網(wǎng)上支付安全能說到做到嗎？

最近一系列的網(wǎng)絡(luò)安全事件引發(fā)很多人對互聯(lián)網(wǎng)金融的擔(dān)憂，甚至開始懷疑互聯(lián)網(wǎng)金融的支付安全。實際上，互聯(lián)網(wǎng)金融的安全風(fēng)險并非主要來自系統(tǒng)端，而是來自用戶端?；ヂ?lián)網(wǎng)金融公司的系統(tǒng)建設(shè)有規(guī)范、有標(biāo)準(zhǔn)，還有各種行業(yè)監(jiān)管，其安全風(fēng)險是完全可控的，而用戶在使用過程中帶來的風(fēng)險卻更復(fù)雜更高危。

不過，支付安全與否并非是互聯(lián)網(wǎng)金融公司的承諾與聲明就可以讓用戶相信，而支付安全的程度更是互聯(lián)網(wǎng)金融公司生存的基石，絕對容不得一點馬虎。

感覺安全對用戶來說非常重要

多數(shù)人都知道在網(wǎng)絡(luò)上進(jìn)行資金的交易存在安全隱患，所以，往往使用很復(fù)雜的密碼，或者經(jīng)常更換密碼，以此來提高安全水平。這種做法是正確的，使用含有數(shù)字、字母或者其他特殊符號的密碼當(dāng)然有利于提高安全等級，但這種做法在很大程度上也只是提高了用戶自己對安全的感知。

安全是一種個人的感知，就如同我們離開家的時候都會鎖上門，甚至?xí)榱烁鼜姷陌踩卸x擇安裝最貴的防盜門或超B門鎖。可我們事實上也都清楚，這些防盜門和門鎖對于職業(yè)盜賊都是小兒科，并不能保證家庭財產(chǎn)的安全。不過，正因為在安全上的投入增加，我們的安全感也增加了。

同樣的道理，賬戶和密碼在網(wǎng)絡(luò)上也是防君子不防小人的安全程序，并不能抵抗黑客或詐騙分子的各種攻擊與全套，我們要保障網(wǎng)絡(luò)上的支付安全需要更為先進(jìn)的理念或方式，其中最重要的安全依靠的是支付系統(tǒng)的后臺安全機(jī)制。

在這方面，支付公司會在用戶的支付環(huán)節(jié)上設(shè)置多種安全“印象”，比如，要求用戶兩次輸入賬號或密碼，而且不能使用拷貝，這樣可以很大限度的保證用戶不會支付到錯誤的賬戶，還有，在用戶登陸賬戶或進(jìn)行支付的時候還會要求輸入驗證碼，包括隨機(jī)數(shù)字、字母或文字、圖片識別等，甚至，12306網(wǎng)站現(xiàn)在都在要求用戶輸入需要經(jīng)過“智力測驗”一般的圖形問題。正是因為這些的“麻煩”，用戶會感覺到比較安全。

更重要的是，對于用戶的安全感知來說，互聯(lián)網(wǎng)金融公司在安全領(lǐng)域的投入越大，用戶對安全的感知就會越好。這些投入包括資金方面的投入，也包括在科技研發(fā)、人力子夜及系統(tǒng)建設(shè)上的持續(xù)加強等等，讓用戶知道這些努力，會大大提高用戶的安全感知。

當(dāng)然，如果要讓用戶有更強的安全感，并不能完全依賴技術(shù)的提升，還必須通過保險設(shè)計來達(dá)到。按照現(xiàn)在的技術(shù)標(biāo)準(zhǔn)，支付寶已經(jīng)達(dá)到了百萬分之一的風(fēng)險控制率，這樣的標(biāo)準(zhǔn)在業(yè)內(nèi)都是領(lǐng)先的，但也不能完全打消用戶的擔(dān)心。于是，支付寶推出了賬戶安全險，通過金融的方式解決金融的問題，0.88元可以一年保100萬，出現(xiàn)支付安全問題可以全額得到賠償，也就打消了用戶的擔(dān)心。

