אפל צפויה סוף סוף להכריז על כניסתה לזירת התשלומים הניידים לצד ה"אייפון 6" באירוע תקשורתי ביום שלישי בקופרטינו, והשמועות מצביעות על כך שהמערכת החדשה תתבסס סביב טוקניזציה לאבטחה משופרת.AppleInsiderבדק מה זה אומר עבור המשתמשים.
גניבת נתוני כרטיסי תשלום הפכה בשנים האחרונות לבעיה גדולה. הפרות מאחורי הבית ברשתות קמעונאיות כמו Target - ולאחרונה, הום דיפו - משכו כותרות, אך גם גניבות מחלונות ראווה מקוונים לא מאובטחים ו"רחפנים" מתוחכמים בכספומטים ובמסופי נקודות מכירה גדלה בקצב מדאיג .
הסיקור החדשותי של גניבה כזו הוא לעתים קרובות חסר נשימה, ומוביל אוכלוסייה שאינה מתמצאת בטכנולוגיה, לטירוף על הסכנות של טכנולוגיה אלחוטית שהם לא מבינים. לשם הוכחה, אין צורך להסתכל רחוק יותר מתעשיית הקוטג'ים המשגשגת של ארנקים וארנקים ומחזיקי דרכונים הפועלים ככלובי פאראדיי ניידים, כביכול כדי להגן מפני האיום המוגזם לחלוטין של "פריצה לדרך".
הבעיה האמיתית נובעת מסוחרים וספקי תשלומים שמשדרים ומאחסנים נתוני כרטיסים עם הצפנה לא מספקת או נוהלי אבטחה חלשים. למען ההגינות, זהו אגוז טכנולוגי שקשה לפיצוח עבור עסקים קטנים וסטארטאפים רבים; זו הסיבה שתעשיית התשלומים נעה במהירות לעבר טוקניזציה, במטרה להוריד את מספר החוליות החלשות בשרשרת התשלומים.
מה זה טוקניזציה?
בגדול, "ביצוע אסימונים" פירושו החלפת מספר הכרטיס בפועל למספר אחר, מייצג - אסימון. האסימון נוצר על ידי הפעלת מספר החשבון באמצעות פונקציה קריפטוגרפית שניתן להפוך אותה רק עם מפתח שבידי מנפיק האסימון, בדרך כלל בנק או מעבד תשלומים.
בעסקה קמעונאית טיפוסית, זה עובד כך: הלקוח מחליק את הכרטיס שלו למסוף - נגיד, הווידג'טים של ג'ף. פרטי הכרטיס מוצפנים ונשלחים דרך החוט לבנק, שמפענח אותו, מאשר את העסקה ומייצר אסימון.
ללא מפתח הפענוח, אסימוני תשלום הם חסרי ערך לגנבים.
לאחר מכן, הבנק שולח את תוצאת ההרשאה ואת האסימון בחזרה ל-Jeff's Widgets. ג'ף יכול להחזיק בבטחה באסימון יחד עם רשומת העסקה; ללא מפתח ההצפנה של הבנק, אין דרך לגנב להפוך את האסימון ולגלות את מספר הכרטיס האמיתי, המאוחסן בצורה מאובטחת בכספת האסימון של הבנק.
ללא מספר החשבון, גנבים לא יכולים ליצור כרטיסים כפולים או לבצע רכישות באינטרנט. זו הסיבה של ויזה, מאסטרקארד ואמריקן אקספרסמוּצָעתקן טוקניזציה עולמי בשנה שעברה, ויזה אמורה לצאת לדרךמשלושירות טוקניזציה החודש.
ויזה, מאסטרקארד ואמריקן אקספרס צריכות להיות שמות מוכרים לצופים של אפל - לפי השמועות חברות הפיננסיות כבדות המשקלעל הסיפוןעם תוכניות התשלום של אפל.
אז מה עם אפל?
לאפל יש קצת ניסיון עם טוקניזציה כבר כשזה מגיע לנתונים רגישים: זהובעצםכיצד Touch ID מיושם באייפון 5s, אם כי "כספת האסימונים" נמצאת במכשיר עצמו בצורה של מובלעת Secure Enclave של שבב A7.
בכל הקשור לתשלומים, אפלצפוילהשתמש בשיטה קצת שונה של טוקניזציה. לְפִיבנק חדשנות,במקום להנפיק אסימון יחיד שאינו ניתן לשינוי, מערכת התשלום האלחוטית לפי השמועות תייצר אסימונים ייחודיים לשימוש חד פעמי עבור כל עסקה.
פטנט שהוקצה על ידי אפל המכסה טוקניזציה, שהוגש ב-2009
המשמעות היא שגם אם שחקן זדוני היה מסוגל ליירט את השידור האלחוטי שמכיל את האסימון, זה יהיה חסר תועלת - האסימון לא יתקבל לתשלומים עתידיים. זה חשוב ממספר סיבות, לא פחות מהן שזה מפשט מאוד כל טיעון שאפל תצטרך להעלות לאבטחת מערכת התשלומים החדשה שלה.
לאפל יש כמעט מיליארד כרטיסי אשראי ב-iTunes, רובם שייכים לצרכנים בעלי הכנסה גבוהה יחסית. האבטחה של iTunes רק לעתים רחוקות עלתה בסימן שאלה, אבל לא ברור עד כמה הרצון הטוב הזה יגיע לפתרון תשלום נייד; יישום קל להבנה של אסימונים חד פעמיים שלא משאירים כמעט מקום לגנבים לפעול יעזור רבות.
בסופו של יום, האימוץ הנרחב של תשלומים סלולריים אלחוטיים יסתכם בשני דברים: תמיכת סוחרים ואמון צרכנים. אפל הוכיחה שיש להם את הכוח להתמודד עם הראשון; אם הם יכולים גם לאבטח את האחרון, אולי בקרוב יהיה להם עוד לוח "הגדול בעולם" לתלות על הקירות ב-Infinite Loop.
