来源:蜘蛛抓取(WebSpider)
时间:2012-05-20 21:06
标签:
捷付
关于创业的一切
早晚报、一周热文、嗅评
生活方式、文化思潮与八卦
怎么解读四大行限制快捷支付?
继工行等三大行之后,上周末,快捷支付交易量最大的建行也下调了单次对支付宝的转入额度,单笔5000,月最高5万,这标志着四大行开始了对支付宝快捷支付的全面限制,普通投资理财者通过快捷支付转账支付宝、余额宝将受到一定的限制。从四大行的规定看,目前只是对快捷支付的流程和额度进行限制,但并没有限制通过银行自身的网银支付来转账第三方支付。所以,笔者认为,银行在这次调低快捷支付的额度行为中,有一定的渊源可循。四大行联合限制,时机正好从法理上看,第三方支付的快捷支付功能是和各家银行经过具体的商业谈判而确定的,各家行的具体政策和额度也存在一定的差异。但是此次四大行都步调一致地下调了快捷支付到支付宝的额度,说明了什么问题?第一,支付宝为代表的在线理财通过余额宝的产品创新,和快捷支付的便捷充值体验为小额理财者提供了收益可观的理财方式的选择,银行的活期、定期存款在余额宝这个比较市场化的产品面前失去了竞争力。所以,对于银行来说,即便余额宝的资金最后大多还是回流到了银行,但却一定程度上提高了银行的综合付息成本。因此,限制快捷支付的额度,至少能为银行的资金流出设限,尽量留住更多资金。当然,这种留住的方式不是收益上的竞争,而是政策的监管红利。第二,从这段时间的监管对第三方支付的政策看,有从紧的趋势,主要是央行在第三方支付的准入和日常监管方面有个更多严格和规范的考虑。主要的表现如下:1、有消息传出央行在第三方支付牌照上将减少发放的频率和数量,目前各种第三方支付牌照已经有200多张,内部竞争已经白热化,部分出现了竞争的失范和违规的嫌疑。所以,央行后期对第三方支付的整合和管理职能将加大。2、近期下发的关于叫停支付宝、微信二维码支付和虚拟信用卡支付的指导意见《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,为第三方支付的线下市场开发设定了一定的阻力,叫停理由是安全问题和材料报备不足。3、央行发布《支付机构网络支付业务管理办法》的征求意见稿,其中规定“个人支付账户转账单笔不超过1000元,年累计不能超过1万元”等规定,目前仍在征求意见中,从政策解读看,是央行态度比较激烈的一次调研。4、周末,央行内部下发文件中,八家主流支付公司从4月1日起,线下收单全国范围内停止接入新商户。这八家支付公司分别为:汇付天下、易宝支付、随行付、富友、卡友、海科融通、盛付通、捷付睿通。所以,在第三方支付整体的监管趋势偏紧的大环境下,四大银行在这个时间依次降低快捷支付的绑定额度,其实是为自己找一个良好的下调空档,或者说是从监管的角度找到一个更合理的理由。调低支付额度,银行不违法理从支付宝用户的个人情感上来讲,下调快捷支付的转入额度,确实为日常的理财和转账设定了诸多的限制,意味着同一笔支付可能要分成好几天,甚至分成几个月来完成,这也就迫使用户再度使用网银支付来完成剩余额度的转账。但是,从银行方面的权限来看,下调快捷支付的额度并不涉及违规问题,对于本行资金的流出方式和额度,需要在第三方支付和银行之间通过快捷支付绑定时的商务合作协议来确定。当初,支付宝为了绑定这些大行的快捷支付功能,在条件上不得不接受一些更为严苛的要求。此外,银行对储户的资金安全和账户支付的安全有一定的管理和监管责任,对资金的流出也有一定的管理权限,这是银行保护储户安全的责任所在。虽说快捷支付目前暂无安全问题,但在央行密集的监管政策下,银行完全可以拿安全说事。因此,这次四大行下调支付的额度,其实也情有可原,第三方支付即便不满,也没有任何挑刺的理由。法理上看,银行的做法并没有不合法,不合规之处。