五一節啦，我的銀行卡還能刷嗎？必須換卡嗎？

近日，一則傳聞在各個網絡平臺風傳：根據人民銀行的通知，過了2017年5月1日，如果你的銀行卡是磁條卡，就不能再使用了，必須向銀行申請換成IC卡，方可繼續使用。一時間，大家都很困惑，咋這個卡說不能用就不能用了呢？這個說法是真的嗎？

簡單的回答是：假的，這是對人行通知的誤讀。磁條卡過了今年5月1日之后，在其有效期內依然可以正常使用，除非人行發出新的通知。

實際上，這個通知說的事情，是針對“磁條芯片復合卡”說的；停止提供服務的，也僅僅是這種卡的“磁條交易通道”，并不是針對所有磁條卡的磁條交易通道。要把這句拗口的話給掰扯明白，還真得從頭講起……

磁條卡：讀一下，就知道你是誰啦！

一般認為，磁條卡是由IBM工程師福雷斯特·帕里（Forrest Parry，1921-2005），在1969年所發明的。而他的靈感，則來自于當時已經很普及的磁帶——呃，可能現在的孩子們，都已經不知道啥是磁帶了吧……簡單的說，就是把一段不太長的數據信息，記錄在一條磁帶/磁條上，然后把磁條粘帖在卡片上，一張磁卡就誕生了。

圖：福雷斯特·帕里大叔拿著他發明的磁條卡

所謂磁條卡，主要是解決一個遠程讀取信息的問題。在計算機和網絡還沒有發明的時候，雙方只能面對面的進行交易：無論是紙幣還是銀票，顯然，都只有當面交換才可以，總不能你打個電話，說“我銀行里的五千塊錢，轉給你了”，銀行和對方就能真的這么操作，誰知道你是誰呢？或者，萬一你賴賬，說打電話的人不是你，又該如何證明？

而磁條卡（Magnetic Stripe Card）的發明，則解決了這個問題：比如，饅頭妖在百家銀行開設了一個賬戶，這個賬戶當然就有了一個編號（也叫做帳號，通常是一串數字組成，比如說013579），存了5000美元進去，百家銀行就發了一張銀行卡給饅頭妖。卡的背面有一根磁條，這個磁條里，就包括了百家銀行自己的銀行名稱和代碼、發卡日期、卡的有效期，當然，最重要的是，還有饅頭妖的帳號“013579”。

圖：磁條式銀行卡（舉例用）

這天，饅頭妖來到香蕉公司，要求買一臺電腦。結賬時，我把這張磁條卡遞給了收銀員；收銀員拿著它在刷卡器（通常叫做POS機）上一刷，刷卡器讀出了“013579”這個帳號，就知道是百家銀行發行的卡，通過電話線路向銀行核對。大概可以這么理解：

百家銀行（的電腦）：你好，我是百家銀行。

香蕉公司（的POS機）：你好，我是香蕉公司。

百家銀行：啥事呢？

香蕉公司：我這有個人，自稱是饅頭妖，拿著你發的銀行卡，卡號（帳號）是013579，要求支付一筆2333元的貨款，你看這事靠譜不？

百家銀行：稍等……沒錯，這張卡是我發的，余額大于2333元。

香蕉公司：那你把他的帳號扣2333元，轉到我的賬戶上來哦！

百家銀行：好的，沒問題~已經轉啦！

香蕉公司：合作愉快！

然后呢，香蕉公司就把電腦賣給了饅頭妖，而百家銀行就把錢轉到了香蕉公司的戶頭（實際生活中，結算并不一定是當場進行的，有些會拖延幾天）。饅頭妖不需要再先去百家銀行取出現金，香蕉公司也不需要再跑一趟銀行，把收到的現金存進自己的賬戶，大家都很方便；香蕉銀行也在這筆交易中收取了一個手續費。

