五一节啦，我的银行卡还能刷吗？必须换卡吗？

近日，一则传闻在各个网络平台风传：根据人民银行的通知，过了2017年5月1日，如果你的银行卡是磁条卡，就不能再使用了，必须向银行申请换成IC卡，方可继续使用。一时间，大家都很困惑，咋这个卡说不能用就不能用了呢？这个说法是真的吗？

简单的回答是：假的，这是对人行通知的误读。磁条卡过了今年5月1日之后，在其有效期内依然可以正常使用，除非人行发出新的通知。

实际上，这个通知说的事情，是针对“磁条芯片复合卡”说的；停止提供服务的，也仅仅是这种卡的“磁条交易通道”，并不是针对所有磁条卡的磁条交易通道。要把这句拗口的话给掰扯明白，还真得从头讲起……

磁条卡：读一下，就知道你是谁啦！

一般认为，磁条卡是由IBM工程师福雷斯特·帕里（Forrest Parry，1921-2005），在1969年所发明的。而他的灵感，则来自于当时已经很普及的磁带——呃，可能现在的孩子们，都已经不知道啥是磁带了吧……简单的说，就是把一段不太长的数据信息，记录在一条磁带/磁条上，然后把磁条粘帖在卡片上，一张磁卡就诞生了。

图：福雷斯特·帕里大叔拿着他发明的磁条卡

所谓磁条卡，主要是解决一个远程读取信息的问题。在计算机和网络还没有发明的时候，双方只能面对面的进行交易：无论是纸币还是银票，显然，都只有当面交换才可以，总不能你打个电话，说“我银行里的五千块钱，转给你了”，银行和对方就能真的这么操作，谁知道你是谁呢？或者，万一你赖账，说打电话的人不是你，又该如何证明？

而磁条卡（Magnetic Stripe Card）的发明，则解决了这个问题：比如，馒头妖在百家银行开设了一个账户，这个账户当然就有了一个编号（也叫做帐号，通常是一串数字组成，比如说013579），存了5000美元进去，百家银行就发了一张银行卡给馒头妖。卡的背面有一根磁条，这个磁条里，就包括了百家银行自己的银行名称和代码、发卡日期、卡的有效期，当然，最重要的是，还有馒头妖的帐号“013579”。

图：磁条式银行卡（举例用）

这天，馒头妖来到香蕉公司，要求买一台电脑。结账时，我把这张磁条卡递给了收银员；收银员拿着它在刷卡器（通常叫做POS机）上一刷，刷卡器读出了“013579”这个帐号，就知道是百家银行发行的卡，通过电话线路向银行核对。大概可以这么理解：

百家银行（的电脑）：你好，我是百家银行。

香蕉公司（的POS机）：你好，我是香蕉公司。

百家银行：啥事呢？

香蕉公司：我这有个人，自称是馒头妖，拿着你发的银行卡，卡号（帐号）是013579，要求支付一笔2333元的货款，你看这事靠谱不？

百家银行：稍等……没错，这张卡是我发的，余额大于2333元。

香蕉公司：那你把他的帐号扣2333元，转到我的账户上来哦！

百家银行：好的，没问题~已经转啦！

香蕉公司：合作愉快！

然后呢，香蕉公司就把电脑卖给了馒头妖，而百家银行就把钱转到了香蕉公司的户头（实际生活中，结算并不一定是当场进行的，有些会拖延几天）。馒头妖不需要再先去百家银行取出现金，香蕉公司也不需要再跑一趟银行，把收到的现金存进自己的账户，大家都很方便；香蕉银行也在这笔交易中收取了一个手续费。

这样，交易双方和银行都有利可图；降低了交易成本，促进了交易的发生，对于整个社会而言当然都是好事，这也使得磁条式银行卡很快流行起来。

图：人类第一张磁条卡

在上面这个虚拟的例子中，尽管我们已经把情况大为简化，但主要原理就是如此。磁条卡，就是默认“拿着这张卡的人，就是某个帐号的主人”，便于买方、卖方、银行三者之间结算的一种工具。

啥，你说不是你刷的？

然而……在上面这个交易的例子中，实际上存在着极大的风险。

比如，馒头妖某天上街，钱包被小偷甲偷走了。甲拿着这张偷来的磁条卡，跑到黄瓜公司买了一台吸尘器，照样可以用卡上的钱付账（注意，确切的说，是馒头妖存在百家银行账户里的钱，卡本身只记录了卡号，并没有账户余额的信息）。

而解决办法也很简单：办理这张卡时，百家银行和我约定了一个取款密码（又称为PIN码），比如说“246800”，规定每次我去买东西时，都必须在POS机上输入这个密码。如果输入的确实是“246800”，就认可这个交易；如果输入的不对，就认为不是我在操作，银行有权拒绝交易，也就避免了损失；而我只需要去银行挂失、补办一张银行卡即可。