这也正说明了目前互联网金融所面临的共同问题,资金的沉淀和来源渠道大多还是银行和传统金融机构,虽然在产品的渠道创新上实现了很大的跨越,但互联网金融始终未能进入资金的上游和产品的上游:一方面是现有金融体系的稳健需要,另一方面也是互联网金融自身的定位问题。第三方支付面临新一轮监管压力从第三方支付的起源来看,最初是为了满足个人和商户便捷支付需要,以实现交易和消费的安全便捷。第三方支付平台提供一系列的应用接口程序,将多种银行卡支付方式整合到一个界面上,负责交易结算中与银行的对接,使网上购物更加快捷、便利。消费者和商家不需要在不同的银行开设不同的账户,可以帮助消费者降低网上购物的成本,帮助商家降低运营成本。对于第三方支付的监管,其实也可以分为几个阶段。第一个阶段,第三方支付开始成型,但是受限于具体的监管政策难度和行业的成熟程度,对于第三方支付处于默认上的管理阶段;第二阶段,随着2011年5月第一批支付牌照的发放,对提供支付服务的第三方非金融企业进行了正规的条文监管阶段,目前已经发放了七批,最近的一批包括了新浪支付和百度支付等,第三方牌照总数为250家;第三阶段,随着互联网金融的深入发展,支付方式成为互联网金融渠道变革的一种核心内容,而支付领域的创新也成为互联网金融的主要创新,这个时期,出于安全和合规的需要,央行对第三方支付的安全性监管力度将会加大。从宏观的金融改革趋势来看,第三方支付目前承担的是互联网金融的底层架构的服务功能,金融改革鼓励互联网金融的发展,但在具体的执行策略上,首先的前置条件是金融体系的稳健和客户资金的安全。从高层的定位看,互联网金融本质上是金融,所以需要采用金融的监管思路来约束,互联网的快捷、流量化、简约的支付方式并不能抹杀安全的重要性。限制并非否定,支付仍然可行此次四大行在快捷支付的额度上进行了限制,即便有自己的利益考量,但并没有彻底封死向第三方支付进行资金流动的口子,银行自身的网银渠道仍然支持方便的大额转账和支付服务。对于用户来说,本质的服务功能并没有改变,只不过是通过快捷支付的体验功能下降了一些,并不影响主要的支付和消费功能,除了向余额宝的大额转账和充值(单笔5000,单月5万,意味着5万需要连着充10天)。当然,从央行的监管底线来看,其目的不是要彻底打压第三方支付的生存空间,而是希望通过新一轮的支付流程规范来约束整个行业的健康发展,在进度上慢一点,在流程上合规一点,在满足足够安全的前提下进行更多的支付创新和体验。而四大行即便出台了快捷支付的额度限制,但也只是权宜之计,并不能改变利率市场化和整体市场利率水平抬高的整体趋势,资本是逐利的,市场化的配置会为资金提供自我的选择,而非是政策约束,政策红利迟早会过去。对于一般消费者而言,虽说快捷支付的限额满足不了所有的支付需求,但日常的小额支付需求已经基本能够覆盖,剩下不能满足的部分可以通过网银支付来实现。对于第三方支付的快捷体验,这种发展的趋势是不会倒退的,因此用户也不必过于担忧,等待银行间博弈结果和高层监管进入稳定阶段的到来。金融分析师陈凯歌,财经专栏作家,微信公众号:samchenkai
*文章为作者独立观点,不代表虎嗅网立场
授权 虎嗅网 发表,并经虎嗅网编辑。转载此文章须经作者同意,并请附上出处()及本页链接。原文链接/article/30441/1.html
后参与评论
搞不懂现在那么多义愤填膺的人是怎么个想法,限制快捷支付之后对普通用户来说并没有什么利益的损害啊?莫非都是托?
回复 :转入有没有限制,只是快捷支付从银行转出限制了.//@肉山的本命年:问题是钱不会存在银行里啊,现在都放在余额宝里,哪个银行卡上需要钱或要还款,都通过支付宝转过去,所以影响太大了。//@lining:用网银就可以了,快捷支付如果不限制额度我还觉得不放心那.
