支付寶快捷支付 "快"就不安全了嗎?

工行關閉四個快捷支付接口

以前四大行下調支付寶快捷支付額度，另外四大行均迴應稱，設置轉帳及交易支付限額的出發點和落腳點都是爲了客戶資金安全。後來有人透露工行正 在逐步關閉第三方快捷支付業務，目前工行快捷支付的簽約服務除了浙江分行外，其餘分行都已經關閉。有工行持卡人表示，其在綁定工行卡快捷支付時，系統提示 「快捷支付簽約失敗，具體緣由請聯繫中國工商銀行客服95588」。有消息人士確認了工行逐步關閉快捷支付業務的消息，工行已於3月23日起逐步關閉快捷 支付業務。

工行關閉快捷支付接口

從3月24日開始，部分地區工行新增快捷支付用戶，小面積出現了用戶簽約不成功現象。支付寶將這一後果歸因於工行關閉快捷支付接口之舉。但銀行並不 認同支付寶的說法。25日，一位接近工商銀行的權威人士透露，「一個接口，正常使用是沒有問題的。問題是支付寶已經不配合工行了。」

所謂的「接口」，便是從24日開始，工行已逐步關閉支付寶在工行體系的快捷支付接口數量—目前全行擁有快捷支付業務接口的分行數量從5家減小到1家。

統一接口爲防範風險

3月25日，工行宣佈，關閉支付寶在杭州分行以外的快捷支付接口，這一舉動被市場普遍關注。

「統一接口爲了增強對支付機構合做的統一管理，其中統一接口就是重要措施之一，應該說這是防範風險的須要。」工行副行長張紅力稱。目前，支付機構與 工行不少分行分別合做開通業務接口的模式，在業務管理水平、風控能力受制於分行水平，系統建設和維護水平良莠不齊。此次工行總行把接口歸併後，專門組織一 個團隊進行維護，集中資源，更有利於控制風險。

02|支付寶：快捷支付盜損率控制在十萬分之一如下

快捷支付究竟是否安全，除了在現有監管條例下快捷支付是否合規之外，這其實是近段時間四大行限制支付寶快捷支付額度、工行縮減快捷支付接口的關鍵問題。

在支付寶此前的一次內部分享會上，一名負責支付安全的人士雲長（化名）明確指出，支付寶全部支付交易的總體盜損率一直控制在十萬分之一之內。2013年度第1、第二季度，發生盜損的交易總筆數爲700餘筆，總金額爲78萬人民幣。

工行與支付寶打起口水戰

對於這一數字，某股份制銀行電子銀行部負責人向記者表示，該比例自己是很是低的，若是支付寶真的能夠把總體支付盜損率控制在這一比例，那麼安全性較網上銀行支付有過之而無不及。

可是該人士進一步指出，從該行經過支付寶進行的快捷支付交易盜損狀況來看，支付寶方面提供的數字差距較大，但該人士拒絕進一步透露具體數字狀況。

前述股份行電子銀行部負責人告訴記者，網上支付目前主要包括帶有物理介質的網銀支付、直接網銀支付和快捷支付，不管是從技術分析上，仍是實際監控獲得的盜損數據來看，風險是依次增長的。

該人士解釋，帶有物理介質的網銀支付目前被盜機率微乎其微，從實際監測數據上幾乎不存在被盜狀況。而快捷支付因爲不須要輸入銀行的取款密碼或查詢密碼，不須要跳轉到網銀界面進行證書驗證，風險必然高於普通的網銀支付。

該人士還否定了包括該行在內的部分銀行調低支付寶快捷支付額度是爲了限制餘額寶發展的說法。他向記者舉例，以微信支付的財付通爲例，一樣是網絡貨幣 基金理財產品，因爲該產品的資金只能在用戶理財帳戶和銀行帳戶之間流動，風險較小，因此銀行不只沒有調低購買財付通的支付限額，反而持續增長；而因爲餘額 寶帳戶內的資金能夠輕易地流入其餘支付寶帳戶或銀行帳戶，因此纔會專門針對支付寶快捷支付有所限制。

但支付寶方面對此並不認同。支付寶方面表示，目前支付寶帳戶採用了CTO安全防控體系，經過多種措施識別用戶是否可靠，包括數字證書、手機保令，以 及密碼控件識別等，從而辨認是否本人在進行操做。過程當中會採集用戶的IP地址段、機器的識別號等信息，使用六套模型、一千多套規則，在100毫秒以內作出 響應和判斷。

用戶更關心的是，對於出現安全問題以後的賠付，支付寶方面宣稱的「用就賠」究竟規則如何？根據支付寶的官方規定，當盜損金額在2000元如下，支付 寶會提供小額急速補償，即不須要用戶提供任何司法機關出示的證實即可以聯繫客服申請賠付；若盜損金額在這一標準之上，則須要用戶提供公安機關案件受理的司 法憑證。

