用户
反馈
首页>宏观>

正文

支付宝重大漏洞事件引发的思考 我们的财产真的安全吗?

2017年01月11日 22:33来源:第一黄金网
责任编辑:康宇
摘要
不知从什么时候开始,出门我们只要带上手机,不论是购物还是吃饭,只需要拿手机一刷就可以完成付款,然而昨日支付宝突然爆出存在重大安全漏洞,让所有人心头一紧,我们的财产放在手机里真的安全吗?

不知从什么时候开始,我们已经很少去银行取钱,现在出门我们只要带上手机,不论是购物还是吃饭,只需要拿手机一刷就可以完成付款,免去了现金支付的麻烦,大大便利了我们的生活。然而昨日支付宝突然爆出存在重大安全漏洞,让所有人心头一紧,因为大部分人都选择性的忽视了这个问题,我们的财产放在手机里真的安全吗?

支付宝现重大漏洞

在讨论这个之前我们先探讨一下为什么移动支付如此受欢迎?

这主要的原因归结于第三方支付的便捷性。没有找零钱的步骤,排队结账的时间得以缩短,这对处在快节奏生活中的人们来说的确是个利好。但在带来利好的同时,第三方支付也存在着很多漏洞。目前,占据移动支付市场较大份额的第三方支付是支付宝和微信支付,分别达到48%和20%,两者已经成为第三方支付的霸主,但在风控方面,两个霸主对一些致命的风控问题始终保持回避态度。

而今日支付宝的安全漏洞终于让这个问题成为大家讨论的重点。

据称掌握你一些信息的熟人可以轻易利用你的信息登录你的支付宝,甚至陌生人也有可能在任何时间任何地点登录你的支付宝,转移你的资金。好在支付宝反应还算迅速,在1月10日上午迅速做了功能升级,不再允许陌生人通过验证个人信息的方式修改密码。这才制止了恐慌的扩散,然而该事件的背后却值得思考。

我们的资金安全是如何被保障的?

以前,人们的财产都兑换成黄金、白银放在家里。后来有了银行,人们把钱存到银行里面。银行在电子化之前,验证方式是真人携带证件到场,核对人与证件。

在电子化之后,有了银行卡。安全的核心就变成了银行卡与密码的双验证。

对用户来说,在开通网上支付之前,只要银行卡不丢,密码不泄露,存款就不会有损失。无论其他人知道用户多少信息,对用户如何了解,只要拿不到卡,拿不到密码就无计可施。

而银行卡的挂失需要本人携带身份证到柜台,这又是一个很难绕过去的身份验证。这套体系保障了我们的资金安全。而到了互联网时代之后,情况发生了变化。银行开通了网上银行业务,其他人不需要你的卡,只要知道你的卡号和密码也能支取你的资金。

密码是私密信息,但卡号不是,卡号虽然不是到处都可以看到,但是要刻意去查并不困难。以前银行卡与密码的双重保障,就变成了密码的单加密,用户的资金完全依赖于密码,这无疑是不安全的。于是,银行又搞出来手机验证,在预留手机的情况下,把手机与银行卡一样,视为个人物品,用手机验证码做了一个双重安全保障。

这样,网络支付,还是密码、手机验证双重保障,如果密码泄露或者手机丢失,都不会造成资金安全的损失。大部分账户的资金安全都是这样被保护的。

网络支付的问题

最初,像支付宝这样的网络支付安全体系与银行是类似的,也是密码和手机的双重保护,区别仅仅是手机短信,变成了手机APP。用户如果手机丢了,捡到手机的人不知道密码,进不去支付宝,甚至连支付宝的账户名都不知道(当时支付宝的账户名还是电子邮件注册。)

而随着业务的发展,网络支付为了快捷方便,安全方面的监管越来越松。先是复杂密码给支付宝强制改为简单密码,然后登录的图形加密被取消。支付宝和微信支付甚至开通的银行快捷支付,只要关联上,你的银行卡可以直接付款,银行的加密过程被绕过去了。

如果你在支付宝或者微信支付绑定了银行卡,就等于你所有财产都依赖于支付宝或者微信支付的体系。而支付宝和微信支付的体系不如银行那么强,它们没有线下柜台身份验证来解决丢失密码或者手机的问题。对于忘记密码、丢失手机,支付宝想出来的解决办法是用个人信息来重设密码,这就出现原则性的错误。

支付宝的原则性错误

支付宝这次引起恐慌,是因为密码能被绕过。用户忘记密码,支付宝给的解决办法是手机短信验证,这个问题不大,类似于密码、手机双保障中丢了一个,用另外一个去验证。但是,在手机不方便接收短信的时候,支付宝给的另外一条路问题就很大了。

对于银行来说,卡丢了,密码不知道,带着身份证本人去柜台验证,这是安全的。而支付宝想的办法是,你可以输入身份证号来验证,你可以选择最近购买的东西,选择你认识的人来验证,可以输入银行卡号来验证。然后就可以把原来的密码给改了。

这个想法犯了原则性的错误。

密码是私密信息,手机是个人私密物品。但是身份证号不是私密信息,而是公开信息,很多地方会留身份证,银行卡号也类似;最近购买了什么东西也不是私密信息,从淘宝卖家到送货小哥,从同事到朋友圈的朋友都会知道;认识的人更不是私密信息,特别是支付宝涉足社交的情况下,你认识的人,你的同事同学邻居都可能认识。

最后的结果就是,只要掌握一个人公开的,半公开的非隐私信息。这个人的支付宝密码、手机验证码就都可以绕过去了,这太可怕了。按照支付宝现在的安全体系和中国现在的个人信息隐私情况。一个人随随便便查几万人的支付宝,改登录密码都是正常的。

密码丢失、手机丢失不能登录支付宝。要做的是暂时封掉账户,等待用户去电信部门补办手机卡之后再开通。而不能允许用户仅仅凭借一些公开信息就修改密码,开通支付宝的所有功能。因此这个原则性错误必须尽快弥补。

追求便捷支付的宗旨没有问题。但是在支付的一些环节上,支付宝和微信支付还需进一步完善,面对引起用户担忧,质疑的“伪便捷”问题,能采取的解决措施有很多,重点取决于支付宝和微信支付的对用户反馈信息的重视态度,提高用户体验是第三方支付的根本,高效背后还应伴随的是高质。

支付宝回应熟人可重置登录密码漏洞:安全验证方式已升级--链接

更多精彩财经资讯,点击这里下载第一黄金网app
41 收藏
标签: 支付宝微信


    相关阅读

    本栏目文字内容版权归第一黄金网所有,任何单位及个人未经许可,不得擅自转载使用。

    Copyright © 2001-2016 赣ICP备15011531号-65

    品牌官网