戗盘子的老合:
大多数的评论都集中在网银用起来麻烦上了,问题是,麻烦归麻烦,人家安全啊。麻烦归麻烦,也没损害你利益啊?话说没有限额的快捷支付真的比网银方便很多么?在没有看到足够的风险控制能力前,恕我不能支持快捷支付。
怎么会没有,用优盾很麻烦的,尤其是优盾跟系统和浏览器的兼容做的并不好。习惯了快捷支付,限额以内无所谓,超出限额很头痛!
我真不知道评论的人到底懂不懂快捷支付和网银的差别呀?当然最恶心的是支付宝居然关闭网银接口了,强行将用户绑在快捷支付的战车上。
肉山的本命年:
回复 :问题是钱不会存在银行里啊,现在都放在余额宝里,哪个银行卡上需要钱或要还款,都通过支付宝转过去,所以影响太大了。//@lining:用网银就可以了,快捷支付如果不限制额度我还觉得不放心那.//@MrCamel_岑彭:有影响的,单笔5000很麻烦,要分好几次往里转,一个月5w有时候也不够,尤其是有了余额宝之后。而且现在大额度的消费也都是比较普遍了
有支付宝跨行异地转帐不用手续费,现在这么小的额度几乎就没用了。
限制“宝宝”再加优先股,应该是为了防范金融风险,包括放开的房地产融资。应该是权宜之计。
captain小五:
到损害到你利益那天,你就开始义愤填膺了
好像农行一早就是日限5000,当初为了把卡里的几万转到余额宝,连续转了好多天,蛋疼的要死。
储户自己的钱为什么不能自己做主?如果是基于安全考虑,你可以默认不开通或者额度限制,但是用户有权主动去调高额度。
回复 :用网银就可以了,快捷支付如果不限制额度我还觉得不放心那.//@MrCamel_岑彭:有影响的,单笔5000很麻烦,要分好几次往里转,一个月5w有时候也不够,尤其是有了余额宝之后。而且现在大额度的消费也都是比较普遍了
银行这么干提防谁大家都心知肚明的,原本就揣着一颗不能共容的思想,估计以后的限制只多不少,如果继续这样下去,早晚一天会损害到大部分人的利益。
MrCamel_岑彭:
有影响的,单笔5000很麻烦,要分好几次往里转,一个月5w有时候也不够,尤其是有了余额宝之后。而且现在大额度的消费也都是比较普遍了
对于我这种从来不用第三方支付的人来说,一点影响都没有。有网银、手机客户端,好好的干嘛非得整第三方支付嘞?那些多出来的环节都是要耗费社会资本的哇。我觉得现在的网银就已经很方便啦。
adrian_以吻封缄:
对于我们这样经常用的人来说影响很大。
中国就怕出一个大公司,我觉得当个老二挺好
回复 :招商银行金卡客户飘过。网银全部免费。//@肉山的本命年:网银成本更高,支付宝免费又方便。
肉山的本命年:
网银成本更高,支付宝免费又方便。
网银远不如支付宝方便。
“个人支付账户转账单笔不超过1000元,年累计不能超过1万元” ?太扯淡了吧,一个月不能超1000的节奏,而且不能真那么闲每个月都转账玩吧,有大额需求怎么办
只是快捷支付而已,网银是没限制的.
天下有点灰:
银行太黑了,天天扣我的钱
银行本身可以大额支付
老子有钱才不存四大行,再转10万到余额宝压压惊。
四大行联手限制快捷支付,就如同Intel和AMD联手上调主板芯片授权费用,如同三星夏普索尼联手上调液晶面板价格。重点不在“限制”,而在“联手”,在国外绝对是要受罚的。
nonbinding:
关键是能不能找出四大行提前协商一致才采取行动的证据。否则仅是猜测。
nonbinding:
关键是能不能找出四大行提前协商一致才采取行动的证据。否则仅是猜测。
这个时机难道不是商业银行抢四大行客户的最好机会吗
怒赞!可以联合支付宝,微信等做些联合推广活动~
怒赞!可以联合支付宝,微信等做些联合推广活动~
我不知道喷的是不是没有脑子,人云亦云的。四大行限制的是快捷支付,又不是网银。淘宝不是也限制微信接入嘛,你们有没有破口大骂?
