n[可能的欺诈行为]\r\n商户现在要面对比以往更多的欺诈行为了。\r\n持卡人欺诈：故意不好好签名，然后否认此笔交易。\r\n罪犯欺诈： 仿造他人信用卡，然后自己在卡后签名，自己在交易单上签名。（商户极难防范）\r\n\r\n\r\n以上是我关于这件事情的个人看法，迫切希望有熟悉银行业，或是银行卡业务的工作人员指教。

yfzhou72

但是用签名来证明持卡人身份的方法安全吗？

ftonny

最初由 Joeizhou 发布\r\n[B]做错事的\r\n[各家银行] （可能还有银联）\r\n与国际惯例接轨是没错， 但是从安全角度来说，这属于重大的安全政策和安全标准/步骤的变更。银行没有做出周全的变更计划，完成对商家/用户的知晓教育（Awareness Education），仅仅将其作为一个技术细节的变更就推出，是极其草率和不负责任的。\r\n\r\n[媒体]\r\n中国媒体缺乏专业知识和专业精神早就不是什么新闻了，要不怎么成天闹水变油和木乃伊怀孕的笑话。\r\n媒体吵吵这件事没错，但吵的不在点上。国内媒体对于技术和IT系统有一种天生的畏惧和仇视的态度。\r\n我非常担心国内银行卡向国际接轨的这一举措会迫于媒体的压力而半路夭折。 [/B]

\r\n\r\n同意。//Nod & Hand\r\n\r\n我记得好几年前我用信用卡消费的时候，还是要签名的，出了借记卡以后，现在好像都是只用密码就可以了。发卡银行应该有很大责任的。

Joeizhou

最初由 yfzhou72 发布\r\n[B]但是用签名来证明持卡人身份的方法安全吗？ [/B]

\r\n\r\n签名有三份，\r\n1. 申请信用卡时登记表上的签名\r\n2. 信用卡后的签名\r\n3. 交易凭条上的签名\r\n\r\n商家的责任是\r\n- 检查黑名单（现在通过联机授权完成）\r\n- 比较2和3签名（极大的安全隐患）\r\n\r\n发生争议时：如某持卡人否认某笔交易的有效性。\r\n比较1,2,3项签名，从而判定责任人。\r\n责任人可能是银行，商户或是持卡人。

zhuwm99

这个问题比较有意思。谈谈个人观点,涉及信用卡的安全管理，希望大家指点。\r\n\r\n从审计师的角度来看，这里有三方,持卡人，银行和商\r\n\r\n与信用卡有关的主要流程活动(process)有：\r\n\r\n1,信用卡的申请和发放\r\n2,持卡人对信用卡的保管\r\n3,持卡人在商户刷卡消费\r\n4,消费的结算\r\n\r\n在这些流程中，对不同方面存在很多风险，审计师应该检查是否有足够控制消除或降低这些风险。我从保护持卡人的利益出发，从风险，控制，检查方法上谈谈如何审计。\r\n\r\n流程1，申请时没有客户签名----〉必须严格保证客户签名，并且签名不容易被模仿---〉信用卡申请资料抽样检查。\r\n       申请透支余额过大，导致丢失且未挂失时损失严重---->判断客户信用程度，并且告知用户存在这样的风险----〉对信用卡申请资料抽样检查，并观察实际办卡的业务流程。\r\n流程2， 保管信用卡不慎，发生卡丢失（最常见现象）--->提高警惕性，养成良好的保管习惯---〉检查信用卡是否随身携带，是否放在易丢失的场所。\r\n        信用卡号码被别人盗用，很多网上支付功能通过信用卡号码就可以消费----〉不随便吐露自己的号码---〉与用户交谈。\r\n        发现信用卡丢失-----〉持卡人马上申请挂失----〉与持卡人交谈。\r\n        持卡人挂失后------〉银行必须在尽可能短的时间内向通过网络发布挂失信息----〉了解银行业务规定，也可以实际测试。\r\n\r\n流程3，卡被别人冒用消费（最常见，最严重）----〉消费时，商户必须认真核对卡背面签名和持卡人签名，商户还应该注意其他细节，如不正常的消费方式等----〉对消费纪录抽样核对，审计人员也可以拿别人的卡进行实地测试\r\n        卡被冒用-----〉银行跟踪信用卡在一定时间内的消费频率和额度，发现疑点需要进行核实-----〉了解银行业务\r\n       \r\n流程4，卡被冒用未发现----〉结算结束后，银行必须将结算清单通知持卡人----〉了解银行业务并走访持卡人\r\n                     ----〉持卡人仔细核对结算清单和自己的消费纪录，发现问题及时通知银行----〉访问持卡人