※ 本文轉寄自 ptt.cc 更新時間: 2025-05-19 21:12:41
看板 MobileComm
作者 標題 [討論] Apple Pay和Google Pay都是嗶一下但背後
時間 Mon May 19 08:44:41 2025
【圖表】Apple Pay和Google Pay都是「嗶一下」,但背後交易機制其實完全不一樣
2025/01/07
https://www.thenewslens.com/article/246921
【圖表】Apple Pay和Google Pay都是「嗶一下」,但背後交易機制其實完全不一樣 - TNL The News Lens 關鍵評論網
![[圖]]()
Apple Pay選擇將資料存放在手機內的「安全隔離區」也就是所謂的「安全晶片」中,而Google Pay則是將資料存放在雲端的強大伺服器。就像把重要文件放在家中保險箱,還是存放在銀行保管箱的差別——都很安全,但本質上卻不太一樣。 ...
![[圖]](https://bucket-image.inkmaginecms.com/version/social/1/image/2024/12/37c8bea2-18b7-431e-b9e4-a8cd1d43afee.png)
我們想讓你知道的是
Apple Pay選擇將資料存放在手機內的「安全隔離區」也就是所謂的「安全晶片」中,而Goo
gle Pay則是將資料存放在雲端的強大伺服器。就像把重要文件放在家中保險箱,還是存放
在銀行保管箱的差別——都很安全,但本質上卻不太一樣。
gle Pay則是將資料存放在雲端的強大伺服器。就像把重要文件放在家中保險箱,還是存放
在銀行保管箱的差別——都很安全,但本質上卻不太一樣。
https://i.meee.com.tw/7mBgI2R.jpeg
![[圖]](https://i.meee.com.tw/7mBgI2R.jpeg)
在現代,人們手中的手機早已變成了數位錢包,但你是否想過,當我們使用Apple Pay或Goo
gle Pay時,信用卡資訊是如何被保護的呢?讓我們一起來了解這兩大行動支付系統的安全
設計吧!
gle Pay時,信用卡資訊是如何被保護的呢?讓我們一起來了解這兩大行動支付系統的安全
設計吧!
本地保護 vs 雲端加密
Apple與Google的兩種支付,系統採用了截然不同的安全策略。
Apple Pay選擇將資料存放在手機內的「安全隔離區」(Secure Element,也就是Apple所說
的「安全晶片」)中,而Google Pay則是將資料存放在雲端的Google伺服器。兩者之間,有
點像是把重要文件放在家中保險箱,還是存放在銀行保管箱的差別。
的「安全晶片」)中,而Google Pay則是將資料存放在雲端的Google伺服器。兩者之間,有
點像是把重要文件放在家中保險箱,還是存放在銀行保管箱的差別。
Apple Pay:在地堡壘
當你在iPhone上設定Apple Pay時,信用卡資訊會被轉換成一組稱為「裝置帳號號碼」(Dev
ice Account Number, DAN)的獨特代碼。
這個代碼會被存放在手機的安全晶片中,就像是把真實的信用卡換成一張特製的代用卡。每
次交易時,系統都會使用這個代用卡號,而不是你的實際卡號。
Google Pay:雲端防衛
相較於Apple,Google Pay採用了不同的方式,當你授權付款後,它會在Google的雲端伺服
器上產生「支付令牌」(Payment Token),付款時,手機會和Google伺服器確認身份,接
著使用這個令牌來完成交易。
器上產生「支付令牌」(Payment Token),付款時,手機會和Google伺服器確認身份,接
著使用這個令牌來完成交易。
這就像是Google幫你保管了信用卡,當你需要支付時,給你一個專屬的通行證。
多重安全把關與設計考量
無論是Apple還是Google的系統,交易過程都經過多重加密保護,從商家平台到支付網路(
如Visa、Mastercard),再到發卡銀行,每一個環節都有專門的安全機制。
差別在於,Apple選擇將資料存在本機,強調「連Apple都不知道卡片資訊」的安全概念,讓
使用者的隱私資訊留在手中裝置,以達到資料保護效果
反之,Google則採用中心化管理,由其強大雲端系統統一把關,藉此也能讓規格萬萬種的An
droid手機,不論是否擁有安全晶片的設計,都能享受到方便安全的支付服務。
因此,也別硬要比Apple和Google誰強誰弱,因為這兩種方式各有優點——本地存儲可以離
線運作且資料分散存放,雲端管理則可以即時更新安全措施,且不受單一設備損壞的影響,
使用者可以安心選擇適合自己的支付方式,享受行動支付帶來的便利。
線運作且資料分散存放,雲端管理則可以即時更新安全措施,且不受單一設備損壞的影響,
使用者可以安心選擇適合自己的支付方式,享受行動支付帶來的便利。
備註
三星 knox 安全加密晶片
https://youtu.be/cSBZXC4hel8
[問卦] 有人有Gmail帳號被盜的經驗嗎?