captain小五:
淘宝被骂的还少吗?就你这帮人装B,哪天伤到你的利益了就立刻煞笔了
captain小五:
淘宝被骂的还少吗?就你这帮人装B,哪天伤到你的利益了就立刻煞笔了
阿里巴巴的银行出来了
估计银行还要怕
不快捷就废点事呗,要是4大银行敢说,我们直接封杀支付宝,那就牛逼了
captain小五:
凭啥要妥协呢
captain小五:
凭啥要妥协呢
限制是正确的,但与此同时,国家和银行也应以此反思反思
换个银行呗
四大行间转帐有无上限?储户取款有无上限?如果一个月只能转帐1000,会引来无数骂声的。
这是切了支付宝余额宝的后路,但是个人认为,中国现在还是得用户者的天下,除非四大行能有足够的实力100%的垄断实力,否者此举必是弄巧成拙。默默支持支付宝一下~~~
最近类似的消息频发,动作不断,从安全的角度可以理解,但的确存在因利益受损,拿大旗说事儿的嫌疑。这几条除了单笔1000,年累计1万实在无法接受,其他都还能说得过去,毕竟发牌照就是为了监管,互联网金融的创新很必要,但监管背景下,标准化的流程还得走啊!
那什么情况,不让人民活了,人民都没有一点处理自己金钱的权利吗!
&但是此次四大行都步调一致地下调了快捷支付到支付宝的额度,说明了什么问题?&说明四大行垄断,请反垄断部门调查。
历史不会倒退吧......
哎..........
汇付天下的体验比银行还差……
配图很亮!
点击加载更多
金融分析师陈凯歌,出版《互联网...
互联网金融分析师支付宝快捷支付安全吗?
近期看到快捷支付出台,体验了一把,确实非常快,和网银账号绑定之后,只要输个密码,钱就划过去了。虽然我的支付宝账户安全等级满格,但还是忍不住质疑:这样真的安全吗?如果我的支付宝账户被盗,不就等于我的银行卡也处在危险之中了?希望有关技术人员解答一下。
按投票排序
非专业人员,仅从用户的角度,我的感受是,支付宝快捷支付把网银安全拉低了一个等级。先说不爽的体验:如果在银行开卡时留了手机号,银行卡就会变得不安全。无论目前是否使用快捷支付,手机都要做到完全的保护:设置手机解锁密码,禁止在锁定的屏幕上显示短信内容,设置SIM卡PIN码。背景:a.各大银行的支付宝快捷支付限额已经调整到2万或以上。b.任何人都可以去支付宝注册一个帐户(无需实名认证),用假名字或者你的名字都行。然后可以关联你的银行卡的快捷支付,只要5项信息:1.姓名2.身份证号码3.银行卡号4.手机号(银行卡开户时填的那个手机号)5.手机验证短信前面4项一般都不是秘密,结果是:手机验证短信成了唯一的安全保护。这是一个不安全的设计,1.它改变了默认的安全规则。这些年银行通用的做法是:必须要去柜台才能开通银行卡的网上交易。快捷支付的这个功能,相当于通过手机短信开通网上支付,改变了默认做法。这是一个危险的做事方式。很多老人或者不接触网络的人,他们不知道手里的手机短信突然变得重要起来,没有保护手机的意识。即使他们在银行卡上设置了密码,从来没有开通网银,也没有在手机上绑定任何业务,别人只要能使用他们的手机,银行卡里的钱就可能被盗。对那些愿意使用快捷支付的用户来说,虽然自己愿意用安全换来便捷,但是目前的做法却牺牲了那些不使用此产品的人的安全性。假设银行推出一个新的业务,通过短信发来一笔消费请你确认,如果你在1分钟内不回复,则默认认可此交易。你愿意使用这个功能吗? 有人愿意。无论你是否愿意,银行已为所有人开通此功能。2.手机很容易丢失,短信很容易泄露。为了防止手机短信被别人看到,你需要给手机添加锁屏密码,并禁止在锁屏幕上显示短信内容。你还得为SIM卡设置PIN码,防止手机丢失后,别人拔下SIM卡插入别的手机来查看短信。