电子商务离不开网上支付,在第三方支付出现之前,传统网上支付业务一直都是银行提供的网上支付服务,非银行金融结构和非金融企业尚未介入。但随着电子商务的发展,几家大的第三方支付企业均通过各种方式开展网上支付、快捷支付等服务,其中最主要的形式是“快捷支付”。
快捷支付是一种方便、快速的支付方式。客户可通过将个人第三方支付账户关联自己的储蓄卡或者信用卡,每次付款时只需输入第三方支付账户的支付密码和手机校验码即可完成付款,从而绕开了银行支付网络。目前,支付宝、财付通等主要支付公司都推出了这项服务。用户使用广泛,但对于快捷支付及其安全方面措施,很多人都会想到这样一个问题,快捷支付会不会对自己银行卡里的资金造成风险?
银行的网上支付通常采用USBKEY等物理硬件设备来保障交易的安全性,我在早先的一篇文章中也讨论过USBKEY的安全性,这种设备通过数字证书和认证的方式来保障交易的安全性,用户只要使用得当,总的来说是较难破解的。
快捷支付的安全关键在于手机,要保证手机绝对安全,特别是保证短信安全,那才能保证快捷支付的安全。如果有人知道了用户的支付宝或财付通帐号,同时又掌握了用户的手机,那就意味着该用户帐号里绑定银行卡的资金就很容易被盗用,即使用户修改了银行卡的密码也无法阻止。
随着越来越多的中国用户使用Android智能手机,“快捷支付”的风险就越来越明显,因为Android手机上的恶意应用非常多,黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论坛里,如果用户使用Android手机下载并安装这类恶意应用(例如假冒的游戏应用),那么恶意应用就在后台拦截用户短信通讯,然后再伪装一笔转账,通过截获用户短信来完成交易,或者通过后台将用户引导到钓鱼网站来截获支付密码,这样就完全避规了银行的USBKEY等令牌系统,从而盗取用户资金。
我觉得更安全的“快捷支付”是这样的,提供一个“快捷支付”的客户端,该客户端提供一个每分钟都变化的一次性密码显示,即“动态令牌”,在原有的短信基础不变上,增加上这个动态令牌,这样,恶意应用即使拦截了用户短信,因为无法拦截到手机动态密码,所以窃取用户资金会失败。而动态令牌的解密,需要破解私钥,并不容易。
这个方案解决了黑客通过恶意应用盗取用户银行卡资金的方法,但如果用户手机被偷的话,别人就可以在手机上看到这个“动态令牌”,因此用户如果手机被盗,应该及时上网修改动态令牌,并打电话给移动运营商挂失SIM卡。