支付寶方面對此表示，因爲已經爲每個使用支付寶帳戶的用戶購買了由平安保險提供的帳戶安全險，所以支付寶一直秉承着「能賠就賠」的原則。只要經過上網記錄、支付寶後臺交互記錄等信息能夠證實不是用戶本人親自輸入了用戶名和密碼完成支付，支付寶都會盡可能給出賠償。

03|專家：快捷支付並不是不安全

據瞭解，快捷支付從2009年就產生，支付寶平臺上，快捷支付的前身是支付寶卡通。目前，包括騰訊、京東、蘇寧等全部的電商平臺基本上都對接了銀行快捷支付的接口，在整個電商購物支付當中佔比超過60%。

據金山網絡安全專家李鐵軍介紹，實際上在支付的過程中，快捷支付的安全性是很是可靠的。幾年下來，因快捷支付出現的安全事件並很少。

實際上，容易引發移動支付不安全的每每是用戶手機丟了，或者手機中病毒後點擊了不應點的連接。由於，手機丟失後，因爲短信、郵件、微信等應用裏面存有用戶的名字、身份證號、銀行卡等關鍵信息，這些很容易被利用，而後犯罪分子，就很容易破解。而用戶中了病毒後，木馬會在後臺竊取相關數據，進行經濟犯罪。

李鐵軍建議，對於這些容易存儲隱私的應用，須要單獨進行加密，以保證安全。那些涉及金錢交易的APP，用完以後也要退出登陸。用戶在下載、瀏覽過程 中，注意本身所處的移動環境，不要輕易點非正常網站的連接。最重要的是給手機卡設置一個PIN碼，犯罪分子把手機卡換到別的手機上時，也須要輸入PIN碼 才能打開手機卡，纔有機會利用找回密碼的功能來更改支付寶的登陸與支付密碼等。

快捷支付並不是不安全

若是用戶對這些支付環境都有較強的風險防範意識以及安全意識，基本上不太會有太大的支付問題。並且實際上，一旦出現移動支付不安全的狀況，也是須要運營商、第三方支付、銀行之間進行更緊密的配合，才能夠避免或減小損失。

「安全界每每是魔高一尺，道高一丈，是一種在動態中尋找安全的解決方案。」李鐵軍認爲，不能由於小小的不安全，而在表明將來趨勢的移動支付上因噎廢食。

04|快捷支付和網銀相比，哪一個更安全？

支付寶和網銀安全對比

支付寶的安全主要依靠數字證書、支付盾（價格58元）、寶令（價格33元，已中止銷售）、手機寶令。銀行網銀有些特殊，不一樣銀行的網銀使用不一樣的安全策略，但原理基本差很少，主要是USBKey和動態密碼鎖。

從原理上看，USBKey至關於支付盾，動態密碼鎖至關於寶令，其安全性基本至關。數字證書至關於將USBKey裏的私鑰存儲在電腦上，安全性不如USBKey，但使用起來更方便一些。

黑客對於USBKey的攻擊大多使用木馬病毒程序控制並攻擊USBKey的驅動層，USBKey這種安全策略也並不是萬無一失，提升安全的方法是改造 USBKey自己，我見過的一種比較好的改造方法是工行的USBKey，其在USBKey上增長了一個顯示屏和確認按鈕，交易的時候會顯示金額在 USBKey上，用戶點USBKey的確認按鈕後才能完成交易，這讓基於電腦的木馬病毒難以對交易進行篡改和攻擊。

值得一提的是，不一樣銀行的網銀安全性也不同，有的銀行網銀具備較高的安全性，但有的銀行網銀會有一些很是低級的漏洞，媒體上也常常會有網銀帳戶被盜的新聞報道，所以用戶應該將資金放在安全性較好的銀行裏。

網銀支付也有風險

而對於支付寶的攻擊，大可能是經過手機端，未綁定支付盾的支付寶，絕大多數安全驗證依賴支付寶綁定的手機，黑客能夠經過移動運營商的漏洞來掌控用戶的 手機，以此攻擊支付寶帳戶，例如，若是黑客經過必定途徑得到了某用戶的身份證號碼和手機號碼，使用僞造的身份證就能夠經過某些移動運營商成功申請到該手機 的SIM卡，經過這個SIM卡和身份證號便可重置支付寶密碼，還能夠申請數字證書，好在支付寶的支付密碼須要經過「安全保護問題+電子郵箱」的方式才能重 置，從必定程度上緩解這種威脅。對於支付寶裏存有大量金額的用戶來講，仍是啓用支付盾更爲安全。

快捷支付安全嗎？

由上述分析可見，開通了支付盾的支付寶，其安全性並沒必要網銀差，那麼，支付寶的快捷支付是否也同樣安全呢？

快捷支付是一種方便、快速的支付方式。客戶可經過將我的第三方支付帳戶關聯本身的儲蓄卡或者信用卡， 每次付款時只需輸入第三方支付帳戶的支付密碼和手機校驗碼便可完成付款，從而繞開了銀行支付網絡，只要綁定了銀行卡，用戶無需銀行卡密碼就能夠經過支付寶 從銀行卡里轉帳。我早先曾經在一篇文章中討論過快捷支付的安全問題，總的來講，快捷支付的安全關鍵在於手機，要保證手機絕對安全，特別是保證短信安全，那 才能保證快捷支付的安全。

