如何解决第三方支付便利与安全的矛盾

未央网 作者: 李中元

今年一月份安徽日报报道了《男子未绑定苏宁易付宝 却被两次盗刷近万元》,网络上也充斥易付宝盗刷的投诉,而苏宁品牌部回应称“这次被盗刷客户至少泄露的信息为:账号、登录密码、手机号码、支付密码或手机校验码。在这些关键信息泄漏后,犯罪分子即可盗取用户账户,伪装成用户本人在账户中操作。”,至于信息泄露原因,绝大多数是用户自身手机中了木马病毒,属网络犯罪,苏宁将和用户一起使用法律手段维护自身权益,并持续加强风控措施。但根据今年7月1日即将生效的《非银行支付机构网络支付业务管理办法》第十九条“支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。”,估计易付宝要证明自己完全无过错有点困难。

其实除了易付宝,第三方支付业内老大的支付宝被盗刷也很严重,搜索“支付宝 盗刷”结果显示:

如何解决第三方支付便利与安全的矛盾

有180多万条相关记录。可见第三方支付的盗刷是一个比较普遍的现象,特别是为了便利起见第三方支付普遍开通快捷支付,使第三方支付盗刷不仅涉及第三方支付本身的账户还会涉及银行账户,损失额度急剧上升,盗刷风险迅速放大。

第三方支付交易验证一般采用静态密码、手机验证码。静态密码具有其局限性,一是弱口令攻击,仅包含简单数字和字母或本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、手机号、证件号、E-mail地址等与本人有关的信息;二是客户的风险意识不强,无意识地泄露了自己的账户信息和交易密码,就有可能”说者无心,听者有意”,导致账户安全受到威胁;三是容易被恶意偷窥、木马窃取等方式盗用,黑客可以利用这些方式恶意操纵客户账户、从中谋取非法利益。手机验证码的攻击方式也很多,一是手机病毒木马,例如人民银行2016年3月正式下发的《金融业信息安全风险提示》中提到的“Android/Spy.Agent.SI”;二是伪基站,就是一种伪装成通信运营商基站的无线电发射装置,首先侵入运营商的网络,其次假冒信息传输过程中的验证方式,然后干扰屏蔽运营商的通讯信号,最后骗过验证环节,向手机用户发送骚扰、诈骗短信,而这个过程通常在很短时间内就能完成;三是盗换SIM卡,伪造用户身份证件或伪造临时身份证,在移动营业厅换SIM卡。

有一小部分第三方支付交易验证还采用了动态密码技术,一次一密,安全性较高,但也并非无懈可击,采用短信链接+假网站方式很容易获取到动态密码,很多银行目前也遭遇大量的这种攻击。

支付宝最安全的方式是支付盾,其内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,完全可以做到即用即插,用完收存,有效避免被窃取。而这种安全性极高的工具就在我们身边,很多人手里都不只一个:我们到各商业银行开通网银特别是专业版网银时,一般都会被推荐办理一个类似U盘的东西,不同银行对其的命名各异,如usbkey、Ukey、优K、K宝、U盾、网银盾等。这些名称不同、实际功能一致的硬件设备统称为key,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书。

这些银行key完全符合今年7月1日即将生效的《非银行支付机构网络支付业务管理办法》第二十三条:支付机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》[JR/T0118-2015]等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。这些法规已在商业银行实施多年,银行key内的数字证书及生成电子签名的过程完全符合这些要求。

互联网金融企业更强调便利性,对于每一次交易都要使用key有顾虑。但安全性与便利性一般反向相关,下图列举了密码、短信验证码、生物识别、token、软证书、硬证书等交易认证方式的便利性、安全性、抗抵赖性等曲线图,可以明显看出安全性与便利性反向相关:

如何解决第三方支付便利与安全的矛盾

如何解决非银支付机构便利与安全的矛盾,央行在《非银行支付机构网络支付业务管理办法》也给出了答案:方式不同、权限不同,兼顾安全与便利,风险防范是第一。

第二十四条规定

如何解决第三方支付便利与安全的矛盾

商业银行也普遍采用这种做法,下图就是工商银行手机银行不同安全工具限额:

如何解决第三方支付便利与安全的矛盾

很明显可以看出,央行对第三方支付、银行等在账户、交易等方面监管规则在逐步的趋同。

对于重要交易如大额转账、大额消费、权限约定等,采用银行key的解决方案,如果出现纠纷,可以调出客户当时的签名数据,证明的确是客户真实意愿的表述,平台无过错。分享银行key已经把最安全的方式做到了最便捷。

另外《非银行支付机构网络支付业务管理办法》第十一条要求支付机构通过合法安全的外部渠道进行身份基本信息验证,不同的身份验证方式给予不同的限额:

第十一条规定

如何解决第三方支付便利与安全的矛盾

如果要“自主或委托合作机构以面对面方式”核实客户身份而开立最高限额的Ⅲ类账户,这种重资产运作模式将导致互联网的优势荡然无存,还是增加合法安全的外部渠道比较靠谱,而银行key又提供了一个渠道。

银行key需要客户到各银行分支机构亲自办理,不支持代办,客户需要经过严格的身份认证资料审核、面签等过程,才能取得银行key。可见银行key发放过程非常严格。银行key内的数字证书一般都是各CA发放的,其中CFCA居多。CA都是依据《中华人民共和国电子签名法》、《电子认证服务管理办法》等取得工业与信息化部《电子认证服务许可证》的中立机构。可见银行key对第三方支付机构是合法安全的外部渠道,可以成为一个验证渠道