移动支付何以增长缓慢？

1月7日，消费者为什么迟迟不肯使用移动支付？安全性显然是他们最担心的问题。由于零售商被黑事件时有发生，导致大量客户数据被盗，从而进一步加剧了消费者的担忧，加强了他们对移动支付技术的戒备。

所以，如果想推动这项技术的普及，就必须赢得消费者的信任。新一代EMV(EuroPay、Mastercard、Visa)卡已经诞生，它可以通过安全系数较高的微芯片保障数据安全。但这也只是物理层面的措施。关键问题在于，如何在虚拟世界创造一套与之匹配的安全措施。

随着HCE(Host Card Emulation)的出现，支付行业的安全性向前迈进了一大步。在HCE诞生前，只存在两种可能：一种是将证书存储在手机中特制的SE安全芯片上。这便可以形成一个手机钱包，由SE提供与EMV卡类似的安全数据传输功能。另外一种可能是使用云端的CardOn Fire证书——其本质是将基本的支付信息存储在线上。

HCE只需要通过软件就可以模拟支付卡，这样一来，就再也无需将完整的支付卡信息存储在物理芯片上，因此不再需要使用SE芯片。这便终结了SE芯片所有权归属这一关键斗争，从而降低了该市场的进入门槛。

从目前的实践来看，要将存储在芯片上的支付卡数据传输到安全的云端环境，会遇到一些问题。要完成一次支付，你的手机需要接入互联网，等待数据被加密，并获取反溃即使在理想的情况下，这也很难在发卡机构要求的时候立刻完成。而如果没有信号，就不可能完成交易。为了解决这一问题，已经出现了一种名为“令牌化”(tokenization)的概念。通过这种模式，不必每次支付时都接入互联网，可以将用途受限的虚拟卡存储在手机上。

令牌化本身也存在一些安全问题。网络犯罪分子不必窃取钱包或手机，依然可以偷走你的资金。他们完全可以克隆用户的手机，然后索取卡片信息，甚至编写恶意软件，将其安装到手机上，从而立刻获取虚拟卡信息。

从长期来看，只有部署强有力的认证机制，才能确保移动支付的安全性。我们必须将用户身份与交易认证结合起来。虽然银行非常熟悉数据保护要求，但数据处理经验不足的挑战者，却需要格外重视认证和风险评估。

结果，智能手机本身反而成了促进移动支付安全性的关键设备。

距离WiFi热点的距离、3G位置、GPS数据以及设备上安装的应用数量和类型，共同构成了一部手机独一无二的资料。尽管这并非万灵药，但的确可以成为一种识别欺诈交易的有效措施，甚至有望简化消费者的店内支付体验：如果用户的身份获得认可，便可降低认证门槛；如果发现购买行为可疑，便可提升门槛。

在一个网络犯罪分子越来越聪明的年代，所有上网行为都会带来安全问题。上文那种基于风险的认证模式也不例外。这种模式需要使用大量的个人数据，而这些数据本身也会吸引很多黑客。必须对数据加以保护，但保护的程度不能仅限于常规的密码——毕竟，这些数据数量庞大，而且高度敏感。

认证已经变成一个重大问题。要降低个人和敏感信息对黑客的吸引力，就需要对其加密。这样一来，即使数据被盗或丢失，产生的损失也可以大大降低。

随着移动支付领域的发展，HCE已经获得了欢迎，同时也证明了自己的价值。如果利益相关者希望看到移动支付广泛普及，就需要创造一种令消费者信任的安全交易。但颇具讽刺意味的是，作为造成安全隐患的设备之一，智能手机反而可以加强用户的身份认证机制。而数据保密则是另外一项重要的安全措施，可以进一步加强数据保护力度，从而推动移动支付的普及。