[討論] Apple Pay和Google Pay都是嗶一下但背後

wattswatts 發表於 2025/5/19 上午8:44:41

看板MobileComm標題[討論] Apple Pay和Google Pay都是嗶一下但背後作者

wattswatts

(挖哩)時間May 19 08:44:41 2025推噓17 推:29 噓:12 →:68

PTT推薦

【圖表】Apple Pay和Google Pay都是「嗶一下」，但背後交易機制其實完全不一樣

2025/01/07
https://www.thenewslens.com/article/246921

我們想讓你知道的是

Apple Pay選擇將資料存放在手機內的「安全隔離區」也就是所謂的「安全晶片」中，而Google Pay則是將資料存放在雲端的強大伺服器。就像把重要文件放在家中保險箱，還是存放在銀行保管箱的差別——都很安全，但本質上卻不太一樣。

https://i.meee.com.tw/7mBgI2R.jpeg

圖：梁敏萱｜文：丁肇九
在現代，人們手中的手機早已變成了數位錢包，但你是否想過，當我們使用Apple Pay或Google Pay時，信用卡資訊是如何被保護的呢？讓我們一起來了解這兩大行動支付系統的安全設計吧！
本地保護 vs 雲端加密

Apple與Google的兩種支付，系統採用了截然不同的安全策略。
Apple Pay選擇將資料存放在手機內的「安全隔離區」（Secure Element，也就是Apple所說的「安全晶片」）中，而Google Pay則是將資料存放在雲端的Google伺服器。兩者之間，有點像是把重要文件放在家中保險箱，還是存放在銀行保管箱的差別。

Apple Pay：在地堡壘

當你在iPhone上設定Apple Pay時，信用卡資訊會被轉換成一組稱為「裝置帳號號碼」（Device Account Number, DAN）的獨特代碼。
這個代碼會被存放在手機的安全晶片中，就像是把真實的信用卡換成一張特製的代用卡。每次交易時，系統都會使用這個代用卡號，而不是你的實際卡號。
Google Pay：雲端防衛

相較於Apple，Google Pay採用了不同的方式，當你授權付款後，它會在Google的雲端伺服器上產生「支付令牌」（Payment Token），付款時，手機會和Google伺服器確認身份，接著使用這個令牌來完成交易。
這就像是Google幫你保管了信用卡，當你需要支付時，給你一個專屬的通行證。

多重安全把關與設計考量

無論是Apple還是Google的系統，交易過程都經過多重加密保護，從商家平台到支付網路（如Visa、Mastercard），再到發卡銀行，每一個環節都有專門的安全機制。
差別在於，Apple選擇將資料存在本機，強調「連Apple都不知道卡片資訊」的安全概念，讓使用者的隱私資訊留在手中裝置，以達到資料保護效果
反之，Google則採用中心化管理，由其強大雲端系統統一把關，藉此也能讓規格萬萬種的Android手機，不論是否擁有安全晶片的設計，都能享受到方便安全的支付服務。
因此，也別硬要比Apple和Google誰強誰弱，因為這兩種方式各有優點——本地存儲可以離線運作且資料分散存放，雲端管理則可以即時更新安全措施，且不受單一設備損壞的影響，使用者可以安心選擇適合自己的支付方式，享受行動支付帶來的便利。

備註

三星 knox 安全加密晶片
https://youtu.be/cSBZXC4hel8

[問卦] 有人有Gmail帳號被盜的經驗嗎?
https://bit.ly/3Sa60GZ

駭客入侵後，短短三分鐘內就成功奪取我的Gmail，估計是直接跑腳本：

事後補救：電腦,手機和網路Router全面Factory reset，密碼全部更換並改用KeePass儲存，移除Google綁定的信用卡，

推 ShaoRouRou: https://i.imgur.com/CDeNW4E.jpeg

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 212.102.51.249 (日本)

