作者wattswatts (挖哩)
看板MobileComm
標題[討論] Apple Pay和Google Pay都是嗶一下但背後
時間Mon May 19 08:44:41 2025
【圖表】Apple Pay和Google Pay都是「嗶一下」,但背後交易機制其實完全不一樣
2025/01/07
https://www.thenewslens.com/article/246921
我們想讓你知道的是
Apple Pay選擇將資料存放在手機內的「安全隔離區」也就是所謂的「安全晶片」中,而Goo
gle Pay則是將資料存放在雲端的強大伺服器。
就像把重要文件放在家中保險箱,還是存放
在銀行保管箱的差別——都很安全,但本質上卻不太一樣。
https://i.meee.com.tw/7mBgI2R.jpeg
圖:梁敏萱|文:丁肇九
在現代,人們手中的手機早已變成了數位錢包,但你是否想過,當我們使用Apple Pay或Goo
gle Pay時,信用卡資訊是如何被保護的呢?讓我們一起來了解這兩大行動支付系統的安全
設計吧!
本地保護 vs 雲端加密
Apple與Google的兩種支付,系統採用了截然不同的安全策略。
Apple Pay選擇將資料存放在手機內的「安全隔離區」(Secure Element,也就是Apple所說
的「安全晶片」)中,而Google Pay則是將資料存放在雲端的Google伺服器。兩者之間,有
點像是把重要文件放在家中保險箱,還是存放在銀行保管箱的差別。
Apple Pay:在地堡壘
當你在iPhone上設定Apple Pay時,信用卡資訊會被轉換成一組稱為「裝置帳號號碼」(Dev
ice Account Number, DAN)的獨特代碼。
這個代碼會被存放在手機的安全晶片中,就像是把真實的信用卡換成一張特製的代用卡。每
次交易時,系統都會使用這個代用卡號,而不是你的實際卡號。
Google Pay:雲端防衛
相較於Apple,Google Pay採用了不同的方式,當你授權付款後,它會在Google的雲端伺服
器上產生「支付令牌」(Payment Token),付款時,手機會和Google伺服器確認身份,接
著使用這個令牌來完成交易。
這就像是Google幫你保管了信用卡,當你需要支付時,給你一個專屬的通行證。
多重安全把關與設計考量
無論是Apple還是Google的系統,交易過程都經過多重加密保護,從商家平台到支付網路(
如Visa、Mastercard),再到發卡銀行,每一個環節都有專門的安全機制。
差別在於,Apple選擇將資料存在本機,強調「連Apple都不知道卡片資訊」的安全概念,讓
使用者的隱私資訊留在手中裝置,以達到資料保護效果
反之,Google則採用中心化管理,由其強大雲端系統統一把關,藉此也能讓規格萬萬種的An
droid手機,不論是否擁有安全晶片的設計,都能享受到方便安全的支付服務。
因此,也別硬要比Apple和Google誰強誰弱,因為這兩種方式各有優點——本地存儲可以離
線運作且資料分散存放,雲端管理則可以即時更新安全措施,且不受單一設備損壞的影響,
使用者可以安心選擇適合自己的支付方式,享受行動支付帶來的便利。
備註
三星 knox 安全加密晶片
https://youtu.be/cSBZXC4hel8
[問卦] 有人有Gmail帳號被盜的經驗嗎?
