理财周报互联网金融实验研究员 张星/文
近期,关于支付产品的讨论十分激烈,而其中最关键的就是安全问题。支付产品给用户日常销售等支付带来便利,但是其随之而来的是安全问题,支付安全事件常见于报端。
理财周报互联网金融实验室从支付产品的安全措施,主要第三方支付企业安全体系雷达模型以及常出现的风险事件对支付安全进行评测。
开通认证
用户在使用互联网支付必然需要开通相关业务,而在这一过程中,支付机构对于用户的信息采集就十分重要,这也是支付安全的第一步。
银行:用户若需要开通网上银行或者手机银行,必须携带身份证到银行柜台办理,向银行提供银行卡、身份证、手机号码等信息并签约才能够完成。
第三方支付:由于第三方支付是互联网公司,其注册和开通相关服务,均是通过互联网进行,用户并不需要面签,而提供的资料为真实姓名,手机号码、邮箱号码、身份证等个人信息。比如支付宝注册开通,主要有两种方式,一是手机注册,通过手机验证码来完成注册;另一种是邮箱注册,通过邮箱激活来注册成功。在注册成功后,需要身份认证,绑定身份证和银行卡进行认证。财付通有四种方式,分别是:QQ号码快速激活、Email注册、手机号码注册及银行卡快捷注册财付通。
分析结论:在用户信息的采集上,银行信息更真实性,由于面签,用户资料在一般情况下不可能出现虚假、冒用等行为,从而保证了资料和意愿的真实性。第三方支付由于属于互联网注册和认证,其存在着信息不真实的情况,冒名认证就时常存在,因此在支付宝的认证过程中对出现冒名认证都有特别的流程处理。在这种情况下,如果用户的信息不慎泄露,存在着被冒名注册认证第三方支付,从而对资金产生安全威胁,特别是对于有些不法分子,采取与技术结合,通过第三方支付盗取用户资金。还有就是第三方支付的银行卡快捷注册,一旦用户银行卡号和密码被盗取了,就能够被快捷注册,从而产生资金损失,并且在提取资金时候并不再需要银行密码。
可见,目前第三方支付在用户注册认证上对信息真实性的把握存在着一定程度的瑕疵,必然需要提供这方面的工作,做好第一道防护网,比如与央行征信系统数据对接等方式。
支付安全技术
为了保障支付安全,银行和第三方支付公司均积极在研发支付安全技术进行保护支付交易过程中的安全。
目前主要第三方支付企业采取了较多技术手段保障用户支付的安全,安全产品保护体系包括OTP和PKI体系。OTP体系主要包括手机动态口令技术和宝令技术。PKI体系主要包括数字证书和支付盾技术。两大体系从技术层面保障用户支付安全。
安全性评价:从技术安全性上来看,支付盾技术属于安全级别最高的,其实物理介质存在的安全证书,级别可以定为五星。接下来则是数字证书技术,绑定了公钥及其持有者的真实身份(若拥有实名认证机制,则同等于五星安全级别)。宝令技术,独立的物理介质,随机显示密码(若拥有实名认证机制,则同等于五星安全级别)。这三项技术属于安全级别最高的技术,也就是对用户的保障程度最高。
目前用户在手机支付的时候,最常用的一种技术为手机动态口令技术,向绑定手机发送随机产生的动态密码,无密码不能支付。这种技术对用户来说最为方便,但是其安全程度不高,只有三星。主要存在的问题如果手机丢失或者手机号码被他人办卡,存在口令被窃取的可能,这样的安全问题时常发生。
支付企业除了上述四种技术,还有一些其他方式用于保证安全。比如常用的安全控件,安装后,安全控件会实时保护您的密码及账号不被窃取,并及时发现交易风险,有效制止仿冒网站的交易欺诈。另外就是设置多重密码进行保护。
而除了支付企业提供的安全技术外,安全厂商提供的安全支持也是必不可少的,这主要在安装杀毒软件或防火墙。