※ 文章網址:

https://www.ptt.cc/MobileComm/E.yMwIzTV5HZTY

噓

kimi112136 05/19 08:49蛤？說的好像apple pay沒把你的真實卡號送上去一樣

→

kimi112136 05/19 08:49？虛擬卡號到國際卡組織怎麼轉成真實卡號扣款？想

→

kimi112136 05/19 08:49一下就知道了

※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 08:50:04

推

Seckel 05/19 08:52果粉又要高潮了，果粉請開始您們的表演

→

kimi112136 05/19 08:52我只能說apple pay保護的是虛擬刷卡機跟實體刷卡機

→

kimi112136 05/19 08:52到手機之間，手機出去的還是要看apple自己的資安

→

tomsawyer 05/19 08:54基本上就是有se跟沒se的區別但是google應該會朝著

→

tomsawyer 05/19 08:54apple的方向去

→

tomsawyer 05/19 08:54不知道TEE能不能當se用

推

answer01210305/19 08:54果粉不需要了解這麼多，只要看到Logo是對的就夠了

推

ayuhb 05/19 08:55反正都比直接打卡號安全

推

jasonbass 05/19 08:56G跟A pay感應應該也都比實體卡感應還安全

※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 09:03:03

推

issemn 05/19 09:04這就是用出優越感的最佳案例

※ 編輯: wattswatts (212.102.51.249 日本), 05/19/2025 09:06:53

推

widec 05/19 09:11不一個雲端驗證一個事後驗證

就金塊放自家保險箱天天在家看著 vs 金塊放銀行保險箱多年之後要看卻不見了銀行表示我不知道XD

※ 編輯: wattswatts (37.19.205.146 日本), 05/19/2025 09:28:37

→

ayuhb 05/19 09:33金塊也不是我的我要用時才會變成我的

→

ayuhb 05/19 09:33有人拿走？又不是我拿的我那有差

推

avans 05/19 09:39推說明，可以理解G的做法，畢竟Android硬體太多種了

親兒子Pixel 手機中的 Google Titan M 安全晶片其他家安卓有什麼？

推

cityport 05/19 09:45三星也是local storage吧，那就沒什麼好說的

推

awin519 05/19 09:45要也是pixel先用se而已，這麼多廠商不可能跟他們說

→

awin519 05/19 09:45沒se不准用gp吧

推

violetish 05/19 10:02兩邊都有超愛嘴對手的信徒粉絲超好笑為信仰而戰^^b

推

vhygdih 05/19 10:35我認為這個訊息基本上不是很正確，google pay 是可

→

vhygdih 05/19 10:35以離線交易的，早期的 token 導致很多感應上小問題

→

vhygdih 05/19 10:35，常常因連線失敗，現在Google Pay安全主要是而且你

→

vhygdih 05/19 10:35手機只要有下載過Apk, 系統就會很有機會直接關掉Goo

→

vhygdih 05/19 10:35gle Pay功能，簡單來講就是跟蘋果一樣杜絕第三方

→

vhygdih 05/19 10:35未認證軟體問題，但是卡片基本上就是存在手機上，

推

ryuhuang 05/19 10:47Apple Pay使用時手機不需要網路就能刷

→

ryuhuang 05/19 10:47Google Pay應該需要網路吧？

推

aotom 05/19 10:51google pay可以不用連網

推

a6268538 05/19 10:52google pay印象中也是存在手機

推

aalittle 05/19 10:56可以不用連網,應該說GP可以不用每次都連

→

Jintsu 05/19 10:57Google pay 離線交易太多次或超過金額就要連線驗證

推

stilu 05/19 10:58g pay不用連網，那這篇文就錯了吧？

※ 編輯: wattswatts (212.102.51.63 日本), 05/19/2025 11:07:30

→

manbow77 05/19 11:11GooglePay就HCE方式在台灣主要是沒辦法直接存發票