https://bit.ly/3Sa60GZ
駭客入侵後,短短三分鐘內就成功奪取我的Gmail,估計是直接跑腳本:
事後補救:電腦,手機和網路Router全面Factory reset, 密碼全部更換並改用KeePass儲存
,移除Google綁定的信用卡,
推 ShaoRouRou:
https://i.imgur.com/CDeNW4E.jpeg
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 212.102.51.249 (日本)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobileComm/M.1747615484.A.ABF.html
1F:噓 kimi112136 : 蛤?說的好像apple pay沒把你的真實卡號送上去一樣05/19 08:49
2F:→ kimi112136 : ?虛擬卡號到國際卡組織怎麼轉成真實卡號扣款?想05/19 08:49
3F:→ kimi112136 : 一下就知道了05/19 08:49
※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 08:50:04
4F:推 Seckel : 果粉又要高潮了 ,果粉請開始您們的表演05/19 08:52
5F:→ kimi112136 : 我只能說apple pay保護的是虛擬刷卡機跟實體刷卡機05/19 08:52
6F:→ kimi112136 : 到手機之間,手機出去的還是要看apple自己的資安05/19 08:52
7F:→ tomsawyer : 基本上就是有se跟沒se的區別 但是google應該會朝著05/19 08:54
8F:→ tomsawyer : apple的方向去05/19 08:54
9F:→ tomsawyer : 不知道TEE能不能當se用05/19 08:54
10F:推 answer012103: 果粉不需要了解這麼多,只要看到Logo是對的就夠了05/19 08:54
11F:推 ayuhb : 反正都比直接打卡號安全05/19 08:55
12F:推 jasonbass : G跟A pay感應應該也都比實體卡感應還安全05/19 08:56
※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 09:03:03
13F:推 issemn : 這就是用出優越感的最佳案例05/19 09:04
※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 09:06:53
14F:推 widec : 一個雲端驗證 一個事後驗證05/19 09:11不
就金塊放自家保險箱 天天在家看著 vs 金塊放銀行保險箱 多年之後要看 卻不見了 銀行
表示我不知道XD
※ 編輯: wattswatts (37.19.205.146 日本), 05/19/2025 09:28:37
15F:→ ayuhb : 金塊也不是我的 我要用時才會變成我的05/19 09:33
16F:→ ayuhb : 有人拿走?又不是我拿的 我那有差 05/19 09:33
17F:推 avans : 推說明,可以理解G的做法,畢竟Android硬體太多種了 05/19 09:39
親兒子Pixel 手機中的 Google Titan M 安全晶片 其他家安卓 有什麼?
18F:推 cityport : 三星也是local storage吧,那就沒什麼好說的 05/19 09:45
19F:推 awin519 : 要也是pixel先用se而已,這麼多廠商不可能跟他們說05/19 09:45
20F:→ awin519 : 沒se不准用gp吧 05/19 09:45
21F:推 violetish : 兩邊都有超愛嘴對手的信徒粉絲 超好笑為信仰而戰^^b 05/19 10:02
22F:推 vhygdih : 我認為這個訊息基本上不是很正確,google pay 是可 05/19 10:35
23F:→ vhygdih : 以離線交易的,早期的 token 導致很多感應上小問題 05/19 10:35
24F:→ vhygdih : ,常常因連線失敗,現在Google Pay安全主要是而且你 05/19 10:35
25F:→ vhygdih : 手機只要有下載過Apk, 系統就會很有機會直接關掉Goo 05/19 10:35
26F:→ vhygdih : gle Pay功能 ,簡單來講就是跟蘋果一樣杜絕第三方 05/19 10:35
27F:→ vhygdih : 未認證軟體問題,但是卡片基本上就是存在手機上 , 05/19 10:35
28F:推 ryuhuang : Apple Pay使用時手機不需要網路就能刷 05/19 10:47
29F:→ ryuhuang : Google Pay應該需要網路吧?05/19 10:47
30F:推 aotom : google pay可以不用連網05/19 10:51
31F:推 a6268538 : google pay印象中也是存在手機05/19 10:52
32F:推 aalittle : 可以不用連網,應該說GP可以不用每次都連 05/19 10:56
33F:→ Jintsu : Google pay 離線交易太多次或超過金額就要連線驗證 05/19 10:57
34F:推 stilu : g pay不用連網,那這篇文就錯了吧?05/19 10:58
※ 編輯: wattswatts (212.102.51.63 日本), 05/19/2025 11:07:30
35F:→ manbow77 : GooglePay就HCE方式 在台灣主要是沒辦法直接存發票 05/19 11:11
36F:→ manbow77 : 直到今年多元支付後台改善了才對應GP信用卡載具 05/19 11:12
37F:→ manbow77 : 另外有自己SE的安卓機其實不少 三星也是有內建05/19 11:13
38F:→ manbow77 : 台灣的NFC-SIM則是SIM卡內建SE05/19 11:14
