網上支付安全能說到做到嗎？

最近一系列的網絡安全事件引發(fā)很多人對互聯(lián)網金融的擔憂，甚至開始懷疑互聯(lián)網金融的支付安全。實際上，互聯(lián)網金融的安全風險并非主要來自系統(tǒng)端，而是來自用戶端?；ヂ?lián)網金融公司的系統(tǒng)建設有規(guī)范、有標準，還有各種行業(yè)監(jiān)管，其安全風險是完全可控的，而用戶在使用過程中帶來的風險卻更復雜更高危。

不過，支付安全與否并非是互聯(lián)網金融公司的承諾與聲明就可以讓用戶相信，而支付安全的程度更是互聯(lián)網金融公司生存的基石，絕對容不得一點馬虎。

感覺安全對用戶來說非常重要

多數(shù)人都知道在網絡上進行資金的交易存在安全隱患，所以，往往使用很復雜的密碼，或者經常更換密碼，以此來提高安全水平。這種做法是正確的，使用含有數(shù)字、字母或者其他特殊符號的密碼當然有利于提高安全等級，但這種做法在很大程度上也只是提高了用戶自己對安全的感知。

安全是一種個人的感知，就如同我們離開家的時候都會鎖上門，甚至會為了更強的安全感而選擇安裝最貴的防盜門或超B門鎖?？晌覀兪聦嵣弦捕记宄?，這些防盜門和門鎖對于職業(yè)盜賊都是小兒科，并不能保證家庭財產的安全。不過，正因為在安全上的投入增加，我們的安全感也增加了。

同樣的道理，賬戶和密碼在網絡上也是防君子不防小人的安全程序，并不能抵抗黑客或詐騙分子的各種攻擊與全套，我們要保障網絡上的支付安全需要更為先進的理念或方式，其中最重要的安全依靠的是支付系統(tǒng)的后臺安全機制。

在這方面，支付公司會在用戶的支付環(huán)節(jié)上設置多種安全“印象”，比如，要求用戶兩次輸入賬號或密碼，而且不能使用拷貝，這樣可以很大限度的保證用戶不會支付到錯誤的賬戶，還有，在用戶登陸賬戶或進行支付的時候還會要求輸入驗證碼，包括隨機數(shù)字、字母或文字、圖片識別等，甚至，12306網站現(xiàn)在都在要求用戶輸入需要經過“智力測驗”一般的圖形問題。正是因為這些的“麻煩”，用戶會感覺到比較安全。

更重要的是，對于用戶的安全感知來說，互聯(lián)網金融公司在安全領域的投入越大，用戶對安全的感知就會越好。這些投入包括資金方面的投入，也包括在科技研發(fā)、人力子夜及系統(tǒng)建設上的持續(xù)加強等等，讓用戶知道這些努力，會大大提高用戶的安全感知。

當然，如果要讓用戶有更強的安全感，并不能完全依賴技術的提升，還必須通過保險設計來達到。按照現(xiàn)在的技術標準，支付寶已經達到了百萬分之一的風險控制率，這樣的標準在業(yè)內都是領先的，但也不能完全打消用戶的擔心。于是，支付寶推出了賬戶安全險，通過金融的方式解決金融的問題，0.88元可以一年保100萬，出現(xiàn)支付安全問題可以全額得到賠償，也就打消了用戶的擔心。

密碼仍然是用戶安全的第一道防線

雖然更高級的密碼并不能更好的保障用戶的支付安全，但密碼仍是用戶安全的第一道防線。對于非職業(yè)的網絡攻擊或者意外引發(fā)的安全隱患，密碼還是具有很好的保護作用，至少可以讓用戶躲過很多初級的安全風險。

根據(jù)支付寶的數(shù)據(jù)和安全防護經驗，用戶密碼的被盜取或丟失有幾種類型，占比最大的是掃號和社工。

所謂掃號，是指你在別的網站的賬號密碼被壞人知道了，然后壞人用這套密碼來登錄支付寶等，因為不少懶人在所有網站用的都是一套密碼，所以很多壞人會利用其他渠道得到的密碼來試著打開你的支付賬號。因此，要想保護密碼，我們最好將重要的支付賬號和密碼設置成與其他普通的網絡賬號密碼完全不同的名稱或組合，這將大大提高你的支付安全性。

所謂社工，就是假冒各種公檢法、熟人好友、假客服等，通過短信、聊天工具，把你的各類信息騙走，然后盜取或是更改你的密碼，以此來使用你的支付工具進行轉賬或消費。這種方式最難以防范，屬于典型的詐騙犯罪的受害者，最好的應對便是掌握根本原則，密碼決不告訴任何人，打死都不說，因為合法的機構或者客服是絕對不會向用戶索取密碼的。

