我对身份验证和支付行业的令牌化技术概念感到困惑,请问作为一次性密码的令牌与Apple Pay使用的令牌有什么区别?同时,PCI DSS等合规机构如何看待令牌化技术?
Mike Chapple:令牌化技术是我最喜欢的安全技术之一,特别是因为它可帮助减少PCI DSS合规范围。在深入研究该技术的工作原理之前,让我来解释一下让大家困惑的一个问题。在安全领域,“令牌”被用在两个概念中。大家熟悉的令牌可以是指人们携带的物理实体(通常在钥匙链上),它可以生成一次性密码,用在多因素身份验证系统中。但这并不是我们在令牌化技术中谈到的令牌。
令牌化技术中使用的令牌是指用于取代敏感数据的字母数字代码,令牌化技术(例如Apple Pay和很多较新的POS系统中使用的技术)使用这些代码来代替零售商记录中的信用卡号码。在正确部署的情况下,这种技术可以确保信用卡号码不会接触零售商的系统,帮助其减少PCI DSS合规范围。
例如,客户可能会在商店的收银台使用令牌化技术,他/她可通过自助服务读卡器刷信用卡,这张卡使用了只有银行知道的加密密钥,在这位客户刷卡时,该读卡器可能会使用点对点加密技术来加密敏感信用卡信息。随后,加密的信用卡号码会通过零售商系统发送到银行进行处理。与此同时,POS系统会在其记录中记录令牌值,银行可使用这个数值绑定到特定信用卡交易。POS系统永远不会看到未加密的信用卡号码,所以它并不在PCI DSS合规范围内。
支付卡行业安全标准委员会已经认识到令牌化技术的价值,并支持大家使用该技术来提高安全性以及减少合规工作范围。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
Telerik Web UI:加密漏洞能否缓解?
最近看到报道称Telerik Web UI包含加密漏洞,这个漏洞是什么?企业是否应该考虑其他解决方案,还是这个漏洞可得到缓解?
-
如何用移动应用评估来提高企业安全性?
面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……
-
数据泄露后:是否应强制执行密码重置?
据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?
-
MongoDB勒索攻击蔓延原因:不安全配置
攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。