3.个人认为,手机不适合做高级别的身份认证,只能当作一个认证时的通讯工具。通过肉身+身份证件或签名来验证身份是可以理解的,经过几千年考证的。用手机验证身份?恐怕只有支付宝希望采用这样的办法,他们没有银行如此多覆盖全国的网点。发行个U盾都困难,网银那些安全性高的方法都玩不起。4.就算你有网银(无论什么U盾、U key、专业版),也无法阻止开通快捷支付。开通快捷支付时不需要网银。在招行的网银里,可以阻止借记卡上开通快捷支付,证实有效。但是信用卡上无法阻止。工行网银上没看到这个功能。只能开通后,事后在网银里关闭快捷支付。但是亡羊补牢,为时已晚。银行提供一个功能开关,应该不是问题。至少应该允许那些有网银的人,去关闭快捷支付。或者去柜面去关闭,总可以吗?对,是这么设计的,让全国不用快捷支付的人,去银行柜面关闭此功能。无论怎么说,快捷支付不给人一个拒绝的机会,属流氓做法。各银行无耻地配合了。这样的业务,也不只为支付宝一家服务。大家都把U盾、证书什么扔了吧,握紧手机。
事实上,快捷支付只是今年包装出来的概念而已。在07年就推出的支付宝卡通就是快捷支付。由于是手机验证加安全监控,这几年极少听说卡通支付被盗,3年了。
你可以自己设置手机校验码规则(支持工、农、中、建、招、平安、深发):
方法:可以登录支付宝,我的支付宝-付款方式-安全设置中设置手机校验码规则,之后可以设置为“总是收到校验码”,那么你每次支付都会收到校验码了。
快捷支付如果是小额的还好吧!但是支付宝最贱的是,你不知情的情况下就被开通了快捷支付,有很多很多人根本就没有什么防范意识的。屁都不懂,就是用着方便,有时候一不小心被别有用心的人盯上,别人发个图片链接什么的就点开了,被钓鱼了出事了,支付宝真的赔付?怎么赔?还是需要更多去警示去提醒去告之,而不是昧着良心推广、挣钱!
便捷 vs 安全 总是一对矛盾。这就是一个权衡。
你几十几百块钱,就会放在钱包里随时可用,几千上万的钱,就可能放在家里用的时候回家拿,几十万几百万的钱就会放在银行里要找ATM也只能取2W,多了要到柜台提前申请才能取。为不同等级的便利设定不同等级的安全措施。
在支付宝的中,默认200以下直接支付,200以上就需要手机验证了,2000以上需要开通数字证书,20000以上就只能去网银了,甚至多少以上网银都不给你转,只能自己去柜台了。
这就是一个权衡,牺牲小部分资金的安全性带来极大的便捷。同时牺牲大部分资金的便捷性换来更高的安全度。
整体上说,任何便捷都不安全。一个系统的安全性可以简单地用攻击者获得权限的概率来描述。在快捷支付之前,支付宝支付需要两个独立的串联鉴权,支付宝和银行。简单假设两者被攻击者攻破(不管是盗取还是怎样)的概率都是50%,那么快捷支付之前整体攻破概率是50%*50%=25%。而现在呢?要注意攻击者的目标是把钱从你的银行账户转出去,所以现在的攻破概率是1-(1-50%)*(1-50%)=75%,也就是攻击者攻击两个鉴权任何一个成功的概率。当然现实中这个概率不至于有50%那么高,但是简单数学计算就会知道任何一个鉴权系统,一旦出现一个平行的鉴权路径,整个系统被攻破的可能性都大大提高,只要这个平行鉴权路径被攻破的可能性不为0。当然,任何系统被攻破的可能性都是大于0的,而且往往大很多。所以整体上说,快捷支付这样一个新的支付通道,除非开启它的同时能关闭原有网上支付方式,不然一定降低安全性。即便可以关闭原有网上支付方式,也并不能保证安全性不降低,这取决于支付宝本身的安全性。顺便一说,这个原理也适用于iPhone 5的指纹解锁。很多人以为指纹提高安全性,其实按照一般的使用方式是降低的。反过来说,提高安全性也很简单,同时要求指纹和密码才能进入系统即可。可惜似乎iPhone不支持这样。