密碼仍然是用戶安全的第一道防線

雖然更高級的密碼并不能更好的保障用戶的支付安全，但密碼仍是用戶安全的第一道防線。對于非職業(yè)的網(wǎng)絡(luò)攻擊或者意外引發(fā)的安全隱患，密碼還是具有很好的保護(hù)作用，至少可以讓用戶躲過很多初級的安全風(fēng)險。

根據(jù)支付寶的數(shù)據(jù)和安全防護(hù)經(jīng)驗，用戶密碼的被盜取或丟失有幾種類型，占比最大的是掃號和社工。

所謂掃號，是指你在別的網(wǎng)站的賬號密碼被壞人知道了，然后壞人用這套密碼來登錄支付寶等，因為不少懶人在所有網(wǎng)站用的都是一套密碼，所以很多壞人會利用其他渠道得到的密碼來試著打開你的支付賬號。因此，要想保護(hù)密碼，我們最好將重要的支付賬號和密碼設(shè)置成與其他普通的網(wǎng)絡(luò)賬號密碼完全不同的名稱或組合，這將大大提高你的支付安全性。

所謂社工，就是假冒各種公檢法、熟人好友、假客服等，通過短信、聊天工具，把你的各類信息騙走，然后盜取或是更改你的密碼，以此來使用你的支付工具進(jìn)行轉(zhuǎn)賬或消費。這種方式最難以防范，屬于典型的詐騙犯罪的受害者，最好的應(yīng)對便是掌握根本原則，密碼決不告訴任何人，打死都不說，因為合法的機(jī)構(gòu)或者客服是絕對不會向用戶索取密碼的。

此外，釣魚和木馬也是盜取密碼的重要方式。所謂釣魚，就是搞個假網(wǎng)站，比如弄個tiaobao.com，長得和淘寶很像，蒙騙你去輸入，當(dāng)你一輸入，信息就泄露了。木馬就是中毒，這些木馬隱藏在你在電腦或手機(jī)中，記錄下的各種錄入傳送給黑客。面對這種威脅，最好的方式是多個心眼，不亂打開網(wǎng)絡(luò)鏈接，不隨意安裝不明的應(yīng)用程序，還要安裝相關(guān)安全軟件定期更新。

支付寶的數(shù)據(jù)顯示，之前外界很擔(dān)心的手機(jī)丟失導(dǎo)致的問題占比并不高，大概是2%，可見大家的密碼保護(hù)等還是有一定的幫助，特別是手機(jī)鎖屏等。當(dāng)然，一旦手機(jī)丟失或發(fā)現(xiàn)自己原來的手機(jī)號被二次放號，就應(yīng)該快速的更改重要的賬戶密碼信息，或者與運營商進(jìn)行溝通處理。

有密碼也取不走錢是支付安全所追求的重要目標(biāo)

在這個互聯(lián)網(wǎng)大發(fā)展的世界里，只要上網(wǎng)，每個人的信息都不可能絕對安全。事實上，安全只是相對概念，世上沒有絕對的安全。對于用戶來說，賬號和密碼的被盜始終存在可能性，再高級的密碼設(shè)置也不能徹底保障用戶的安全。

對于互聯(lián)網(wǎng)金融企業(yè)而言，也不能將支付安全寄托于用戶自己的安全意識和安全保護(hù)，系統(tǒng)建設(shè)和安全機(jī)制發(fā)揮作用才是保障用戶支付安全的必須。

于是，支付企業(yè)會設(shè)置安全的幾道防線。比如，支付寶會要求用戶設(shè)置密碼保護(hù)問題，還與要求與用戶的手機(jī)進(jìn)行捆綁，這樣，當(dāng)用戶密碼出現(xiàn)異常的時候，就會通過比較私密性的問題回答來驗證是否本人，或者通過短信驗證碼來保證支付更為安全。當(dāng)一個用戶連續(xù)多次輸入錯誤密碼之后，還會暫時鎖定以防機(jī)器破解的發(fā)生。

