支付寶和八達通的延伸閱讀

這是關於我一條Youtube Video的後續: https://youtu.be/NbQP0hy5W68

NFC卡被偷作交易？

影片中提到，用一台NFC處理器偷偷拍你的卡，實際操作上是有難度－難在於NFC處理器必須是實名擁有，東窗事發後很容易通過登記信息和銀行賬號等，把相關人等緝拿歸案。

(上述情況適用於八達通，和信用卡等金融系統)

但如果是遙遠轉發信號，可行嗎？

只要有合適的天線，NFC通訊距離是遠遠可以超過正常情況下的幾cm，而是達以米計之遠。自從內置NFC功能的e-Passport和各種ID咭推出後，已經有很多防RFID的護照保護套、防RFID錢包等產品，目的就是防止不適當的遠距離傳輸。

NFC MITM

如果兩個犯人合作，一個持遠距離天線，另一個在處理器上做交易，中間透過網絡連線，做一個Man-in-the-middle attack…所需要的硬件(Software Defined Radio)其實幾千港元就買得到。

據說現在的workaround是處理器會偵察通訊的round-trip-time，反應時間太長的就拒絕交易，但隨著流動通訊越來越發達，會唔會突破到這個threshold？

八達通還要擔心非法增值

在2012年曾經發生過這樣的事：https://hk.news.appledaily.com/local/daily/article/20120308/16136529

我相信現在還是沒有解決辦法。偷得太多會易起懷疑，偷得太少又就太費功夫…但這個是八達通公司要擔心的問題，不是針對持卡人。

支付寶等乘車碼共享出去給同伙用？

其實都是扣你的賬號的錢，沒有人有任何損失。問題在於你事後要不要報警投訴被盜用。

大費周章為咗為幾十元去報假案好像有點哪個。話說回來，即使是你自己使用，任何時候也可以報假案說成是被盜用。

所以你要Root了自己的電話，支付寶並不在乎你把裏面的密鑰信息共享出去…反正都是你自己賬號的錢。

支付寶支付碼和乘車碼都是QR Code，有什麼差別？

支付碼是一個18個數字(8 bytes左右)的代號，而乘車碼則有上百個bytes。

支付碼的真偽只能線上驗証才知道，在乘車碼的使用環境，就得靠數位簽名去讓檢票閘口驗証真偽。但由於支付碼的設計容量太小，不可能把簽名信息也塞進去，所以就需要一個新格式的乘車碼。

支付寶中每個城市的交通卡的乘車碼都不一樣，在不同系統使用都要獨立申請，並不像一個支付碼可以全球通用。其中一個原因，我相信是因為每個交通系統的private key都不一樣，所以簽發出來的乘車碼也不能共用。

註：上面的原理都是靠猜的，如屬雷同實屬巧合，不是我洩露公司機密。

金融卡不只有Online交易渠道嗎？

不是的。例如在飛機上買免稅品？不過金融機構是會針對Offline交易，向商家收取更高的手續費，以便覆蓋所有風險。

即使是Online也不是無敵的。在2000年初，歐洲開始推Chip and Pin的時候，也遇到很多奇怪問題，不知道現在Fix了多少呢：https://www.youtube.com/watch?v=Ks0SOn8hjG8

金融卡在網上消費不都是需要2FA嗎？

如Verified by Visa和MasterCode SecureCode等等嗎？不見得所有商戶都有使用。而且現在的SMS (SS7)系統漏洞百出，NIST也在2017年建議別再用SMS做2FA。

SS7 routing-protocol breach of US cellular carrier exposed customer data

八達通可以即買即用，支付寶還要連結銀行呢

那其實是支付寶的實名制問題，和QR Code或系統架構關係不大。參考香港的Tap & Go，就提供了用現金增值的渠道。

實名制有什麼問題？八達通你出出入入，老大哥配合CCTV也可以找到你啦

的確香港有很多破案也是靠追蹤八達通記錄。但不只這個問題。

乘車碼提到是涉及微型貸款。
外國人過來旅遊，你沒有他的信用記錄、他沒有本地電話卡和銀行賬號，怎樣方便做到實名制，信用又如何解決？

香港家長很多時都會給一張八達通給小朋友，稚園生、小學生就可以培訓怎樣去用車和乘車。你會給他們自己的手機和支付寶嗎？未成年人也不可以有自己的支付寶。

八達通只要一張卡，電話電池用光了也不怕

隨之而來的問題就是要多帶一張卡，也有丟失被盜的風險。(各式的手機付款始終是支持密碼/指紋驗証開機後付款)

出門能不帶電話嗎？我不能，大家能不能就看大家習慣了。所以我個人的唯一希望就是電話能把實體卡統統替代。

英國的Tube可以收PayWave等信用卡

有人跟我提及那個是Offline系統。即是先記錄信用卡信息，事后再扣款。如果信用額不足 (碌爆咗咭)，就地鐵自己負責認倒楣。

我相信他們是計算過風險成本。但我好有興趣知道如果用假咭(軟件生成)會怎樣…在某些地區總有很多人千方百計做假的，這個風險就大得多。

關於Apple Pay、Google Pay、NFC、Host-Card Emulation (HCE)等等問題

讓專家來吧，我不重覆了。

Apple Pay vs Google Wallet | Ganeshji Marwaha

既然都看到這裏，會考慮一下課金支持我創作嗎？即使是$1也是很大的鼓勵。

>> https://www.patreon.com/it9gamelog <<

還有其他影片的，幫我分享出去吧 :D

>> https://www.youtube.com/playlist?list=PL31LF-TaE4Ybpb-fXQF0xJHHxE7b1lbHk <<

結語

便利和安全大概很難同時兼顧，但只要把風險縮得夠小，就可以把問題打包給保險公司處理啦 😂。