這樣，交易雙方和銀行都有利可圖；降低了交易成本，促進了交易的發生，對于整個社會而言當然都是好事，這也使得磁條式銀行卡很快流行起來。

圖：人類第一張磁條卡

在上面這個虛擬的例子中，盡管我們已經把情況大為簡化，但主要原理就是如此。磁條卡，就是默認“拿著這張卡的人，就是某個帳號的主人”，便于買方、賣方、銀行三者之間結算的一種工具。

啥，你說不是你刷的？

然而……在上面這個交易的例子中，實際上存在著極大的風險。

比如，饅頭妖某天上街，錢包被小偷甲偷走了。甲拿著這張偷來的磁條卡，跑到黃瓜公司買了一臺吸塵器，照樣可以用卡上的錢付賬（注意，確切的說，是饅頭妖存在百家銀行賬戶里的錢，卡本身只記錄了卡號，并沒有賬戶余額的信息）。

而解決辦法也很簡單：辦理這張卡時，百家銀行和我約定了一個取款密碼（又稱為PIN碼），比如說“246800”，規定每次我去買東西時，都必須在POS機上輸入這個密碼。如果輸入的確實是“246800”，就認可這個交易；如果輸入的不對，就認為不是我在操作，銀行有權拒絕交易，也就避免了損失；而我只需要去銀行掛失、補辦一張銀行卡即可。

這個辦法是挺好的，但還是不夠保險：許多宵小之徒挖空心思，搞出了許多辦法來窺探他人的密碼，比如在別人用卡輸入密碼時在身后偷窺、在POS機里做手腳記錄密碼、在ATM機上裝假鍵盤或攝像頭偷窺密碼、釣魚網站誘騙持卡人輸入密碼等等伎倆，讓取款密碼也并非絕對安全了。

圖：貼在ATM鍵盤上的假鍵盤

因此，現在的問題就變成了：

如果我的銀行卡取款密碼，已經被犯罪分子用某種方式知道了，怎么才能確保我的資金不被盜用呢？

讀者當然會想到，把你的銀行卡揣好，不要被偷走唄！光知道你的密碼，沒有你的銀行卡，不還是沒法盜用啊？

遺憾的是，這種假設并不成立，因為還有一種東西叫做：復制，就像是抄作業那么簡單。

你說啥就是啥……

這種缺陷，可能是磁條卡與生俱來、無法克服的。理由也很簡單：怎么證明某一張磁條卡，是屬于某個人的呢？

答案是：帳號。

確切的說，是包括帳號的一系列信息，寫在磁條上，然后粘帖在銀行卡上。

然而……關于磁條卡中數據的儲存格式、方式等信息，世界上普遍遵守的是ISO/IEC 7813標準。這個標準相當透明，任何人都可以查到。這就意味著，如果竊賊乙知道了饅頭妖的卡號“013579”之后，他就可以找一張空白的磁條卡，把這個卡號，按照標準格式寫進磁條里，從而得到了一張和饅頭妖手里一模一樣的磁條式銀行卡，俗稱“克隆卡”。在饅頭妖掛失之前，這張偽造的卡，和銀行發給饅頭妖那張卡，實際上是有同等的權限的。

也就是說，磁條卡最大的麻煩，在于“你說啥就是啥”，只對磁條中記錄的信息負責——而這種信息，究竟是銀行寫進去的，還是犯罪分子從真卡上抄下來寫進去的，實質上無法鑒別。而竊取他人卡號就更容易了，只需要收銀員配合，在合法POS機刷卡時，順道再偷偷的用非法的讀卡器刷一次，磁條里的信息就全部到手咯~現在的刷卡器可以做得非常精巧，藏在掌心里是一點問題都沒有。

圖：一個小型磁條卡刷卡器
?

