不输银行卡密码就能付款 第三方支付安全吗?
1月27日,媒体刊发了《手机装有支付宝如果丢了很可怕?》的实验新闻,文中根据网帖介绍的内容,模拟装有支付宝的手机、装有银行卡和身份证的钱包一起丢失这一特殊情境,结果发现只要手机在手,凭借短信校验码和身份证号就可重置支付宝登录密码,而凭借校验码、身份证号和关联银行卡卡号就可重置支付宝支付密码。
这一报道引起不少人对支付宝等第三方支付平台的关注。近日,记者再次通过实验发现,支付宝、微信支付、QQ财付通等第三方支付平台,和美团、滴滴打车等生活应用APP,在捆绑银行卡和消费支付时,均不需要输入银行卡支付密码,只要输入各平台支付密码就可以花银行卡里的钱了。这样的支付模式虽然便捷,但安全性究竟如何?怎样使用才能最大程度保护自己的安全?本期《好奇心》继续来研究这一问题。
实验时间:2015年2月5日、9日
实验地点:西安 实验人员:媒体记者
实验顾问:西安电子科技大学计算机学院博士、副教授、国家公派美国密歇根州立大学博士后、教育部信息安全团队骨干成员杨超
新闻事件
郑州男子手机换号 未解绑银行卡被转近7万
据中国之声《央广新闻》2月7日报道,郑州市民许杰银行卡在身上,卡上近7万元存款却“神秘消失”。他以银行未尽到保障存款安全的义务为由索赔,结果被郑州市中原区法院一审判决败诉。
2012年12月底,许杰在郑州一家银行办了一张借记卡,并与自己手机号码绑定。2014年1月15日,他取钱时发现卡里7万元存款少了69000多元。报案后警方查明,钱是在同年1月12日被人通过支付宝分两次扣付的。
许杰说,银行卡一直就在他身上,密码也只有他知道,但钱却没了。2014年11月3日他状告银行,要求赔偿自己69800元。法庭上,许杰称银行没有经过自己同意,让第三人通过支付宝快捷支付方式将存款取走,应该承担赔偿责任。
而银行方面称,支付宝的支付并不需要银行密码,只需要支付宝密码和手机验证码,钱就可以划拨走。根据许杰在公安机关的笔录,事发前7天,许杰因轻信朋友张某,使用电脑自助服务终端将开卡时绑定的手机号码变更为了朋友张某提供的手机号,并将相关信息透露给了对方,银行认为不应承担责任。法院审理后认为,许杰本人存在重大过错,由此产生的损失应当由许杰自行负担。据此,法院一审驳回了许杰的诉讼请求。
主审法官提醒,手机号码更换后应及时与银行联系,用新号码绑定银行卡。否则手机验证码仍会发到原号码上,这会对账户安全及使用造成影响。更不能把自己的银行卡和别人的手机号码绑定。最简单有效的方法就是去银行营业厅柜台进行办理,或借助网上银行来修改手机号码。
专家解释
1.第三方平台为何可绕过银行卡支付密码?
据银行业一位业内人士介绍,银行、第三方支付平台、客户,三者的关系相当于一种两两签约的三方协议关系。即银行和支付宝等第三方平台之间有合同关系,客户在安装使用第三方支付平台时即表示同意与其之间的相关条款约定,而客户和银行又是一种储蓄合同关系。银行和第三方支付平台之间根据约定进行有限的信息共享,这些信息主要是与客户有关的信用信息,借此可以提供关键信息核对。所以当客户发起请求,第三方支付平台要求从银行划拨客户的资金时,银行即视为客户已经同意了这笔支出,或同意办理相关业务。
2.绕过银行卡支付密码合适吗?
银行和第三方支付平台建立合作关系,在支付时不再需要用户输入银行卡支付密码,便捷是便捷了,但设置安全吗?
支付宝一位公关人员介绍,安全和便捷其实是一对深刻的矛盾。如果过于追求安全,便捷性就一定打折扣,用户的体验并不见得好;但便捷性好了,在安全性上可能又不足了。对于用户来说,就要看到底看中什么了;对于企业而言,还要兼顾效益和安全的平衡。
西安电子科技大学计算机学院副教授、教育部信息安全团队骨干成员杨超认为,第三方支付平台绕过银行卡支付密码进行交易并不是太合适。这样做把用户对自己账户的安全设置权利绕开了,而这一权利关系到用户自己账户的核心安全。
3.密码更复杂就一定更安全吗?
一家第三方支付平台公关人员介绍,他们的客户端支持平台支付密码设置为20位数字、字母和符号的组合,相对于银行卡支付密码应更安全。
但杨超认为,并不是这样。尽管银行卡支付密码只是几个数字的组合,但银行在办理涉及账户安全的业务时需要进行当面识别、人证比对,此外还有摄像头监控,这些都不是第三方支付平台能做到的。并不是支付密码复杂了,就意味着安全级别更高了。所有的第三方支付平台,几乎都把短信校验码赋予了最高权限,而谁能知道操作手机的一定就是本人?也许随着未来的技术发展,类似苹果设备的指纹识别技术逐渐普及,可以解决第三方支付平台没有门店、不能直接对用户进行当面人证比对的缺憾。就目前而言,应用虽然做得好,但安全是第三方支付平台的软肋。第三方支付平台要进一步发展,就一定要在安全方面做得更好。