[討論] Apple Pay和Google Pay都是嗶一下但背後

【圖表】Apple Pay和Google Pay都是「嗶一下」，但背後交易機制其實完全不一樣 2025/01/07 https://www.thenewslens.com/article/246921 我們想讓你知道的是 Apple Pay選擇將資料存放在手機內的「安全隔離區」也就是所謂的「安全晶片」中，而Goo gle Pay則是將資料存放在雲端的強大伺服器。就像把重要文件放在家中保險箱，還是存放 在銀行保管箱的差別——都很安全，但本質上卻不太一樣。 https://i.meee.com.tw/7mBgI2R.jpeg 圖：梁敏萱｜文：丁肇九 在現代，人們手中的手機早已變成了數位錢包，但你是否想過，當我們使用Apple Pay或Goo gle Pay時，信用卡資訊是如何被保護的呢？讓我們一起來了解這兩大行動支付系統的安全 設計吧！ 本地保護 vs 雲端加密 Apple與Google的兩種支付，系統採用了截然不同的安全策略。 Apple Pay選擇將資料存放在手機內的「安全隔離區」（Secure Element，也就是Apple所說 的「安全晶片」）中，而Google Pay則是將資料存放在雲端的Google伺服器。兩者之間，有 點像是把重要文件放在家中保險箱，還是存放在銀行保管箱的差別。 Apple Pay：在地堡壘 當你在iPhone上設定Apple Pay時，信用卡資訊會被轉換成一組稱為「裝置帳號號碼」（Dev ice Account Number, DAN）的獨特代碼。 這個代碼會被存放在手機的安全晶片中，就像是把真實的信用卡換成一張特製的代用卡。每 次交易時，系統都會使用這個代用卡號，而不是你的實際卡號。 Google Pay：雲端防衛 相較於Apple，Google Pay採用了不同的方式，當你授權付款後，它會在Google的雲端伺服 器上產生「支付令牌」（Payment Token），付款時，手機會和Google伺服器確認身份，接 著使用這個令牌來完成交易。 這就像是Google幫你保管了信用卡，當你需要支付時，給你一個專屬的通行證。 多重安全把關與設計考量 無論是Apple還是Google的系統，交易過程都經過多重加密保護，從商家平台到支付網路（ 如Visa、Mastercard），再到發卡銀行，每一個環節都有專門的安全機制。 差別在於，Apple選擇將資料存在本機，強調「連Apple都不知道卡片資訊」的安全概念，讓 使用者的隱私資訊留在手中裝置，以達到資料保護效果 反之，Google則採用中心化管理，由其強大雲端系統統一把關，藉此也能讓規格萬萬種的An droid手機，不論是否擁有安全晶片的設計，都能享受到方便安全的支付服務。 因此，也別硬要比Apple和Google誰強誰弱，因為這兩種方式各有優點——本地存儲可以離 線運作且資料分散存放，雲端管理則可以即時更新安全措施，且不受單一設備損壞的影響， 使用者可以安心選擇適合自己的支付方式，享受行動支付帶來的便利。 備註 三星 knox 安全加密晶片 https://youtu.be/cSBZXC4hel8 [問卦] 有人有Gmail帳號被盜的經驗嗎? https://bit.ly/3Sa60GZ 駭客入侵後，短短三分鐘內就成功奪取我的Gmail，估計是直接跑腳本： 事後補救：電腦,手機和網路Router全面Factory reset， 密碼全部更換並改用KeePass儲存 ，移除Google綁定的信用卡， 推 ShaoRouRou: https://i.imgur.com/CDeNW4E.jpeg -- 就金塊放自家保險箱 天天在家看著 vs 金塊放銀行保險箱 多年之後要看 卻不見了 銀行 表示我不知道XD 親兒子Pixel 手機中的 Google Titan M 安全晶片 其他家安卓 有什麼？ 行動支付HCE的風險與防護方案 https://bit.ly/4j6HDoN Re: [問題] iphone不能用悠遊卡責任在誰身上？ https://bit.ly/3ScrDGH 支援googlepay就有SE? 那台灣安卓怎麼沒全品牌都能裝一卡通 裝西瓜卡 嘿嘿 小米14和小米14 Ultra搭載了恩智浦的SN220系列晶片，該晶片集成了eSIM功能、安全晶片 和近場通訊等功能，讓用戶的行動服務都在真正的Android設備上運行，可確保用戶安全無 憂。此外，眾所周知，FIDO2金鑰可以提供更安全、更簡單的密碼替代方案，能夠儲存在安 全晶片上，讓使用者在使用安全服務時更方便、更安心。 https://bit.ly/3YSxrJc 沒支援se手機那開放什麼googlepay 先把自家的帳號安全搞好啦 googlepay真非常安全 一些大廠商 花錢花閒功夫花時間研發 特別使用硬體加密晶片 是在犯傻摟？ 快淘汰的產品 都快收攤了 用上硬體加密晶片的三星 小米 哪時候出iphone手機了？
※ 批踢踢實業坊(ptt.cc), 來自: 212.102.51.249 (日本)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1747615484.A.ABF.html

