基于开放标准的信用卡聚合？

Question

最近，有几个项目的目标是用一个智能设备来取代钱包中的所有信用卡，这些设备可以容纳所有信用卡，与智能手机同步等等(即硬币和蛋白型)。

然而，我特别不喜欢的是，有那么多的失败点涉及到：

1. 两者都需要在智能手机上输入卡信息，而且两者似乎都将卡片信息与其服务器同步。他们承诺对所有数据进行“加密”。问题：
   1. 我真的信任他们正确地部署密码吗？
   2. 我真的相信他们会安全地储存东西吗？

2. 两者都使用蓝牙与你的手机沟通，这似乎是完全危险的。
   • 另外，硬币使用蓝牙技术开发了一种接近传感器，它不允许卡处理交易，除非手机就在附近。
     1. 他们是怎么做到的？如果他们只是做一个蓝牙MAC搜索，这是盲目的欺骗。

- Bluetooth has a number of security problems.

有没有类似TPM/智能卡设备的解决方案(甚至是正在开发中的解决方案)，这些解决方案符合经验证的标准，并符合审计要求？

具体来说，我不喜欢有这么多的故障点(蓝牙，电话“加密”由他们提供，在线“加密”备份由他们提供)。我对使用安全的单卡设备的想法非常感兴趣，前提是它实际上是以一种可审计、经验证的方式安全的。

Answer 1

你相信你从那里买的小贩吗？它们都受到PCI的约束，而不安全地存储它的惩罚可能会相当严厉。较早版本的蓝牙存在安全问题(2.3和更早版本)，但如果使用的是当前版本，则不存在已知的安全问题，因此有可能出现可信的配对。

它是否有一个基于TPM的系统那么强大，不是，但它也没有那么昂贵或复杂的使用，它并不比许多消费者仍然使用的“存储信用卡”选项的安全性更低。对于许多人来说，CC事务只有在它们成立的情况下才是有效的，而对无效事务的争论则是非常简单的，没有任何责任，所以许多人根本不认为它是一种风险。

还要注意的是，这些设备只在磁条卡上工作，从一开始就固有的不安全。你不能把它们和基于芯片的信用卡一起使用，所以他们申请的市场已经不是特别担心信用卡数据的安全性了。

使用TPM，虽然对我们的安全坚果很好，但与系统中现有的风险相比，对于这些设备设计用来工作的卡来说，实在是太过分了。它们已经提供了与现有系统相当或更好的安全性。您的卡可能被偷或复制，这个系统提供了一种方法来知道何时扫描您的卡，并连接到一个设备(您的手机)，这可能会更快，如果它是被盗的。它使用一个可选的在线备份，但许多消费者已经对供应商这样做了。

这些设备带来的真正新的安全风险非常小，前提是它们使用的是最新的安全版本的蓝牙，特别是如果它们用卡上存储的密钥保护信用卡的详细信息(这样电话上的恶意软件就无法访问)。