此外，很多互聯(lián)網(wǎng)金融機(jī)構(gòu)還會通過增加的安全驗證程序來進(jìn)一步保障安全。比如，銀行特別流行使用U盾，通過硬件與軟件的結(jié)合提升安全系數(shù)，而支付寶等也會要求在電腦上安裝支付證書。未來，隨著生物技術(shù)的發(fā)展，指紋、虹膜、刷臉等都會被利用起來加強安全保證。

很多人遇到過，當(dāng)你輸入錯誤密碼，或者剛剛到達(dá)一個從來沒有去過的地區(qū)，或者使用了一個以前沒有使用過的通信網(wǎng)絡(luò)，支付寶也許會突然要求你在登陸的時候輸入圖形驗證碼或者通過手機(jī)短信來進(jìn)行驗證。其實，這就是支付寶八年來致力于建設(shè)的CTU風(fēng)控大腦正在發(fā)揮作用。

CTU風(fēng)控大腦是目前螞蟻金服重點研發(fā)的安全系統(tǒng)的代號，實際上就是現(xiàn)在火熱的人工智能在支付安全上的應(yīng)用，目的就是要實現(xiàn)密碼即便被盜也有能力保護(hù)用戶的資金安全。

簡單的說，這個風(fēng)控大腦通過對用戶資料和交易行為等大數(shù)據(jù)的積累，包括用戶賬戶資料、設(shè)備、位置、行為、關(guān)系和偏好等方面，對用戶進(jìn)行了系統(tǒng)性的長期信息識別，形成了用戶的支付行為畫像。如果用戶在某次登陸或支付的過程違背常理或者表現(xiàn)一場，系統(tǒng)就會自動識別出來，對風(fēng)險進(jìn)行評估打分，會要求用戶提供更多的資料來審核，甚至?xí)苯咏型ＶЦ缎袨?，從而保護(hù)用戶的資金安全。

風(fēng)控大腦技術(shù)并非未來科技，早已經(jīng)被應(yīng)用。據(jù)國外實驗室測算，這個技術(shù)能讓判斷風(fēng)險的成功率提升7倍，用了這個技術(shù)后，支付寶風(fēng)控大概提升了5倍。案例表明，2014年6月7日，主人接收了偽基站10086的短信，主動輸入了身份證信息和銀行卡信息，并中手機(jī)木馬。

當(dāng)日深夜，騙子結(jié)合上述信息，成功獲取校驗碼后修改登錄密碼，并在廣州某小區(qū)登陸，之后又修改支付密碼。接著，得意洋洋下單一臺iphone5，打算用別人的錢，給自己換手機(jī)。

沒想到，風(fēng)控大腦直接判定交易失敗，并對賬戶進(jìn)行了限制。第二天，支付寶客服給用戶打電話，確認(rèn)用戶賬戶是被盜了，并引導(dǎo)其重置密碼，成功杜絕了一次可能發(fā)生的安全事故。

安全永遠(yuǎn)是相對的概念，而現(xiàn)在的網(wǎng)絡(luò)支付的安全相比線下的錢包安全早已經(jīng)超出了何止萬倍，但道高一尺，魔高一丈，來自各種場景的威脅始終不會消除，安全防護(hù)也將是永恒的話題。作為用戶，要提高安全意識，減少信息泄露的風(fēng)險，而支付企業(yè)更是要通過技術(shù)升級與系統(tǒng)建設(shè)來構(gòu)筑更為安全的防波堤，在新時代用大數(shù)據(jù)的方式來保護(hù)大數(shù)據(jù)的安全。我們相信，只要我們不斷進(jìn)步，安全便會一直伴隨著我們，支付安全也就能說到做到。

【每日一文，堅持十年，歡迎業(yè)界讀者溝通交流，請微博 @馬繼華 或加微信公眾號“北國騎士”】

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。