噓 kimi112136 : 蛤？說的好像apple pay沒把你的真實卡號送上去一樣05/19 08:49

→ kimi112136 : ？虛擬卡號到國際卡組織怎麼轉成真實卡號扣款？想05/19 08:49

→ kimi112136 : 一下就知道了05/19 08:49

推 Seckel : 果粉又要高潮了 ，果粉請開始您們的表演05/19 08:52

→ kimi112136 : 我只能說apple pay保護的是虛擬刷卡機跟實體刷卡機05/19 08:52

→ kimi112136 : 到手機之間，手機出去的還是要看apple自己的資安05/19 08:52

→ tomsawyer : 基本上就是有se跟沒se的區別 但是google應該會朝著05/19 08:54

→ tomsawyer : apple的方向去05/19 08:54

→ tomsawyer : 不知道TEE能不能當se用05/19 08:54

推 answer012103: 果粉不需要了解這麼多，只要看到Logo是對的就夠了05/19 08:54

推 ayuhb : 反正都比直接打卡號安全05/19 08:55

推 jasonbass : G跟A pay感應應該也都比實體卡感應還安全05/19 08:56

推 issemn : 這就是用出優越感的最佳案例05/19 09:04

推 widec : 一個雲端驗證 一個事後驗證05/19 09:11不

→ ayuhb : 金塊也不是我的 我要用時才會變成我的05/19 09:33

→ ayuhb : 有人拿走？又不是我拿的 我那有差 05/19 09:33

推 avans : 推說明，可以理解G的做法，畢竟Android硬體太多種了 05/19 09:39

推 cityport : 三星也是local storage吧，那就沒什麼好說的 05/19 09:45

推 awin519 : 要也是pixel先用se而已，這麼多廠商不可能跟他們說05/19 09:45

→ awin519 : 沒se不准用gp吧 05/19 09:45

推 violetish : 兩邊都有超愛嘴對手的信徒粉絲 超好笑為信仰而戰^^b 05/19 10:02

推 vhygdih : 我認為這個訊息基本上不是很正確，google pay 是可 05/19 10:35

→ vhygdih : 以離線交易的，早期的 token 導致很多感應上小問題 05/19 10:35

→ vhygdih : ，常常因連線失敗，現在Google Pay安全主要是而且你 05/19 10:35

→ vhygdih : 手機只要有下載過Apk, 系統就會很有機會直接關掉Goo 05/19 10:35

→ vhygdih : gle Pay功能 ，簡單來講就是跟蘋果一樣杜絕第三方 05/19 10:35

→ vhygdih : 未認證軟體問題，但是卡片基本上就是存在手機上 ， 05/19 10:35

推 ryuhuang : Apple Pay使用時手機不需要網路就能刷 05/19 10:47

→ ryuhuang : Google Pay應該需要網路吧？05/19 10:47

推 aotom : google pay可以不用連網05/19 10:51

推 a6268538 : google pay印象中也是存在手機05/19 10:52

推 aalittle : 可以不用連網,應該說GP可以不用每次都連 05/19 10:56

→ Jintsu : Google pay 離線交易太多次或超過金額就要連線驗證 05/19 10:57

推 stilu : g pay不用連網，那這篇文就錯了吧？05/19 10:58

→ manbow77 : GooglePay就HCE方式 在台灣主要是沒辦法直接存發票 05/19 11:11

→ manbow77 : 直到今年多元支付後台改善了才對應GP信用卡載具 05/19 11:12

→ manbow77 : 另外有自己SE的安卓機其實不少 三星也是有內建05/19 11:13

→ manbow77 : 台灣的NFC-SIM則是SIM卡內建SE05/19 11:14

推 EPIRB406 : 台灣pay也是HCE 05/19 11:19

→ manbow77 : 至於趨勢並非向ApplePay方式靠攏而是偏向兩者兼用 05/19 11:20

→ manbow77 : HCE的token不用每次都聯網下載 悠遊付算比較龜毛 05/19 11:21

推 xoy : 這篇講的應該是十來年前TSM已經上市，HCE跟Apple P 05/19 11:23

→ xoy : ay剛發表的狀況，每隔一陣子就會有人考古提一下 05/19 11:23

噓 basacola : 這什麼古文 05/19 12:01

噓 GXIII : 到處洗 05/19 12:04

→ manbow77 : 這2016的廣告文早已經跟現在的HCE徹底脫節了 05/19 12:07

→ manbow77 : 以嗶乘車來說 伺服器只給你一個效期10分鐘的token 05/19 12:13

→ manbow77 : 那個token就只是一張臨時給機器感應的票車票 05/19 12:14

→ manbow77 : 基本上現在HCE和SE產出的東西一樣只差來源本地雲端 05/19 12:22

→ kpg0427 : 所以有人能發一篇2025版的嗎？ 05/19 12:36

推 MrCool5566 : 哇 apple 好棒 難以置信的軟體工藝 05/19 12:53