對於快捷支付的攻擊方法就更多了，若是用戶開通了小額支付免輸密碼，黑客只需安裝先前介紹的僞造身份證SIM開的方法便可直接支付小額付款。不過要盜取大量資金，還須要用戶的支付密碼方可，這裏黑客就採用各類方法攻擊用戶的支付密碼便可。

一般的攻擊方法除了在電腦端的木馬和釣魚網站以外，還有經過手機APP應用的攻擊方法，黑客能夠先將具備盜號功能的惡意應用發佈到各個應用商店或論 壇裏，若是用戶使用Android手機下載並安裝這類惡意應用（例如假冒的遊戲應用），那麼惡意應用就在後臺攔截用戶短信通信，而後再假裝一筆轉帳，經過 截獲用戶短信來完成交易，或者經過後臺將用戶引導到釣魚網站來截獲支付密碼，這樣就徹底避規了銀行的USBKEY等令牌系統，從而盜取用戶資金。

爲了應對這種狀況，支付寶還推出了一個手機寶令這樣的動態令牌來增強手機支付的安全性，用戶啓用手機寶令後，便可看到一個每分鐘都變化的一次性密碼 的「動態令牌」，在原有的短信基礎不變上，增長上這個動態令牌，這樣，惡意應用即便攔截了用戶短信和一次性密碼也沒用，由於沒法計算出下次支付所須要的動 態密碼，因此會使得竊取用戶資金會失敗。

動態令牌這個方案解決了黑客經過惡意應用盜取用戶銀行卡資金的威脅，但若是用戶手機被偷的話，別人就能夠在手機上看到這個「動態令牌」，所以更爲理 想的方案是，快捷支付再綁定一個動態令牌硬件（非手機動態令牌應用），例如已經停售的寶令，動態令牌能夠掛在鑰匙鏈上，這樣即便手機丟了，沒有動態令牌也 沒法轉帳，動態令牌丟了，沒有支付寶密碼也同樣沒法轉帳。這樣的方案就可以大幅提升快捷支付的安全性，而且技術上也很容易實現，無需驅動，這樣用戶就不用 懼怕本身的手機被盜而引發的資金財務風險了。

總而言之，用戶若是能保證本身的手機和短信的絕對安全，快捷支付就是安全的，不然就是不安全的。

如何保證支付安全？

若是用戶的資金被盜，銀行或支付寶是否會賠付呢？對於銀行來講，若是黑客經過密碼的方式竊取用戶資金，一般銀行不會給用戶賠付。對於支付寶來講，賠 付條件也基本相似，若是是因爲用戶的緣由（例如主動告知他人、被詐騙、被釣魚等）致使支付寶帳戶密碼、支付寶帳戶登陸及支付密碼、校驗碼泄露的不予賠付。 所以，用戶爲了本身帳戶內資金的安全，必需要養成良好的安全上網習慣。

常見的安全措施包括：

一、設置安全的支付密碼，不要和登陸密碼相同。

二、不要用手機號作爲支付寶的登陸賬號，支付寶密碼和郵箱密碼不要相同，確保郵箱賬號的安全性。

三、開通手機寶令。

四、使用未越獄的iPhone手機，安裝iOS 7.1，開啓鎖屏密碼或指紋解鎖，開啓「查找個人iPhone」，使用安全的Apple密碼。（未越獄的iPhone一勞永逸地解決了短信安全問題，由於 應用根本沒有相關權限，有了鎖屏密碼或指紋解鎖，手機被盜後也沒法打開，甚至刷機後也沒法打開。）

五、Android手機不要ROOT，不要在第三方網站安裝應用，只從Google Play等官方商店安裝應用，須要注意的是，未ROOT的Android手機也給APP開放了短信接口，所以對於具備短信權限的應用應該格外當心。

六、手機開通鎖屏密碼，若是手機被盜，應該及時上網修改動態令牌，並打電話給移動運營商掛失SIM卡，若是是iPhone手機則啓用遠程鎖定功能。

七、消費與存款分開，不要對外公佈本身存款銀行賬號，在外消費使用信用卡，根據本身的實際狀況對信用卡的額度進行設置，不要超過一個月的最高消費水 平。這樣不管信用卡如何被盜刷，其損失總歸有限。而且能夠向銀行和支付寶主張賠償。信用卡使用有賠付的信用卡，不開通提現功能，卡被盜後24小時內掛失。

八、賬號內有大量資金最好啓用物理硬件安全設備如USBKEY等。

總之，支付寶或網銀的安全，關鍵在於使用者的問題，若是使用者有良好的安全習慣，那麼不管用網銀仍是支付寶都是安全的，對於快捷支付來講，若是用戶沒法保證手機的安全，沒法正確辨認釣魚網站，那麼仍是不要使用快捷支付更好一些，USBKey更適合這種用戶。