是否可以使用NFC银行卡进行识别？

Question

假设我希望更安全地识别用户，而不是使用用户名/密码，例如硬件令牌。但是，我不能给他们发智能卡。试着为此目的使用启用NFC的银行卡是个好主意，例如使用以下流程(注意:这不会执行任何交易，因为它不会进入任何发卡者网关)：

1. 用户应该安装一个特定的智能手机应用程序。
2. 用户请求登录网站
3. 用户被要求在应用程序打开时将非接触式卡呈现给手机(或者应用程序在NFC联系人上自动打开)
4. 用户显示卡片，并被锁定为PIN，他在应用程序中输入了PIN。
5. 该应用程序从服务器获得了一次挑战，并将其发送到卡上。
6. 这张卡片标志着挑战
7. 签名的质询和转换后的(例如使用bcrypt)信用卡号码发送到服务器。
8. 服务器将转换后的号码(用作标识符)与从浏览器请求登录的用户匹配，使用卡的公钥验证签名的挑战，并允许用户进入。

如果这听起来不太荒谬，一些后续问题：

1. 银行卡的钥匙大小够大吗？
2. EMV协议是否允许以这种方式签署挑战(我知道它是事务流的一部分，但可能有一些警告)
3. 是否可以创建通用应用程序(android/iOS)，或者卡的EMV实现有显著差异？
4. EMV键盘是否有由某些CA颁发的相应的X.509证书？是否可以检查已撤销的证书？

Answer 1

唯一可以通过非接触式银行卡获得的东西是身份证号码。要获得更多信息，您必须遵循适当的指南和非接触式卡的安全性。

这意味着，虽然你可以得到身份证，但你不能做进一步的假设。当然它不能提供太多的安全保障。

话虽如此，有许多应用程序确实使用了这种方法。最常见的是“随叫随到”的打印和客房预订系统(那些在房间外有屏幕的系统)。这两种类型的系统通常使用卡片中的最小数据。您将您的卡注册到您的用户id。这很好，因为妥协的风险很低。

和往常一样，这可以归结为风险分析。