https://bit.ly/3Sa60GZ
[問卦] 有人有Gmail帳號被盜的經驗嗎? - Gossiping板 - Disp BBS
![[圖]]()
carbomd 沒想到竟然被駭,Gmail差點拿不回來! 週五晚下載檔案後,掃毒軟體確認安全,結果點開後沒異狀,就繼續使用電腦。 過一陣子,卻發現Gmail登入不了,二階段認證的手機也無法使用, 密碼輸入竟然沒辦法
![[圖]](https://disp.cc/img/board/Gossiping.jpg)
駭客入侵後,短短三分鐘內就成功奪取我的Gmail,估計是直接跑腳本:
事後補救:電腦,手機和網路Router全面Factory reset, 密碼全部更換並改用KeePass儲存
,移除Google綁定的信用卡,
![[圖]](https://i.imgur.com/CDeNW4Eh.jpeg)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 212.102.51.249 (日本)
※ 作者: wattswatts 2025-05-19 08:44:41
※ 文章代碼(AID): #1eAdxyg_ (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1747615484.A.ABF.html
噓 : 蛤?說的好像apple pay沒把你的真實卡號送上去一樣1F 05/19 08:49
→ : ?虛擬卡號到國際卡組織怎麼轉成真實卡號扣款?想
→ : 一下就知道了
※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 08:50:04→ : ?虛擬卡號到國際卡組織怎麼轉成真實卡號扣款?想
→ : 一下就知道了
推 : 果粉又要高潮了 ,果粉請開始您們的表演4F 05/19 08:52
→ : 我只能說apple pay保護的是虛擬刷卡機跟實體刷卡機5F 05/19 08:52
→ : 到手機之間,手機出去的還是要看apple自己的資安
→ : 到手機之間,手機出去的還是要看apple自己的資安
→ : 基本上就是有se跟沒se的區別 但是google應該會朝著7F 05/19 08:54
→ : apple的方向去
→ : 不知道TEE能不能當se用
→ : apple的方向去
→ : 不知道TEE能不能當se用
推 : 果粉不需要了解這麼多,只要看到Logo是對的就夠了10F 05/19 08:54
推 : 反正都比直接打卡號安全11F 05/19 08:55
推 : G跟A pay感應應該也都比實體卡感應還安全12F 05/19 08:56
※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 09:03:03推 : 這就是用出優越感的最佳案例13F 05/19 09:04
※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 09:06:53推 : 一個雲端驗證 一個事後驗證
就金塊放自家保險箱 天天在家看著 vs 金塊放銀行保險箱 多年之後要看 卻不見了 銀行05/19 09:11不
表示我不知道XD
※ 編輯: wattswatts (37.19.205.146 日本), 05/19/2025 09:28:37
→ : 金塊也不是我的 我要用時才會變成我的15F 05/19 09:33
→ : 有人拿走?又不是我拿的 我那有差
→ : 有人拿走?又不是我拿的 我那有差
推 : 推說明,可以理解G的做法,畢竟Android硬體太多種了17F 05/19 09:39