→

manbow77 05/19 11:12直到今年多元支付後台改善了才對應GP信用卡載具

→

manbow77 05/19 11:13另外有自己SE的安卓機其實不少三星也是有內建

→

manbow77 05/19 11:14台灣的NFC-SIM則是SIM卡內建SE

推

EPIRB406 05/19 11:19台灣pay也是HCE

→

manbow77 05/19 11:20至於趨勢並非向ApplePay方式靠攏而是偏向兩者兼用

→

manbow77 05/19 11:21HCE的token不用每次都聯網下載悠遊付算比較龜毛

推

xoy 05/19 11:23這篇講的應該是十來年前TSM已經上市，HCE跟Apple P

→

xoy 05/19 11:23ay剛發表的狀況，每隔一陣子就會有人考古提一下

行動支付HCE的風險與防護方案

https://bit.ly/4j6HDoN

※ 編輯: wattswatts (149.88.103.34 日本), 05/19/2025 12:00:37

噓

basacola 05/19 12:01這什麼古文

噓

GXIII 05/19 12:04到處洗

→

manbow77 05/19 12:07這2016的廣告文早已經跟現在的HCE徹底脫節了

→

manbow77 05/19 12:13以嗶乘車來說伺服器只給你一個效期10分鐘的token

→

manbow77 05/19 12:14那個token就只是一張臨時給機器感應的票車票

→

manbow77 05/19 12:22基本上現在HCE和SE產出的東西一樣只差來源本地雲端

→

kpg0427 05/19 12:36所以有人能發一篇2025版的嗎？

推

MrCool5566 05/19 12:53哇 apple 好棒難以置信的軟體工藝

※ 編輯: wattswatts (37.19.205.209 日本), 05/19/2025 12:57:30

→

manbow77 05/19 12:58現在電支採用HCE的基本上都是CloudBase方式

→

manbow77 05/19 13:00由雲端代替內建SE來生成加密token載進手機儲存使用

→

manbow77 05/19 13:02信用卡感應的只是一組虛擬卡號真正安全性是在驗證

→

manbow77 05/19 13:03現在使用手機信用卡幾乎都要透過解鎖過程來驗證

→

manbow77 05/19 13:05要討論安全性絕對是驗證方式遠大於虛擬卡號的加密

→

manbow77 05/19 13:08而受到實體SE恩惠最大的其實是交通票證卡

→

manbow77 05/19 13:15交通票證有太多離線環境需求且需要寫入儲存金額

推

ShaoRouRou 05/19 13:16 https://i.imgur.com/CDeNW4E.jpeg

→

manbow77 05/19 13:17加上為了能免解鎖/開機等同實體卡的內建SE明顯優勢

推

theevilM 05/19 13:35這張圖有點奇怪，Google pay不需要一直聯網

→

manbow77 05/19 14:06那張圖只是表示GooglePay需要從伺服器下載token

→

manbow77 05/19 14:07只是信用卡虛擬卡號不必太常刷新所以能長時間離線

→

manbow77 05/19 14:09而像GooglePay裡的日本西瓜卡或小米一卡通一樣存SE

Re: [問題] iphone不能用悠遊卡責任在誰身上？

https://bit.ly/3ScrDGH

支援googlepay就有SE? 那台灣安卓怎麼沒全品牌都能裝一卡通裝西瓜卡嘿嘿

※ 編輯: wattswatts (37.19.205.217 日本), 05/19/2025 14:18:12

※ 編輯: wattswatts (37.19.205.205 日本), 05/19/2025 14:24:45

→

manbow77 05/19 14:27誰跟你講支援GooglePay就一定有SE了

→

manbow77 05/19 14:28GooglePay是原理上可支援SE

→

manbow77 05/19 14:29而GooglePay的西瓜卡和一卡通現狀只依附SE

小米14和小米14 Ultra搭載了恩智浦的SN220系列晶片，該晶片集成了eSIM功能、安全晶片和近場通訊等功能，讓用戶的行動服務都在真正的Android設備上運行，可確保用戶安全無憂。此外，眾所周知，FIDO2金鑰可以提供更安全、更簡單的密碼替代方案，能夠儲存在安全晶片上，讓使用者在使用安全服務時更方便、更安心。