因此，我們常常可以看到，網上常會有“卡從未丟失，銀行卡卻在外地被盜刷X萬元”的新聞。這種案件，僅僅強調持卡人注意用卡安全是不夠的，因為誰也不愿意整天像是特工一樣生活，所謂“揚湯止沸不如釜底抽薪”，要解決問題，還得從卡本身來找答案。

請先回答問題……

而這個答案，就是“金融IC卡”，也就是我們常說的IC卡、芯片卡了。

圖：一張IC卡

嚴格的說，這幾個概念并不完全等同，但我們這兒只是做一個簡單的介紹，就不展開說了。簡單的說，如果你的銀行卡正面，有一小塊長方形或者橢圓形的小金屬片，那它就是一張金融IC卡了。（確切的說，是一張接觸式IC卡）

而IC卡最主要的有點，就是防偽造性。盡管IC卡的數據規則也是公開的，但托密碼技術，特別是不對稱加密技術的福，當我們刷卡時，發卡行并不只是簡單的問一下它的卡號，而是要經過一系列復雜的計算，來證明它的合法性，俗稱鑒權。而這種鑒權過程，對于絕大多數人而言，是根本無法干預，也無法仿造的。

比如，饅頭妖在百家銀行開了一個戶頭，存入了5000歐元；百家銀行發給饅頭妖一張金融IC卡，卡號是“12345678”饅頭妖預設的密碼“246800”，這一步和磁條卡還是相同的。

某天，饅頭妖來到了橘子公司，要買一臺橘子手機。刷卡時，POS機讀出了卡號，就通過電話線路（現在也有用網絡專線的），聯系了百家銀行：

百家銀行（的電腦）：你好，我又是百家銀行。（呃，為什么要說又呢……）

橘子公司（的POS機）：我是橘子公司。

百家銀行：哦，啥事呢？

橘子公司：我這里有個人，自稱是饅頭妖，拿著你發的卡，卡號是12345678，要求支付一筆4200元的貨款，你看這事靠譜不？

百家銀行：你讓他先輸入密碼。

橘子公司：好。

（饅頭妖輸入了密碼246800）

百家銀行：嗯，密碼是正確的。

橘子公司：那你把他的賬戶上扣4200元，劃到我的戶頭上來。

百家銀行：慢著！你讓那張IC卡先算個題目給我聽。

IC卡：你說吧，我聽著呢。

百家銀行：請聽題！現在的動態密文是346870593416722717693487943497，答案是多少？

IC卡：……根據計算，答案是67934067634079734676479314340013456。

百家銀行：唔，根據我的計算，答案也是這個。好的，你就是我發給饅頭妖的IC卡，橘子公司，我給你轉賬啦！

橘子公司：合作愉快！

這里提到了兩個東西：動態密文和答案。具體而言，動態密文，就是發卡銀行的系統，根據卡號、交易時間、交易金額等等信息，根據復雜的算法，產生的一個巨大的數字（通常都在32位以上，甚至可能是64位、128位的正整數），然后把這個數字傳遞給IC卡。

IC卡收到這個數字之后，根據預先設置好的一系列公式，算出答案并反饋給發卡行。發卡行的系統，當然也知道這個公式，自己也算一遍，如果得到的答案，與IC卡給出的答案相同，那就說明這張IC卡的確是“親生的”。

圖：用IC卡時是“插卡”?，不是“刷卡”

那么，如果犯罪分子，也知道了這個公式，不就又可以偽造了？

理論上說，這種可能性是存在的。然而，這個公式，或者說密鑰，由認證機構（我國是由人行、銀聯委托中國金融認證中心CFCA進行）、發卡行總行的分級管理，知道最終算法的人，恐怕在每家銀行里也不會超過一位數。更重要的是，這幾個人每人只知道秘鑰/公式的一部分，哪怕其中一兩個人泄密，依然是沒有任何意義的。

而基層的收單銀行、POS機收單機構和持卡人，就更不可能獲知這種算法了，這得益于數學上的一類非對稱算法，我們可以簡單的理解為：甲乙二人，每人持有一個保密的數字；通過一個雙方都知道的算法，能夠驗證對方的數字是否正確，但卻無法推測出對方的數字是多少。