39F:推 EPIRB406 : 台灣pay也是HCE 05/19 11:19
40F:→ manbow77 : 至於趨勢並非向ApplePay方式靠攏而是偏向兩者兼用 05/19 11:20
41F:→ manbow77 : HCE的token不用每次都聯網下載 悠遊付算比較龜毛 05/19 11:21
42F:推 xoy : 這篇講的應該是十來年前TSM已經上市,HCE跟Apple P 05/19 11:23
43F:→ xoy : ay剛發表的狀況,每隔一陣子就會有人考古提一下 05/19 11:23
行動支付HCE的風險與防護方案
https://bit.ly/4j6HDoN
※ 編輯: wattswatts (149.88.103.34 日本), 05/19/2025 12:00:37
44F:噓 basacola : 這什麼古文 05/19 12:01
45F:噓 GXIII : 到處洗 05/19 12:04
46F:→ manbow77 : 這2016的廣告文早已經跟現在的HCE徹底脫節了 05/19 12:07
47F:→ manbow77 : 以嗶乘車來說 伺服器只給你一個效期10分鐘的token 05/19 12:13
48F:→ manbow77 : 那個token就只是一張臨時給機器感應的票車票 05/19 12:14
49F:→ manbow77 : 基本上現在HCE和SE產出的東西一樣只差來源本地雲端 05/19 12:22
50F:→ kpg0427 : 所以有人能發一篇2025版的嗎? 05/19 12:36
51F:推 MrCool5566 : 哇 apple 好棒 難以置信的軟體工藝 05/19 12:53
※ 編輯: wattswatts (37.19.205.209 日本), 05/19/2025 12:57:30
52F:→ manbow77 : 現在電支採用HCE的基本上都是CloudBase方式05/19 12:58
53F:→ manbow77 : 由雲端代替內建SE來生成加密token載進手機儲存使用05/19 13:00
54F:→ manbow77 : 信用卡感應的只是一組虛擬卡號 真正安全性是在驗證05/19 13:02
55F:→ manbow77 : 現在使用手機信用卡幾乎都要透過解鎖過程來驗證05/19 13:03
56F:→ manbow77 : 要討論安全性絕對是驗證方式遠大於虛擬卡號的加密05/19 13:05
57F:→ manbow77 : 而受到實體SE恩惠最大的其實是交通票證卡05/19 13:08
58F:→ manbow77 : 交通票證有太多離線環境需求且需要寫入儲存金額05/19 13:15
60F:→ manbow77 : 加上為了能免解鎖/開機等同實體卡的內建SE明顯優勢 05/19 13:17
61F:推 theevilM : 這張圖有點奇怪,Google pay不需要一直聯網 05/19 13:35
62F:→ manbow77 : 那張圖只是表示GooglePay需要從伺服器下載token05/19 14:06
63F:→ manbow77 : 只是信用卡虛擬卡號不必太常刷新所以能長時間離線05/19 14:07
64F:→ manbow77 : 而像GooglePay裡的日本西瓜卡或小米一卡通一樣存SE05/19 14:09
Re: [問題] iphone不能用悠遊卡責任在誰身上?
https://bit.ly/3ScrDGH
支援googlepay就有SE? 那台灣安卓怎麼沒全品牌都能裝一卡通 裝西瓜卡 嘿嘿
※ 編輯: wattswatts (37.19.205.217 日本), 05/19/2025 14:18:12
※ 編輯: wattswatts (37.19.205.205 日本), 05/19/2025 14:24:45
65F:→ manbow77 : 誰跟你講支援GooglePay就一定有SE了 05/19 14:27
66F:→ manbow77 : GooglePay是原理上可支援SE 05/19 14:28
67F:→ manbow77 : 而GooglePay的西瓜卡和一卡通現狀只依附SE05/19 14:29
小米14和小米14 Ultra搭載了恩智浦的SN220系列晶片,該晶片集成了eSIM功能、安全晶片
和近場通訊等功能,讓用戶的行動服務都在真正的Android設備上運行,可確保用戶安全無
憂。此外,眾所周知,FIDO2金鑰可以提供更安全、更簡單的密碼替代方案,能夠儲存在安
全晶片上,讓使用者在使用安全服務時更方便、更安心。
https://bit.ly/3YSxrJc
沒支援se手機那開放什麼googlepay
先把自家的帳號安全搞好啦
googlepay真非常安全
68F:→ manbow77 : 而台灣透過nfc-sim的SE也達到大部分品牌能用一卡通05/19 14:31
※ 編輯: wattswatts (37.19.205.203 日本), 05/19/2025 14:35:18
69F:→ manbow77 : GooglePay電支主要是信用卡上面講過了關鍵是在驗證 05/19 14:40
70F:→ manbow77 : 樓主貼了個Gmail帳號被盜 那跟SE根本毫無關係 05/19 14:46
71F:→ tomsawyer : 支援gp一定有tee05/19 15:00
72F:→ tomsawyer : 不過我有=\=我要開放05/19 15:00
73F:→ manbow77 : Suica就是只開放實體TypeF 沒有實體TypeF直接無緣05/19 15:05
74F:→ manbow77 : 而像台版Pixel有TypeF也還有系統限制需要刷機硬開 05/19 15:06
75F:推 xbearboy : 所以拿實體卡感應就不安全了?05/19 15:09
76F:推 ssshleo : 實體卡有機會被側錄05/19 15:45
77F:噓 rz759 : 發文的心態... 05/19 15:46
一些大廠商 花錢花閒功夫花時間研發 特別使用硬體加密晶片 是在犯傻摟?