→ manbow77 : 現在電支採用HCE的基本上都是CloudBase方式05/19 12:58

→ manbow77 : 由雲端代替內建SE來生成加密token載進手機儲存使用05/19 13:00

→ manbow77 : 信用卡感應的只是一組虛擬卡號 真正安全性是在驗證05/19 13:02

→ manbow77 : 現在使用手機信用卡幾乎都要透過解鎖過程來驗證05/19 13:03

→ manbow77 : 要討論安全性絕對是驗證方式遠大於虛擬卡號的加密05/19 13:05

→ manbow77 : 而受到實體SE恩惠最大的其實是交通票證卡05/19 13:08

→ manbow77 : 交通票證有太多離線環境需求且需要寫入儲存金額05/19 13:15

推 ShaoRouRou : https://i.imgur.com/CDeNW4E.jpeg 05/19 13:16

→ manbow77 : 加上為了能免解鎖/開機等同實體卡的內建SE明顯優勢 05/19 13:17

推 theevilM : 這張圖有點奇怪，Google pay不需要一直聯網 05/19 13:35

→ manbow77 : 那張圖只是表示GooglePay需要從伺服器下載token05/19 14:06

→ manbow77 : 只是信用卡虛擬卡號不必太常刷新所以能長時間離線05/19 14:07

→ manbow77 : 而像GooglePay裡的日本西瓜卡或小米一卡通一樣存SE05/19 14:09

→ manbow77 : 誰跟你講支援GooglePay就一定有SE了 05/19 14:27

→ manbow77 : GooglePay是原理上可支援SE 05/19 14:28

→ manbow77 : 而GooglePay的西瓜卡和一卡通現狀只依附SE05/19 14:29

→ manbow77 : 而台灣透過nfc-sim的SE也達到大部分品牌能用一卡通05/19 14:31

→ manbow77 : GooglePay電支主要是信用卡上面講過了關鍵是在驗證 05/19 14:40

→ manbow77 : 樓主貼了個Gmail帳號被盜 那跟SE根本毫無關係 05/19 14:46

→ tomsawyer : 支援gp一定有tee05/19 15:00

→ tomsawyer : 不過我有=\=我要開放05/19 15:00

→ manbow77 : Suica就是只開放實體TypeF 沒有實體TypeF直接無緣05/19 15:05

→ manbow77 : 而像台版Pixel有TypeF也還有系統限制需要刷機硬開 05/19 15:06

推 xbearboy : 所以拿實體卡感應就不安全了？05/19 15:09

推 ssshleo : 實體卡有機會被側錄05/19 15:45

噓 rz759 : 發文的心態... 05/19 15:46

→ haveastar : http://i.imgur.com/rYMXvFP.jpg 05/19 16:06

推 ntutworm : google pay用的方法叫HCE 05/19 16:12

→ manbow77 : 實體信用卡要注意卡號和安全碼的流出 05/19 16:13

→ manbow77 : 尤其有部分卡的卡號和安全碼印在同一面容易被偷拍05/19 16:18

→ manbow77 : 樓主有個觀念需要更新05/19 16:20

→ manbow77 : 內建SE真正安全性強處是針對暗碼的保存05/19 16:20

→ manbow77 : 對帳號密碼那種容易明碼出現在各種地方的效果有限05/19 16:21

→ manbow77 : 所以各種帳號密碼才會要求多方驗證05/19 16:22

→ manbow77 : 來確保帳密流出了還不見得能第一時間被登入修改 05/19 16:23

推 jhjhs33504 : Google很常搭配雲端處理包括衛星定位地理資訊等都是 05/19 18:08

推 jhjhs33504 : 不知道iPhone未來有沒有辦法利用nfc-sim的機會? 05/19 18:12

噓 sinclaireche: 一直都是商業問題 05/19 18:31

推 weltschmerz : 貧果好棒棒 估狗好爛爛 哪裡領500? 05/19 20:29

噓 piyopiyolee : 你那還來得及買比特幣嗎？ 05/19 20:56

→ oread168 : 對應信用卡載具的機器超少 05/20 00:56

噓 Informatik : 史前大火每個版洗文章喔 05/20 01:02

噓 LoKira : 洗 05/20 03:10

→ manbow77 : 其實不少多元支付機從前幾年開始就對應信用卡載具 05/20 07:02

→ manbow77 : 但店員不見得懂操作及尚未對應GooglePay存發票 05/20 07:04

→ manbow77 : 今年初系統後台更新後GooglePay才能完全等同實體卡 05/20 07:06

→ manbow77 : 現在支付選項「多元信用卡」發票選項「多元票證」 05/20 07:22

→ manbow77 : 就能讓GooglePay跟實體信用卡一樣當發票載具了 05/20 07:24

→ manbow77 : 體感上超商店員比較熟這塊直接講存信用卡大多通用 05/20 07:27

噓 a123274 : 嗯 05/20 08:16

推 horb : 兩家的pay都很好用。沒什麼好吵的 05/20 11:07

噓 rz759 : 優越仔硬要踩其他家只會讓人越來越反感 05/20 11:25