这个办法是挺好的，但还是不够保险：许多宵小之徒挖空心思，搞出了许多办法来窥探他人的密码，比如在别人用卡输入密码时在身后偷窥、在POS机里做手脚记录密码、在ATM机上装假键盘或摄像头偷窥密码、钓鱼网站诱骗持卡人输入密码等等伎俩，让取款密码也并非绝对安全了。

图：贴在ATM键盘上的假键盘

因此，现在的问题就变成了：

如果我的银行卡取款密码，已经被犯罪分子用某种方式知道了，怎么才能确保我的资金不被盗用呢？

读者当然会想到，把你的银行卡揣好，不要被偷走呗！光知道你的密码，没有你的银行卡，不还是没法盗用啊？

遗憾的是，这种假设并不成立，因为还有一种东西叫做：复制，就像是抄作业那么简单。

你说啥就是啥……

这种缺陷，可能是磁条卡与生俱来、无法克服的。理由也很简单：怎么证明某一张磁条卡，是属于某个人的呢？

答案是：帐号。

确切的说，是包括帐号的一系列信息，写在磁条上，然后粘帖在银行卡上。

然而……关于磁条卡中数据的储存格式、方式等信息，世界上普遍遵守的是ISO/IEC 7813标准。这个标准相当透明，任何人都可以查到。这就意味着，如果窃贼乙知道了馒头妖的卡号“013579”之后，他就可以找一张空白的磁条卡，把这个卡号，按照标准格式写进磁条里，从而得到了一张和馒头妖手里一模一样的磁条式银行卡，俗称“克隆卡”。在馒头妖挂失之前，这张伪造的卡，和银行发给馒头妖那张卡，实际上是有同等的权限的。

也就是说，磁条卡最大的麻烦，在于“你说啥就是啥”，只对磁条中记录的信息负责——而这种信息，究竟是银行写进去的，还是犯罪分子从真卡上抄下来写进去的，实质上无法鉴别。而窃取他人卡号就更容易了，只需要收银员配合，在合法POS机刷卡时，顺道再偷偷的用非法的读卡器刷一次，磁条里的信息就全部到手咯~现在的刷卡器可以做得非常精巧，藏在掌心里是一点问题都没有。

图：一个小型磁条卡刷卡器
?

因此，我们常常可以看到，网上常会有“卡从未丢失，银行卡却在外地被盗刷X万元”的新闻。这种案件，仅仅强调持卡人注意用卡安全是不够的，因为谁也不愿意整天像是特工一样生活，所谓“扬汤止沸不如釜底抽薪”，要解决问题，还得从卡本身来找答案。

请先回答问题……

而这个答案，就是“金融IC卡”，也就是我们常说的IC卡、芯片卡了。

图：一张IC卡

严格的说，这几个概念并不完全等同，但我们这儿只是做一个简单的介绍，就不展开说了。简单的说，如果你的银行卡正面，有一小块长方形或者椭圆形的小金属片，那它就是一张金融IC卡了。（确切的说，是一张接触式IC卡）

而IC卡最主要的有点，就是防伪造性。尽管IC卡的数据规则也是公开的，但托密码技术，特别是不对称加密技术的福，当我们刷卡时，发卡行并不只是简单的问一下它的卡号，而是要经过一系列复杂的计算，来证明它的合法性，俗称鉴权。而这种鉴权过程，对于绝大多数人而言，是根本无法干预，也无法仿造的。

比如，馒头妖在百家银行开了一个户头，存入了5000欧元；百家银行发给馒头妖一张金融IC卡，卡号是“12345678”馒头妖预设的密码“246800”，这一步和磁条卡还是相同的。

某天，馒头妖来到了橘子公司，要买一台橘子手机。刷卡时，POS机读出了卡号，就通过电话线路（现在也有用网络专线的），联系了百家银行：

百家银行（的电脑）：你好，我又是百家银行。（呃，为什么要说又呢……）

橘子公司（的POS机）：我是橘子公司。

百家银行：哦，啥事呢？

橘子公司：我这里有个人，自称是馒头妖，拿着你发的卡，卡号是12345678，要求支付一笔4200元的货款，你看这事靠谱不？

百家银行：你让他先输入密码。

橘子公司：好。

（馒头妖输入了密码246800）

百家银行：嗯，密码是正确的。

橘子公司：那你把他的账户上扣4200元，划到我的户头上来。

百家银行：慢着！你让那张IC卡先算个题目给我听。

IC卡：你说吧，我听着呢。

百家银行：请听题！现在的动态密文是346870593416722717693487943497，答案是多少？

IC卡：……根据计算，答案是67934067634079734676479314340013456。

百家银行：唔，根据我的计算，答案也是这个。好的，你就是我发给馒头妖的IC卡，橘子公司，我给你转账啦！

橘子公司：合作愉快！

这里提到了两个东西：动态密文和答案。具体而言，动态密文，就是发卡银行的系统，根据卡号、交易时间、交易金额等等信息，根据复杂的算法，产生的一个巨大的数字（通常都在32位以上，甚至可能是64位、128位的正整数），然后把这个数字传递给IC卡。

