网上支付安全能说到做到吗?
最近一系列的网络安全事件引发很多人对互联网金融的担忧,甚至开始怀疑互联网金融的支付安全。实际上,互联网金融的安全风险并非主要来自系统端,而是来自用户端。互联网金融公司的系统建设有规范、有标准,还有各种行业监管,其安全风险是完全可控的,而用户在使用过程中带来的风险却更复杂更高危。
不过,支付安全与否并非是互联网金融公司的承诺与声明就可以让用户相信,而支付安全的程度更是互联网金融公司生存的基石,绝对容不得一点马虎。
感觉安全对用户来说非常重要
多数人都知道在网络上进行资金的交易存在安全隐患,所以,往往使用很复杂的密码,或者经常更换密码,以此来提高安全水平。这种做法是正确的,使用含有数字、字母或者其他特殊符号的密码当然有利于提高安全等级,但这种做法在很大程度上也只是提高了用户自己对安全的感知。
安全是一种个人的感知,就如同我们离开家的时候都会锁上门,甚至会为了更强的安全感而选择安装最贵的防盗门或超B门锁。可我们事实上也都清楚,这些防盗门和门锁对于职业盗贼都是小儿科,并不能保证家庭财产的安全。不过,正因为在安全上的投入增加,我们的安全感也增加了。
同样的道理,账户和密码在网络上也是防君子不防小人的安全程序,并不能抵抗黑客或诈骗分子的各种攻击与全套,我们要保障网络上的支付安全需要更为先进的理念或方式,其中最重要的安全依靠的是支付系统的后台安全机制。
在这方面,支付公司会在用户的支付环节上设置多种安全“印象”,比如,要求用户两次输入账号或密码,而且不能使用拷贝,这样可以很大限度的保证用户不会支付到错误的账户,还有,在用户登陆账户或进行支付的时候还会要求输入验证码,包括随机数字、字母或文字、图片识别等,甚至,12306网站现在都在要求用户输入需要经过“智力测验”一般的图形问题。正是因为这些的“麻烦”,用户会感觉到比较安全。
更重要的是,对于用户的安全感知来说,互联网金融公司在安全领域的投入越大,用户对安全的感知就会越好。这些投入包括资金方面的投入,也包括在科技研发、人力子夜及系统建设上的持续加强等等,让用户知道这些努力,会大大提高用户的安全感知。
当然,如果要让用户有更强的安全感,并不能完全依赖技术的提升,还必须通过保险设计来达到。按照现在的技术标准,支付宝已经达到了百万分之一的风险控制率,这样的标准在业内都是领先的,但也不能完全打消用户的担心。于是,支付宝推出了账户安全险,通过金融的方式解决金融的问题,0.88元可以一年保100万,出现支付安全问题可以全额得到赔偿,也就打消了用户的担心。
密码仍然是用户安全的第一道防线
虽然更高级的密码并不能更好的保障用户的支付安全,但密码仍是用户安全的第一道防线。对于非职业的网络攻击或者意外引发的安全隐患,密码还是具有很好的保护作用,至少可以让用户躲过很多初级的安全风险。
根据支付宝的数据和安全防护经验,用户密码的被盗取或丢失有几种类型,占比最大的是扫号和社工。
所谓扫号,是指你在别的网站的账号密码被坏人知道了,然后坏人用这套密码来登录支付宝等,因为不少懒人在所有网站用的都是一套密码,所以很多坏人会利用其他渠道得到的密码来试着打开你的支付账号。因此,要想保护密码,我们最好将重要的支付账号和密码设置成与其他普通的网络账号密码完全不同的名称或组合,这将大大提高你的支付安全性。
所谓社工,就是假冒各种公检法、熟人好友、假客服等,通过短信、聊天工具,把你的各类信息骗走,然后盗取或是更改你的密码,以此来使用你的支付工具进行转账或消费。这种方式最难以防范,属于典型的诈骗犯罪的受害者,最好的应对便是掌握根本原则,密码决不告诉任何人,打死都不说,因为合法的机构或者客服是绝对不会向用户索取密码的。