不安全:理由,仅使用传统的网银时,身份校验唯一地由网银盾决定。这个时候,仅有交易所用到的资金会进入支付宝的账户。除此以外银行可以保证阿里巴巴物理上动不了你的任何一分钱。因为一旦要动钱,就意味着要用到网银盾。使用快捷支付时,网银盾的唯一性消失了,通过支付宝渠道保障你的银行账户仅剩下你和支付宝之间的协议,但你不能保证物理上阿里巴巴不能动你的银行账户。阿里巴巴可以自行动用你的银行账户,而不需要你的即时授权,比如强制短信校验的每月6角。所以阿里巴巴推快捷支付的主要意义在于能更好地撬动钱包。快捷支付降低了银行账户的资金安全,同时也降低了支付的门槛。------------------------------------Android 4.4的新短信机制是一个利好消息:系统会要求由用户明确地指定一个默认短信应用,只有它可以改动系统的短信数据库。别的应用程序依然可以接受短信,但无法拦截或做出修改。这么一来通过拦截校验短信的方法就无效了,当然,在iPhone上这本就不是问题我依然建议仅在快捷支付绑定一张小额度(如几千块)信用卡,大额支付走网银,且绝不加入快捷支付。
可以这样:支付宝,以及开通快捷支付的银行卡只存少量零花的钱。那张银行卡就当支付宝用了。大笔的钱。去另外的银行开卡。那张卡索性连网银都不要开。
有个东西叫无磁无密,有磁无密,有磁有密,无磁有密。这个绕口令说的就是划走钱的权限,看那个机构获取到的权限。比如无磁无密,就是不用你的磁卡和密码,知道你卡号就把钱划走。这种情况常见在学校扣你学费的时候,想起来了没?
new .22.35刚刚看认证宝突然想到。手机的软OTP如何保证写在APP中的软算法不被破呢?==============================new
8.49又来更新了下。之前文章里提到过
这个网站去测密码是否已经泄漏,之后又知友提出会有安全隐患,仔细一想,也是我思考不周密,属实有安全隐患,对网站的解密方式也不了解,所以就特地去做了个实验,现在把实验结论总结出来吧。我猜测网站解密hash值的方式是用需要解密的hash值,去撞已知的明文-hash值映射表的库。如果hash值匹配的上,明文就出来了。而这个明文-hash映射表,应该是各种渠道手机的各种用户明文密码,或者用常用字典算的。一方面的泄漏的用户明文密码,一方面是弱密码。其实两种方式都算是字典法吧,只不过第一个字典是泄漏的密码,第二个是弱的常用密码。因为HASH理论上是不可逆的,就算某些HASH算法出现漏洞,也是一定层度上可碰撞。就是理论上,暴力和字典两种方法,没其他的了。但是听说MD5可能用并行计算可能就被爆了,所以不排除cmd5使用暴力方式。如果cmd5使用暴力方式,那你去查询自己核心密码的话,就相当于提前让cmd5记录你的密码,并暴力破掉了,等着别人来查,有安全隐患。我的实验是这么做的。首先准备两组明文,一组是我常用非核心的最近更新密码,另外一组是我随机敲的数字大小写字母组合。然后使用cmd5网站计算出两者的MD5值,使用cmd5查询此值。第一次查询,两个值都提示无法立即解密,需要等待解密。经过几天的解密,常用非核心的最近使用密码被解开但需购买查看结果,而随机字符串未被解开。一是可能此密码已泄露,二是此密码只是比之前的常用密码修改某些大小写,而之前密码已经泄露,因为注册过很多大大小小的网站。可能是被撞的变形库。