79F:推 ntutworm : google pay用的方法叫HCE 05/19 16:12
80F:→ manbow77 : 實體信用卡要注意卡號和安全碼的流出 05/19 16:13
※ 編輯: wattswatts (149.40.62.39 美國), 05/19/2025 16:17:57
81F:→ manbow77 : 尤其有部分卡的卡號和安全碼印在同一面容易被偷拍05/19 16:18
82F:→ manbow77 : 樓主有個觀念需要更新05/19 16:20
83F:→ manbow77 : 內建SE真正安全性強處是針對暗碼的保存05/19 16:20
84F:→ manbow77 : 對帳號密碼那種容易明碼出現在各種地方的效果有限05/19 16:21
85F:→ manbow77 : 所以各種帳號密碼才會要求多方驗證05/19 16:22
86F:→ manbow77 : 來確保帳密流出了還不見得能第一時間被登入修改 05/19 16:23
※ 編輯: wattswatts (149.40.62.39 美國), 05/19/2025 16:23:29
87F:推 jhjhs33504 : Google很常搭配雲端處理包括衛星定位地理資訊等都是 05/19 18:08
88F:推 jhjhs33504 : 不知道iPhone未來有沒有辦法利用nfc-sim的機會? 05/19 18:12
快淘汰的產品 都快收攤了
89F:噓 sinclaireche: 一直都是商業問題 05/19 18:31
90F:推 weltschmerz : 貧果好棒棒 估狗好爛爛 哪裡領500? 05/19 20:29
用上硬體加密晶片的三星 小米 哪時候出iphone手機了?
91F:噓 piyopiyolee : 你那還來得及買比特幣嗎? 05/19 20:56
92F:→ oread168 : 對應信用卡載具的機器超少 05/20 00:56
93F:噓 Informatik : 史前大火每個版洗文章喔 05/20 01:02
94F:噓 LoKira : 洗 05/20 03:10
95F:→ manbow77 : 其實不少多元支付機從前幾年開始就對應信用卡載具 05/20 07:02
96F:→ manbow77 : 但店員不見得懂操作及尚未對應GooglePay存發票 05/20 07:04
97F:→ manbow77 : 今年初系統後台更新後GooglePay才能完全等同實體卡 05/20 07:06
98F:→ manbow77 : 現在支付選項「多元信用卡」發票選項「多元票證」 05/20 07:22
99F:→ manbow77 : 就能讓GooglePay跟實體信用卡一樣當發票載具了 05/20 07:24
100F:→ manbow77 : 體感上超商店員比較熟這塊直接講存信用卡大多通用 05/20 07:27
101F:噓 a123274 : 嗯 05/20 08:16
※ 編輯: wattswatts (138.199.21.197 日本), 05/20/2025 08:21:27
102F:推 horb : 兩家的pay都很好用。沒什麼好吵的 05/20 11:07
103F:噓 rz759 : 優越仔硬要踩其他家只會讓人越來越反感 05/20 11:25
104F:噓 markhbad54 : 如果把google伺服器改名"安全代碼服務商"...... 05/20 14:08
105F:推 ja9740807 : 講一堆扯到發票載具 05/20 21:28
106F:→ ja9740807 : 跟原文要講的安全性有什麼關係嗎? 05/20 21:28
107F:噓 d86123 : 原PO捧一踩一的心態不健康 05/20 21:45
108F:→ oread168 : 超無聊 被盜就刷退就好了 05/20 22:26
109F:→ oread168 : wallet時期就在用 根本沒被盜過= = 05/20 22:27
110F:推 xluds24805 : 看起來 apple pay 真危險。拿有不能修復的晶片漏洞 05/23 10:22
111F:→ xluds24805 : 的 iphone 的人,可能很容易就被盜刷了 05/23 10:22
112F:→ xluds24805 : 難怪 apple pay 被盜刷的新聞那麼多 05/23 10:23