親兒子Pixel 手機中的 Google Titan M 安全晶片 其他家安卓 有什麼?推 : 三星也是local storage吧,那就沒什麼好說的18F 05/19 09:45
推 : 要也是pixel先用se而已,這麼多廠商不可能跟他們說19F 05/19 09:45
→ : 沒se不准用gp吧
→ : 沒se不准用gp吧
推 : 兩邊都有超愛嘴對手的信徒粉絲 超好笑為信仰而戰^^b21F 05/19 10:02
推 : 我認為這個訊息基本上不是很正確,google pay 是可22F 05/19 10:35
→ : 以離線交易的,早期的 token 導致很多感應上小問題
→ : ,常常因連線失敗,現在Google Pay安全主要是而且你
→ : 手機只要有下載過Apk, 系統就會很有機會直接關掉Goo
→ : gle Pay功能 ,簡單來講就是跟蘋果一樣杜絕第三方
→ : 未認證軟體問題,但是卡片基本上就是存在手機上 ,
→ : 以離線交易的,早期的 token 導致很多感應上小問題
→ : ,常常因連線失敗,現在Google Pay安全主要是而且你
→ : 手機只要有下載過Apk, 系統就會很有機會直接關掉Goo
→ : gle Pay功能 ,簡單來講就是跟蘋果一樣杜絕第三方
→ : 未認證軟體問題,但是卡片基本上就是存在手機上 ,
推 : Apple Pay使用時手機不需要網路就能刷28F 05/19 10:47
→ : Google Pay應該需要網路吧?
→ : Google Pay應該需要網路吧?
推 : google pay可以不用連網30F 05/19 10:51
推 : google pay印象中也是存在手機31F 05/19 10:52
推 : 可以不用連網,應該說GP可以不用每次都連32F 05/19 10:56
→ : Google pay 離線交易太多次或超過金額就要連線驗證33F 05/19 10:57
推 : g pay不用連網,那這篇文就錯了吧?34F 05/19 10:58
※ 編輯: wattswatts (212.102.51.63 日本), 05/19/2025 11:07:30→ : GooglePay就HCE方式 在台灣主要是沒辦法直接存發票35F 05/19 11:11
→ : 直到今年多元支付後台改善了才對應GP信用卡載具
→ : 另外有自己SE的安卓機其實不少 三星也是有內建
→ : 台灣的NFC-SIM則是SIM卡內建SE
→ : 直到今年多元支付後台改善了才對應GP信用卡載具
→ : 另外有自己SE的安卓機其實不少 三星也是有內建
→ : 台灣的NFC-SIM則是SIM卡內建SE
推 : 台灣pay也是HCE39F 05/19 11:19
→ : 至於趨勢並非向ApplePay方式靠攏而是偏向兩者兼用40F 05/19 11:20
→ : HCE的token不用每次都聯網下載 悠遊付算比較龜毛
→ : HCE的token不用每次都聯網下載 悠遊付算比較龜毛
推 : 這篇講的應該是十來年前TSM已經上市,HCE跟Apple P42F 05/19 11:23
→ : ay剛發表的狀況,每隔一陣子就會有人考古提一下
行動支付HCE的風險與防護方案→ : ay剛發表的狀況,每隔一陣子就會有人考古提一下
https://bit.ly/4j6HDoN
GSS資安電子報0125期【手機行動支付HCE的風險與防護方案】
![[圖]]()
資料來源: Arxan 翻譯整理: 叡揚資訊 資安事業處 (某知名)信用卡公司正在展開雙臂迎接 新的手機行動支付技術-主機卡模擬(Host Card Emulation, HCE)技術。HCE 技術提供了一種新的支付方式,可以透過 APP 或是雲端服務來模擬 SIM Card 的安全元件SE(Sec ...