所以我猜测,cmd5的解密是非暴力解密,如果好奇,可以尝试查询自己的非核心密码,并等待解密,但是有一定风险,不知道会不会某种条件触发暴力解密。还有一定需要注意,我是使用的cmd5直接结算的密码hash值,就是明文输入过网站的输入框,这个步骤是不安全的,cmd5完全可以记录此步骤输入内容,留作字典等用。所以,如果想尝试,请用另外非联机的hash计算工具计算hash值。PS.FUCK YOUR MOTHER这个,即使把大小写变的各种没规律,也都算的出。========================old
14.19刚刚看到一个关于银行卡绑定支付宝,银行卡被盗刷的问题。想起自己回答过此问题,回来一看写的真水。近来一直在思考此类安全产品的问题,所以就来更新下答案。先贴上一段之前写过的东西,被邀请回答过一回,内容刚刚写好,问题就被删除了。=========================以个人理解,支付宝的安全保障产品的强度是不一的。即短信验证码,手机宝令,软证书,工行U盾,宝令(OTP)强度均不同。如果你仅使用短信验证码这种安全方案,账户资金的安全性就较低。因为很难做到一号一密,即你的支付宝密码没有作为其他密码使用过。---插句题外话,我现在一般小站就用lastpass搞个安全的密码,一站一密,省的网站无节操。关键的几个还是用心记吧。(也可以记载txt中,然后用truecrypt保存,truecrypt用文件秘钥,秘钥文件写在ukey中,小的就这么做的。)---如果你再使用智能机,那你的账号就相当不安全的了,取决于是否有人盯上,是否有人愿意拿你钱了。危险等级是我用经验评估的,是否有人愿意做是我猜的。如果使用手机宝令,安全等级提高一个档次。对于手机宝令我之前回答讲过,我现在还是那么认为的。手机宝令安全等级较安全,但是达不到PKI级的安全。软证书还真不安全,除非你认为你个人电脑是个安全计算机,否者电脑被攻陷,软证书就没用了。工
行U盾分好多种吧,什么OTP,挑战性OTP,一代盾二代盾的。目前来讲,工行能用的,绝对比第三方支付肯用的安全。工行应该是风险第一,便利第二。第三方是
反过来吧。从理论上来讲,二代盾是最安全的,如果使用二代盾保护支付宝安全,只要做到盾不离身,即使你本人想通过二代盾途径划走这笔钱都是不可能是。我这
里讲的是只走二代盾的验证流程,因为支付宝业务逻辑太复杂,也存在钱从这个业务逻辑转到那个,然后怎么付款还是退款的,就不用盾的验证,就划到其他账户去
了。宝令(OTP)这个就跟工行的OTP一样了,强度一致,只是发卡方不同罢了。OTP人行出过问题,安全性一般,所以才出了挑战OTP,目前存货的理由是综合分高吧,尤其在便利性,还是无可取代的,和短信结合安全性也得到稍微保障。=========================以前的回答把我了解的几个安全产品比对了下。再着重说说短信验证码这东西。现在看来短信的拦截转发成本已经很低了。更别提信道的不安全。算是极不安全的。本身短信的信道就不可信,手机如果再不是可信环境的话,那出来的结果,就是上面链接的情况吧。如果使用智能手机,至少要加上一个手机宝令吧,稍微有点保障。(对android,ios了解不深,不知道这手势密码的强度怎样,感觉也不高)宝令(OTP)这类东西,听说被攻破过,虽然不知道原理(除了算法被破),但是这东西不算是强安全,没法不可抵赖呀,所以也不认为是特别安全。吐槽下。现在我感觉支付宝跟银行弄的这个快捷支付要出大问题呀。用户和银行最想要的结果是,我任何信息都泄漏了,但是我只要有一个东西在手中,就是没问题的。磁条卡和一代盾都是这么要被废的。而现在快捷支付的开通和使用过程中没有任何这个保障。