此外，釣魚和木馬也是盜取密碼的重要方式。所謂釣魚，就是搞個假網站，比如弄個tiaobao.com，長得和淘寶很像，蒙騙你去輸入，當你一輸入，信息就泄露了。木馬就是中毒，這些木馬隱藏在你在電腦或手機中，記錄下的各種錄入傳送給黑客。面對這種威脅，最好的方式是多個心眼，不亂打開網絡鏈接，不隨意安裝不明的應用程序，還要安裝相關安全軟件定期更新。

支付寶的數(shù)據(jù)顯示，之前外界很擔心的手機丟失導致的問題占比并不高，大概是2%，可見大家的密碼保護等還是有一定的幫助，特別是手機鎖屏等。當然，一旦手機丟失或發(fā)現(xiàn)自己原來的手機號被二次放號，就應該快速的更改重要的賬戶密碼信息，或者與運營商進行溝通處理。

有密碼也取不走錢是支付安全所追求的重要目標

在這個互聯(lián)網大發(fā)展的世界里，只要上網，每個人的信息都不可能絕對安全。事實上，安全只是相對概念，世上沒有絕對的安全。對于用戶來說，賬號和密碼的被盜始終存在可能性，再高級的密碼設置也不能徹底保障用戶的安全。

對于互聯(lián)網金融企業(yè)而言，也不能將支付安全寄托于用戶自己的安全意識和安全保護，系統(tǒng)建設和安全機制發(fā)揮作用才是保障用戶支付安全的必須。

于是，支付企業(yè)會設置安全的幾道防線。比如，支付寶會要求用戶設置密碼保護問題，還與要求與用戶的手機進行捆綁，這樣，當用戶密碼出現(xiàn)異常的時候，就會通過比較私密性的問題回答來驗證是否本人，或者通過短信驗證碼來保證支付更為安全。當一個用戶連續(xù)多次輸入錯誤密碼之后，還會暫時鎖定以防機器破解的發(fā)生。

此外，很多互聯(lián)網金融機構還會通過增加的安全驗證程序來進一步保障安全。比如，銀行特別流行使用U盾，通過硬件與軟件的結合提升安全系數(shù)，而支付寶等也會要求在電腦上安裝支付證書。未來，隨著生物技術的發(fā)展，指紋、虹膜、刷臉等都會被利用起來加強安全保證。

很多人遇到過，當你輸入錯誤密碼，或者剛剛到達一個從來沒有去過的地區(qū)，或者使用了一個以前沒有使用過的通信網絡，支付寶也許會突然要求你在登陸的時候輸入圖形驗證碼或者通過手機短信來進行驗證。其實，這就是支付寶八年來致力于建設的CTU風控大腦正在發(fā)揮作用。

CTU風控大腦是目前螞蟻金服重點研發(fā)的安全系統(tǒng)的代號，實際上就是現(xiàn)在火熱的人工智能在支付安全上的應用，目的就是要實現(xiàn)密碼即便被盜也有能力保護用戶的資金安全。

簡單的說，這個風控大腦通過對用戶資料和交易行為等大數(shù)據(jù)的積累，包括用戶賬戶資料、設備、位置、行為、關系和偏好等方面，對用戶進行了系統(tǒng)性的長期信息識別，形成了用戶的支付行為畫像。如果用戶在某次登陸或支付的過程違背常理或者表現(xiàn)一場，系統(tǒng)就會自動識別出來，對風險進行評估打分，會要求用戶提供更多的資料來審核，甚至會直接叫停支付行為，從而保護用戶的資金安全。

風控大腦技術并非未來科技，早已經被應用。據(jù)國外實驗室測算，這個技術能讓判斷風險的成功率提升7倍，用了這個技術后，支付寶風控大概提升了5倍。案例表明，2014年6月7日，主人接收了偽基站10086的短信，主動輸入了身份證信息和銀行卡信息，并中手機木馬。

當日深夜，騙子結合上述信息，成功獲取校驗碼后修改登錄密碼，并在廣州某小區(qū)登陸，之后又修改支付密碼。接著，得意洋洋下單一臺iphone5，打算用別人的錢，給自己換手機。

沒想到，風控大腦直接判定交易失敗，并對賬戶進行了限制。第二天，支付寶客服給用戶打電話，確認用戶賬戶是被盜了，并引導其重置密碼，成功杜絕了一次可能發(fā)生的安全事故。

安全永遠是相對的概念，而現(xiàn)在的網絡支付的安全相比線下的錢包安全早已經超出了何止萬倍，但道高一尺，魔高一丈，來自各種場景的威脅始終不會消除，安全防護也將是永恒的話題。作為用戶，要提高安全意識，減少信息泄露的風險，而支付企業(yè)更是要通過技術升級與系統(tǒng)建設來構筑更為安全的防波堤，在新時代用大數(shù)據(jù)的方式來保護大數(shù)據(jù)的安全。我們相信，只要我們不斷進步，安全便會一直伴隨著我們，支付安全也就能說到做到。

【每日一文，堅持十年，歡迎業(yè)界讀者溝通交流，請微博 @馬繼華 或加微信公眾號“北國騎士”】

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。