![[圖]](https://www.gss.com.tw/images/stories/GSSog.png)
噓 : 這什麼古文44F 05/19 12:01
噓 : 到處洗45F 05/19 12:04
→ : 這2016的廣告文早已經跟現在的HCE徹底脫節了46F 05/19 12:07
→ : 以嗶乘車來說 伺服器只給你一個效期10分鐘的token
→ : 那個token就只是一張臨時給機器感應的票車票
→ : 基本上現在HCE和SE產出的東西一樣只差來源本地雲端
→ : 以嗶乘車來說 伺服器只給你一個效期10分鐘的token
→ : 那個token就只是一張臨時給機器感應的票車票
→ : 基本上現在HCE和SE產出的東西一樣只差來源本地雲端
→ : 所以有人能發一篇2025版的嗎?50F 05/19 12:36
推 : 哇 apple 好棒 難以置信的軟體工藝51F 05/19 12:53
※ 編輯: wattswatts (37.19.205.209 日本), 05/19/2025 12:57:30→ : 現在電支採用HCE的基本上都是CloudBase方式52F 05/19 12:58
→ : 由雲端代替內建SE來生成加密token載進手機儲存使用
→ : 信用卡感應的只是一組虛擬卡號 真正安全性是在驗證
→ : 現在使用手機信用卡幾乎都要透過解鎖過程來驗證
→ : 要討論安全性絕對是驗證方式遠大於虛擬卡號的加密
→ : 而受到實體SE恩惠最大的其實是交通票證卡
→ : 交通票證有太多離線環境需求且需要寫入儲存金額
→ : 由雲端代替內建SE來生成加密token載進手機儲存使用
→ : 信用卡感應的只是一組虛擬卡號 真正安全性是在驗證
→ : 現在使用手機信用卡幾乎都要透過解鎖過程來驗證
→ : 要討論安全性絕對是驗證方式遠大於虛擬卡號的加密
→ : 而受到實體SE恩惠最大的其實是交通票證卡
→ : 交通票證有太多離線環境需求且需要寫入儲存金額
→ : 加上為了能免解鎖/開機等同實體卡的內建SE明顯優勢60F 05/19 13:17
推 : 這張圖有點奇怪,Google pay不需要一直聯網61F 05/19 13:35
→ : 那張圖只是表示GooglePay需要從伺服器下載token62F 05/19 14:06
→ : 只是信用卡虛擬卡號不必太常刷新所以能長時間離線
→ : 而像GooglePay裡的日本西瓜卡或小米一卡通一樣存SE
Re: [問題] iphone不能用悠遊卡責任在誰身上?→ : 只是信用卡虛擬卡號不必太常刷新所以能長時間離線
→ : 而像GooglePay裡的日本西瓜卡或小米一卡通一樣存SE
https://bit.ly/3ScrDGH
Re: [問題] iphone不能用悠遊卡責任在誰身上? - 看板MobileComm - PTT網頁版 1.西瓜卡:Felica 晶片 Apple也支援. 2.悠遊卡:MiFare Classic 晶片 但 Apple Pay只支援MiFare DESFire作為付款卡. 原因:Apple 認為MiFare Classic安全等級不夠,. 也的確是,1K等級的被破到爛,網路上找一下都能買到破解套件。. ...
支援googlepay就有SE? 那台灣安卓怎麼沒全品牌都能裝一卡通 裝西瓜卡 嘿嘿
※ 編輯: wattswatts (37.19.205.217 日本), 05/19/2025 14:18:12
※ 編輯: wattswatts (37.19.205.205 日本), 05/19/2025 14:24:45
→ : 誰跟你講支援GooglePay就一定有SE了65F 05/19 14:27
→ : GooglePay是原理上可支援SE
→ : 而GooglePay的西瓜卡和一卡通現狀只依附SE
小米14和小米14 Ultra搭載了恩智浦的SN220系列晶片,該晶片集成了eSIM功能、安全晶片→ : GooglePay是原理上可支援SE
→ : 而GooglePay的西瓜卡和一卡通現狀只依附SE
和近場通訊等功能,讓用戶的行動服務都在真正的Android設備上運行,可確保用戶安全無
憂。此外,眾所周知,FIDO2金鑰可以提供更安全、更簡單的密碼替代方案,能夠儲存在安
全晶片上,讓使用者在使用安全服務時更方便、更安心。
https://bit.ly/3YSxrJc
小米携手恩智浦率先采用Android Ready SE技术 | NXP 半导体
小米公司推出的旗舰小米14和小米14 Ultra,首次将eSE和NFC结合起来,让您享受基于恩智浦SN220系列的Android Ready SE带来的无限可能。 ...
