|
|
我是一名银行IT人员,也最早开发和支付宝快捷支付的接口。看了支付宝员工唐俭对工行的反驳,我对法律方面不是内行,不懂评价,但从技术角度想探讨一下。
“快捷支付首笔支付前,支付宝会将姓名、卡号、证件类型及号码、手机号码等信息通过专线传递给银行,由银行直接进行验证。全部匹配验证通过后,支付宝还会向银行验证通过的手机号码发送动态验证码,只有客户验证码回填成功后,才能支付成功。这种通过非公开的专线校验的方式相比走公开网络、容易被木马劫持的跳转网银方式要安全的多,也是通过网络渠道最安全的方式。”这段话来自网上支付宝的反驳,内容没有错,支付宝的快捷支付的确是这样与银行做接口的,问题是在于,支付宝是一家互联网公司,因此从他们的角度来开,网络渠道采用专线方式这种最安全的方式,就代表了整个支付环节的安全,但我从银行IT的角度来看,这只是其中的一部分。银行卡一直有两个最重要的要素保护安全性:一是密码;二是磁道信息;这在全世界银行卡都如此。如果你知道了一张银行卡的密码和磁道信息,就可以复制出一张银行卡并盗刷。这也是为什么出现过个别盗刷现象,但却不会出现大面积的盗刷的原因,因为要同时获得一张卡的这两个信息并不容易。这也是为什么银行很多重要的业务都必须通过刷卡和输密码来完成。而在快捷支付开发之初,银行提出了需要客户到银行柜台进行注册,也是要验证这两个重要信息。但这毕竟会带来客户体验的不方便,因此支付宝坚决不同意。最后银行进行了妥协,也就变成了现在的模式。这种模式最大的安全问题是什么,就是使用了不是作为支付依据的信息做了支付信息,银行卡只是一个介质,真正的金额变动是体现在你的账户上,银行如何确认是你本人在通过银行卡对你自己的账户进行操作,所依据的就是银行卡磁道信息和密码,现在这种支付依据---密码和磁道信息被舍去了(有的快捷支付在验证时会输入银行卡密码),而替换成了非支付信息---姓名、卡号、证件号码和手机号码,但这些实际上并不是你在银行预留的支付依据。否则你为什么不能在ATM机上输入姓名、卡号和身份证号码、手机号就取钱呢?甚至在有些行这四类信息都不是加密保存的,也就是明码存在数据库中,泄露的等级肯定要比密码高很多。对于银行的网银,他的前提条件也是在柜台注册,其实根本上也是为了验证密码和磁道信息,而U盾也好,key宝也好都是一个加密机制,只是保证数据在互联网上传输的安全性。
因此对于银行来说,密码和磁道信息才是最后保证,当然,一个人能同时获得姓名、卡号、证件号和手机号的概率会底很多,但毕竟不是100%不可能,而银行只有验证磁道信息和密码才认为是100%的安全。这也就是银行与互联网公司的理解差别。最后我想说一句妄自菲薄的话:银行才是支付的最终执行者,支付宝只是中间环节,那是你觉得安全就安全还是银行觉得安全才算安全?就如同我不敢对电子商务妄加评论,也请别对银行产品随意评论。
https://www.richdady.cn/wap/case/item-254.html |
|
发表于