比如，甲知道保密數字A，乙知道保密數字B，雙方都知道，算法是：用A除以B，求除法的余數（0也視為余數）。

那么，在如下的情形中，雖然甲乙知道各自的保密數字，也知道余數的結果，但卻無法直接知道對方的數字。

圖：密碼算法的一個簡單舉例

比如乙知道自己的保密數字B是6，卻無法知道甲的數字是26還是14；甲知道自己的保密數字是23，卻無法知道乙的保密數字到底是3還是7，他們都只知道，根據一個公示，算出來的余數是2，這就說明雙方的身份都是真實的了。

當然，在我們這個例子中，因為數字很小，可以利用窮舉法去破解對方的保密數字。但現實中的IC卡交易，這個保密數字（密鑰）長達數十位甚至數百位，算法公示也遠遠不止“整除取余數”這么簡單，窮舉法暴力破解需要的運算量，按照目前人類的計算水平，恐怕需要數十、數百年的時間——這種時候，算出來也沒有任何意義了。

因此，要假冒、偽造一張IC卡，還能騙過銀行的系統，是非常、非常困難的事情，由此，來保證了銀行卡的用卡安全。

折衷辦法？

有鑒于此，各國都開始推行IC卡式的銀行卡，停止發放磁條式的銀行卡，比如，我國銀聯是從2015年1月1日開始，停止發放磁條卡。然而，這里頭還是有一個問題：

我國磁條卡的存量，實在是太大了。

這么多年來，我國各個銀行，在全國發行的磁條卡大概有三十多億張，將它們全部更換完畢，還需要一定的時間；而全國各地銀行的ATM機、各個商鋪的POS機，要全部換成能夠使用IC卡（俗稱插卡）的機具，當然也需要時間。

于是，在這個過渡時期，就出現了一種過渡產品：

芯片磁條復合卡。

簡單的說，如果你的銀行卡，正面有一個金屬小方塊，背面也有一張磁條，那它就是一張芯片磁條復合卡。

這種卡片，既可以在有IC卡讀卡功能的機具上使用，也可以在能夠讀取磁條的機具上使用，適應了目前ATM、POS機具尚未全部換裝到位的情況。當只能刷磁條時，我們就把它稱為“降級使用”。

圖：芯片磁條復合卡的降級使用

然而，這種復合卡的風險也是極大的：犯罪分子雖然不會偽造IC卡，卻會偽造磁條卡啊！找個沒有IC卡讀卡功能的機具，不就是照樣可以盜用他人資金了？

這就好像你家里有前后兩個門，前門是堅固的防盜門，后門卻是膠合板做成的木板門，那小偷顯然不會蠢到去撬防盜門呀。

人民銀行也意識到了這種問題，所以，這次的通知，就是針對這種情況而規定的：

圖：人民銀行《關于進一步做好金融IC卡應用工作的通知》（節選）

請注意劃紅線的部分，翻譯過來，就是芯片磁條復合卡不允許再通過讀取磁條交易，不允許降級使用。

相反，如果只是單純的磁條卡，顯然還是能夠使用的；而芯片磁條復合卡，當然也還可以使用芯片進行交易（在有IC卡讀卡能力的機具上），并不會出現“銀行卡不能用了”的問題。

結語

然而，盡管銀行卡過了五一都還能用，人行和銀聯都還是強烈推薦各位持卡人，盡快到發卡行去，將手里的磁條卡，換成更安全的金融IC卡。畢竟，加強防范水平，是保護持卡人自己的合法利益，也是維護正常的金融秩序，顯然是個好事。按照人行的規定，發卡行有義務免費、當場更換卡片，雖然可能還是要花費一些排隊的時間，但總體上還是很值得的呢。*

發表于 2017-04-29 00:00
閱讀 ( 1237 )
分類：其他類型

五一節啦，我的銀行卡還能刷嗎？必須換卡嗎？

你可能感興趣的文章

相關問題

0 條評論

作家榜 ?

推薦文章