此外,钓鱼和木马也是盗取密码的重要方式。所谓钓鱼,就是搞个假网站,比如弄个tiaobao.com,长得和淘宝很像,蒙骗你去输入,当你一输入,信息就泄露了。木马就是中毒,这些木马隐藏在你在电脑或手机中,记录下的各种录入传送给黑客。面对这种威胁,最好的方式是多个心眼,不乱打开网络链接,不随意安装不明的应用程序,还要安装相关安全软件定期更新。
支付宝的数据显示,之前外界很担心的手机丢失导致的问题占比并不高,大概是2%,可见大家的密码保护等还是有一定的帮助,特别是手机锁屏等。当然,一旦手机丢失或发现自己原来的手机号被二次放号,就应该快速的更改重要的账户密码信息,或者与运营商进行沟通处理。
有密码也取不走钱是支付安全所追求的重要目标
在这个互联网大发展的世界里,只要上网,每个人的信息都不可能绝对安全。事实上,安全只是相对概念,世上没有绝对的安全。对于用户来说,账号和密码的被盗始终存在可能性,再高级的密码设置也不能彻底保障用户的安全。
对于互联网金融企业而言,也不能将支付安全寄托于用户自己的安全意识和安全保护,系统建设和安全机制发挥作用才是保障用户支付安全的必须。
于是,支付企业会设置安全的几道防线。比如,支付宝会要求用户设置密码保护问题,还与要求与用户的手机进行捆绑,这样,当用户密码出现异常的时候,就会通过比较私密性的问题回答来验证是否本人,或者通过短信验证码来保证支付更为安全。当一个用户连续多次输入错误密码之后,还会暂时锁定以防机器破解的发生。
此外,很多互联网金融机构还会通过增加的安全验证程序来进一步保障安全。比如,银行特别流行使用U盾,通过硬件与软件的结合提升安全系数,而支付宝等也会要求在电脑上安装支付证书。未来,随着生物技术的发展,指纹、虹膜、刷脸等都会被利用起来加强安全保证。
很多人遇到过,当你输入错误密码,或者刚刚到达一个从来没有去过的地区,或者使用了一个以前没有使用过的通信网络,支付宝也许会突然要求你在登陆的时候输入图形验证码或者通过手机短信来进行验证。其实,这就是支付宝八年来致力于建设的CTU风控大脑正在发挥作用。
CTU风控大脑是目前蚂蚁金服重点研发的安全系统的代号,实际上就是现在火热的人工智能在支付安全上的应用,目的就是要实现密码即便被盗也有能力保护用户的资金安全。
简单的说,这个风控大脑通过对用户资料和交易行为等大数据的积累,包括用户账户资料、设备、位置、行为、关系和偏好等方面,对用户进行了系统性的长期信息识别,形成了用户的支付行为画像。如果用户在某次登陆或支付的过程违背常理或者表现一场,系统就会自动识别出来,对风险进行评估打分,会要求用户提供更多的资料来审核,甚至会直接叫停支付行为,从而保护用户的资金安全。
风控大脑技术并非未来科技,早已经被应用。据国外实验室测算,这个技术能让判断风险的成功率提升7倍,用了这个技术后,支付宝风控大概提升了5倍。案例表明,2014年6月7日,主人接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。
当日深夜,骗子结合上述信息,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,得意洋洋下单一台iphone5,打算用别人的钱,给自己换手机。
没想到,风控大脑直接判定交易失败,并对账户进行了限制。第二天,支付宝客服给用户打电话,确认用户账户是被盗了,并引导其重置密码,成功杜绝了一次可能发生的安全事故。
安全永远是相对的概念,而现在的网络支付的安全相比线下的钱包安全早已经超出了何止万倍,但道高一尺,魔高一丈,来自各种场景的威胁始终不会消除,安全防护也将是永恒的话题。作为用户,要提高安全意识,减少信息泄露的风险,而支付企业更是要通过技术升级与系统建设来构筑更为安全的防波堤,在新时代用大数据的方式来保护大数据的安全。我们相信,只要我们不断进步,安全便会一直伴随着我们,支付安全也就能说到做到。