IC卡收到这个数字之后，根据预先设置好的一系列公式，算出答案并反馈给发卡行。发卡行的系统，当然也知道这个公式，自己也算一遍，如果得到的答案，与IC卡给出的答案相同，那就说明这张IC卡的确是“亲生的”。

图：用IC卡时是“插卡”?，不是“刷卡”

那么，如果犯罪分子，也知道了这个公式，不就又可以伪造了？

理论上说，这种可能性是存在的。然而，这个公式，或者说密钥，由认证机构（我国是由人行、银联委托中国金融认证中心CFCA进行）、发卡行总行的分级管理，知道最终算法的人，恐怕在每家银行里也不会超过一位数。更重要的是，这几个人每人只知道秘钥/公式的一部分，哪怕其中一两个人泄密，依然是没有任何意义的。

而基层的收单银行、POS机收单机构和持卡人，就更不可能获知这种算法了，这得益于数学上的一类非对称算法，我们可以简单的理解为：甲乙二人，每人持有一个保密的数字；通过一个双方都知道的算法，能够验证对方的数字是否正确，但却无法推测出对方的数字是多少。

比如，甲知道保密数字A，乙知道保密数字B，双方都知道，算法是：用A除以B，求除法的余数（0也视为余数）。

那么，在如下的情形中，虽然甲乙知道各自的保密数字，也知道余数的结果，但却无法直接知道对方的数字。

图：密码算法的一个简单举例

比如乙知道自己的保密数字B是6，却无法知道甲的数字是26还是14；甲知道自己的保密数字是23，却无法知道乙的保密数字到底是3还是7，他们都只知道，根据一个公示，算出来的余数是2，这就说明双方的身份都是真实的了。

当然，在我们这个例子中，因为数字很小，可以利用穷举法去破解对方的保密数字。但现实中的IC卡交易，这个保密数字（密钥）长达数十位甚至数百位，算法公示也远远不止“整除取余数”这么简单，穷举法暴力破解需要的运算量，按照目前人类的计算水平，恐怕需要数十、数百年的时间——这种时候，算出来也没有任何意义了。

因此，要假冒、伪造一张IC卡，还能骗过银行的系统，是非常、非常困难的事情，由此，来保证了银行卡的用卡安全。

折衷办法？

有鉴于此，各国都开始推行IC卡式的银行卡，停止发放磁条式的银行卡，比如，我国银联是从2015年1月1日开始，停止发放磁条卡。然而，这里头还是有一个问题：

我国磁条卡的存量，实在是太大了。

这么多年来，我国各个银行，在全国发行的磁条卡大概有三十多亿张，将它们全部更换完毕，还需要一定的时间；而全国各地银行的ATM机、各个商铺的POS机，要全部换成能够使用IC卡（俗称插卡）的机具，当然也需要时间。

于是，在这个过渡时期，就出现了一种过渡产品：

芯片磁条复合卡。

简单的说，如果你的银行卡，正面有一个金属小方块，背面也有一张磁条，那它就是一张芯片磁条复合卡。

这种卡片，既可以在有IC卡读卡功能的机具上使用，也可以在能够读取磁条的机具上使用，适应了目前ATM、POS机具尚未全部换装到位的情况。当只能刷磁条时，我们就把它称为“降级使用”。

图：芯片磁条复合卡的降级使用

然而，这种复合卡的风险也是极大的：犯罪分子虽然不会伪造IC卡，却会伪造磁条卡啊！找个没有IC卡读卡功能的机具，不就是照样可以盗用他人资金了？

这就好像你家里有前后两个门，前门是坚固的防盗门，后门却是胶合板做成的木板门，那小偷显然不会蠢到去撬防盗门呀。

人民银行也意识到了这种问题，所以，这次的通知，就是针对这种情况而规定的：

图：人民银行《关于进一步做好金融IC卡应用工作的通知》（节选）

请注意划红线的部分，翻译过来，就是芯片磁条复合卡不允许再通过读取磁条交易，不允许降级使用。

相反，如果只是单纯的磁条卡，显然还是能够使用的；而芯片磁条复合卡，当然也还可以使用芯片进行交易（在有IC卡读卡能力的机具上），并不会出现“银行卡不能用了”的问题。

结语

然而，尽管银行卡过了五一都还能用，人行和银联都还是强烈推荐各位持卡人，尽快到发卡行去，将手里的磁条卡，换成更安全的金融IC卡。毕竟，加强防范水平，是保护持卡人自己的合法利益，也是维护正常的金融秩序，显然是个好事。按照人行的规定，发卡行有义务免费、当场更换卡片，虽然可能还是要花费一些排队的时间，但总体上还是很值得的呢。*

发表于 2017-04-29 00:00
阅读 ( 1218 )
分类：其他类型

五一节啦，我的银行卡还能刷吗？必须换卡吗？

你可能感兴趣的文章

相关问题

0 条评论

作家榜 »

推荐文章