小米公司推出的旗舰小米14和小米14 Ultra,首次将eSE和NFC结合起来,让您享受基于恩智浦SN220系列的Android Ready SE带来的无限可能。 ...
沒支援se手機那開放什麼googlepay
先把自家的帳號安全搞好啦
googlepay真非常安全
→ : 而台灣透過nfc-sim的SE也達到大部分品牌能用一卡通68F 05/19 14:31
※ 編輯: wattswatts (37.19.205.203 日本), 05/19/2025 14:35:18→ : GooglePay電支主要是信用卡上面講過了關鍵是在驗證69F 05/19 14:40
→ : 樓主貼了個Gmail帳號被盜 那跟SE根本毫無關係
→ : 樓主貼了個Gmail帳號被盜 那跟SE根本毫無關係
→ : 支援gp一定有tee71F 05/19 15:00
→ : 不過我有=\=我要開放
→ : 不過我有=\=我要開放
→ : Suica就是只開放實體TypeF 沒有實體TypeF直接無緣73F 05/19 15:05
→ : 而像台版Pixel有TypeF也還有系統限制需要刷機硬開
→ : 而像台版Pixel有TypeF也還有系統限制需要刷機硬開
推 : 所以拿實體卡感應就不安全了?75F 05/19 15:09
推 : 實體卡有機會被側錄76F 05/19 15:45
噓 : 發文的心態...77F 05/19 15:46
![[圖]](https://i.imgur.com/rYMXvFPh.jpeg)
推 : google pay用的方法叫HCE79F 05/19 16:12
→ : 實體信用卡要注意卡號和安全碼的流出80F 05/19 16:13
※ 編輯: wattswatts (149.40.62.39 美國), 05/19/2025 16:17:57
→ : 尤其有部分卡的卡號和安全碼印在同一面容易被偷拍81F 05/19 16:18
→ : 樓主有個觀念需要更新
→ : 內建SE真正安全性強處是針對暗碼的保存
→ : 對帳號密碼那種容易明碼出現在各種地方的效果有限
→ : 所以各種帳號密碼才會要求多方驗證
→ : 來確保帳密流出了還不見得能第一時間被登入修改
※ 編輯: wattswatts (149.40.62.39 美國), 05/19/2025 16:23:29→ : 樓主有個觀念需要更新
→ : 內建SE真正安全性強處是針對暗碼的保存
→ : 對帳號密碼那種容易明碼出現在各種地方的效果有限
→ : 所以各種帳號密碼才會要求多方驗證
→ : 來確保帳密流出了還不見得能第一時間被登入修改
推 : Google很常搭配雲端處理包括衛星定位地理資訊等都是87F 05/19 18:08
推 : 不知道iPhone未來有沒有辦法利用nfc-sim的機會?
推 : 不知道iPhone未來有沒有辦法利用nfc-sim的機會?
噓 : 一直都是商業問題89F 05/19 18:31
推 : 貧果好棒棒 估狗好爛爛 哪裡領500?90F 05/19 20:29
噓 : 你那還來得及買比特幣嗎?91F 05/19 20:56
--
※ 看板: MobileComm 文章推薦值: 0 目前人氣: 0 累積人氣: 10
作者 wattswatts 的最新發文:
- 15F 2推 13噓
![]()
【圖表】Apple Pay和Google Pay都是「嗶一下」,但背後交易機制其實完全不一樣 2025/01/07 我們想讓你知道的是 Apple Pay選擇將資料存放在手機內的「安全隔離區」也就是 …91F 27推 6噓
點此顯示更多發文記錄
→
guest
回列表(←)
分享