https://bit.ly/3YSxrJc

沒支援se手機那開放什麼googlepay 先把自家的帳號安全搞好啦 googlepay真非常安全

→

manbow77 05/19 14:31而台灣透過nfc-sim的SE也達到大部分品牌能用一卡通

※ 編輯: wattswatts (37.19.205.203 日本), 05/19/2025 14:35:18

→

manbow77 05/19 14:40GooglePay電支主要是信用卡上面講過了關鍵是在驗證

→

manbow77 05/19 14:46樓主貼了個Gmail帳號被盜那跟SE根本毫無關係

→

tomsawyer 05/19 15:00支援gp一定有tee

→

tomsawyer 05/19 15:00不過我有=\=我要開放

→

manbow77 05/19 15:05Suica就是只開放實體TypeF 沒有實體TypeF直接無緣

→

manbow77 05/19 15:06而像台版Pixel有TypeF也還有系統限制需要刷機硬開

推

xbearboy 05/19 15:09所以拿實體卡感應就不安全了？

推

ssshleo 05/19 15:45實體卡有機會被側錄

噓

rz759 05/19 15:46發文的心態...

→

haveastar 05/19 16:06http://i.imgur.com/rYMXvFP.jpg

一些大廠商花錢花閒功夫花時間研發特別使用硬體加密晶片是在犯傻摟？

推

ntutworm 05/19 16:12google pay用的方法叫HCE

→

manbow77 05/19 16:13實體信用卡要注意卡號和安全碼的流出

※ 編輯: wattswatts (149.40.62.39 美國), 05/19/2025 16:17:57

→

manbow77 05/19 16:18尤其有部分卡的卡號和安全碼印在同一面容易被偷拍

→

manbow77 05/19 16:20樓主有個觀念需要更新

→

manbow77 05/19 16:20內建SE真正安全性強處是針對暗碼的保存

→

manbow77 05/19 16:21對帳號密碼那種容易明碼出現在各種地方的效果有限

→

manbow77 05/19 16:22所以各種帳號密碼才會要求多方驗證

→

manbow77 05/19 16:23來確保帳密流出了還不見得能第一時間被登入修改

※ 編輯: wattswatts (149.40.62.39 美國), 05/19/2025 16:23:29

推

jhjhs33504 05/19 18:08Google很常搭配雲端處理包括衛星定位地理資訊等都是

推

jhjhs33504 05/19 18:12不知道iPhone未來有沒有辦法利用nfc-sim的機會?

快淘汰的產品都快收攤了

噓

sinclaireche05/19 18:31一直都是商業問題

推

weltschmerz 05/19 20:29貧果好棒棒估狗好爛爛哪裡領500?

用上硬體加密晶片的三星小米哪時候出iphone手機了？

噓

piyopiyolee 05/19 20:56你那還來得及買比特幣嗎？

→

oread168 05/20 00:56對應信用卡載具的機器超少

噓

Informatik 05/20 01:02史前大火每個版洗文章喔

噓

LoKira 05/20 03:10洗

→

manbow77 05/20 07:02其實不少多元支付機從前幾年開始就對應信用卡載具

→

manbow77 05/20 07:04但店員不見得懂操作及尚未對應GooglePay存發票

→

manbow77 05/20 07:06今年初系統後台更新後GooglePay才能完全等同實體卡

→

manbow77 05/20 07:22現在支付選項「多元信用卡」發票選項「多元票證」

→

manbow77 05/20 07:24就能讓GooglePay跟實體信用卡一樣當發票載具了

→

manbow77 05/20 07:27體感上超商店員比較熟這塊直接講存信用卡大多通用

噓

a123274 05/20 08:16嗯

※ 編輯: wattswatts (138.199.21.197 日本), 05/20/2025 08:21:27

推

horb 05/20 11:07兩家的pay都很好用。沒什麼好吵的

噓

rz759 05/20 11:25優越仔硬要踩其他家只會讓人越來越反感

噓

markhbad54 05/20 14:08如果把google伺服器改名"安全代碼服務商"......

推

ja9740807 05/20 21:28講一堆扯到發票載具

→

ja9740807 05/20 21:28跟原文要講的安全性有什麼關係嗎？

噓

d86123 05/20 21:45原PO捧一踩一的心態不健康

→

oread168 05/20 22:26超無聊被盜就刷退就好了

→

oread168 05/20 22:27wallet時期就在用根本沒被盜過= =

其他人也閱讀了

PTT 熱門相關