随着移动互联的发展,移动支付成为了各大银行、第三方支付企业和移动运营商的下一个争夺热点。一个手机在手,就可以随时转账、交电话费、交水电费、还信用卡、坐出租车、买彩票,到便利店购物、吃饭AA……加载越来越多功能的手机支付让生活变得越来越便捷的同时,我们也开始将越来越多的银行卡和信息绑定在手机支付端上。日前,一则关于手机丢失后支付宝轻易被“攻陷”的信息在互联网上流传,引起了不少用户的惊慌。加上此前微信盗号风险频出,支付宝和微信手机支付方便之余,到底是否安全引起了广泛热议。在便捷性与安全性上如何平衡,是将来移动支付商必须好好思考的问题。
案例
手机丢了支付宝账户轻易被盗?
“如果你的手机丢了,任何人仅凭借手机接收到的校验码就能找回你的支付宝密码,解除你的数字证书,盗空你的支付宝账户”,上周,一则关于支付宝丢失后如何被攻陷的“惊悚实验”帖子在微博和微信朋友圈引起了轰动。
根据帖子的攻略,若一部装有支付宝钱包的手机丢失,捡到手机的人可以使用支付宝PC短网页专供忘记密码时“找回密码”的服务,轻易通过手机验证码修改手机绑定的支付宝账号密码,从而成功突破密码障碍,顺利实现账户盗取和资金窃取行为。帖子称试验过此操作方式,支付宝钱包存在这一轻易突破的漏洞。“捡到他人手机后,任何人都可以仅通过取回密码的方式破解支付宝的登录和支付密码,从而盗走资金”。
不过,日前本报记者青紫尝试了一下支付宝手机钱包的找回密码功能。记者在网页支付宝上进行操作尝试,的确有提示“通过手机号码”找回密码的一项功能。不过,与网上帖子有所不同的是,当记者点进去之后,除了手机号码和手机验证码之外,系统设置中,取回密码还需要验证身份证信息,而并非只凭一个手机验证码就可以“打通关”。
记者在网上看到,一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作,发现果然通过一个手机校验码就成功了,而更多用户在测试过程中却发现,网帖声称的方式并不可行。
支付宝方面人士回应表示,“如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要"手机校验码+身份证信息"等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。”
分析
身份验证引发效率与安全的博弈
虽然并非如帖子所说的“手机校验证码是万能”的,但这样一个实验也确实使不少用户出了一身冷汗。业内人士表示,事实上对于第三方支付企业而言,只要在手机支付端多设几重验证“关卡”,就可以很好的防止手机丢失后账户被盗的风险,如预设的登录保密语句等,但行业大佬支付宝重点产品手机钱包为什么不多上几道锁呢?“在技术上这一点难度都没有,而且多设验证关也是不花成本的事情,但是第三方支付,尤其是手机支付注重的是综合体验,就是安全性和便捷性的平衡。我们测试过,事实上目前的支付宝出险率比例是非常低的。另外,一旦真的发生资金被盗,我们与保险(放心保)公司合作进行全额赔偿。因此用户不必过于担心。”
此前,阿里巴巴小微金融研究院院长房玄龄表示,支付宝目前资损率(支付过程中资金被盗损失的比率)为十万分之一,但在国际上,如paypal之类的网络支付,这一数据为0.3%“国内无论是银行或者是机构都可能有一些死账、坏账、呆账的问题,支付宝的业务有风险,但这个风险的概率是十万分之一,远低于日常碰到的问题或者是交通工具可能出现的问题。”支付宝相关负责人表示,“目前支付宝规模已经超过3万亿,没有这个数据谁也不敢承诺风险赔付。互联网是无孔不入,再厉害的银行都会出现“资损”,因此赔付是必须的。
据了解,整个公司有专职从事风险管理的人员400人左右,400个人里面,除了给用户一些安全管理的服务人员,有三分之一的人员专门从事技术挖掘、技术开发和分析人员。此外,有1100多台服务器专门负责安全交易检测和分析,服务器大概占整体服务器量的五分之一,也就是说切出了20%的资源放到了用户信息保护、检测和分析上面。
中国支付体系研究中心主任张宽海接受南方日报记者采访时表示,无论支付方式如何创新变革,保证资金安全永远应该是放在首位的。张宽海认为,如果支付方式的创新以牺牲安全性为代价,这样的“创新”对用户而言就没有实际意义。
深圳市圆融方德投资管理有限公司董事长冉兰也提出,对于移动支付来说,安全性是用户考量的首要标准。针对当前日趋明显的各自为战的局面,冉兰表示,“任何一个市场展开充分的竞争对于消费者来说都是好事”。但是,各自为战在实际上限制了用户使用的便捷性,在易迅买东西需要财付通的账号,淘宝上买东西要支付宝账号,在京东上买东西还要一个账号。这样的竞争对用户来说,便捷性和适用范围都大打折扣。
下一页 |