而对于银行和支付宝的承诺,可信度和实行性又是多少呢。支付宝的业务逻辑太复杂了,而且你实实在在的丢钱他要先检查下你是否骗保呀。缺的还是一个不可抵赖的条件。便捷牺牲的就是安全,都是在尽力平衡两者。如果风险过了拐点,还是的考虑安全。PS。已把钱转出余额宝。我深深的体会到那些,用单独开过网银的卡,只保留一小部分钱去网购的心理了。他们看到的案例和懂得技术。。。。。。=========================old支付宝快捷支付准确来讲是不安全的。我认为不安全的原因有如下几点:1.认为快捷支付的安全是以你信赖支付宝或阿里为准的,也就是说如果从支付宝内部瓦解等手段,快捷支付完全可以刷爆你的卡或者刷掉您的钱,因为支付宝所有验证安全性的环节都是和支付宝安全体系接轨的,而不是同银行接轨的。2.短信验证码是极其不安全的,短信验证码在链路中走的是明文,所以快捷支付绑定短信支付码是不安全的。3.前段时间风传刷过拉卡拉的卡被盗刷,这事反应俩个问题。一是磁条卡很不安全,盗刷成本很低。二是作为第三方支付企业,如果你为了方便过分截留安全信息,你有很大的风险,保证你自己不被内部瓦解。安全的做法还是建立起链路,全是密文在走,自己什么都不留。我想大家都不愿意沦为管道,那这事如何博弈,那没法说了。4.最重要一点,快捷支付是没办法保证不可抵赖性的,就算OTP也不可以。如果支付宝被攻破,伪装成持卡者,发起快捷交易,如果支付宝抵赖,没有任何办法去保证被盗刷的卡的不可抵赖的。这点和1很重复,就是你对阿里相信多少。就类似于你把钱放在银行,你对银行相信多少一样,银行对你是没有不可抵赖性的。因此,银行通过建立各种机制,去保证不可抵赖性。比如核对身份证件,本人签字等。如果否认,可以去查本人签字等。PS我还是在用快捷支付的,一方面是我对支付宝的体系安全和信用的信任,二是因为属实很方便。但是我是绑定了手机宝令的,对于这种类OTP的东西,我相信如果出问题,一定是大问题,我认为是不可抗因素吧,就和IC卡被盗充值情况一样。
从一个安全相关专业的人士角度而言,其的安全性是可以得到理论上的保护的在此强调一个概念理论上的安全指的是如果用户所进行的一切操作都是符合要求的,那么它在现有的技术水平下是绝对安全的可是理论上的安全不等于实际上的安全,现在几乎所有的安全问题都是源自于用户自身的不安全操作造成的举个简单点儿的例子吧,用户正常使用网银通过U盾的方式进行转账,那么即使他是在一个非常不安全的网络环境下(包括计算机中有病毒、网络传输的数据可能会被黑客监控、输入数据会被记录),只要他按照规定安装了安全控件并且使用U盾来进行转账,那么黑客可能盗取用户的账户和密码,但是却【不可能】仿制一个类似的环境在不获取用户U盾实物的前提下来盗取用户的账户财产考虑到目前支付宝的快捷支付系统对于使用的硬件是有比较严格的要求的(即需要认证手机、电脑的安全性),并且这个安全性主要都是基于用户绑定的手机号(即想认证全新的手机、电脑使用快捷支付必须要求进行手机短信验证)。故目前的情况是,除非黑客同时获得了你的绑定的手机号(指的是号码卡这个实物而不是那个数字)并且拥有了你的密码,否则是不可能威胁到你账号的安全的。再次再补充一点,支付宝的安全系统是非常好的,但是支付宝账户中的金额的安全性其实是很低的,也就是如果你支付宝账号号有余款而你的密保等级又很低,那么其实你的这笔钱是非常危险的,别人只要获得你的账号密码就能轻松转账拿走你的钱。我曾经就一不小心被盗400元,自此之后升级了支付宝的安全等级同时再也不在支付宝上存有现金了。【支付宝本身的安全性就和正常的网络账号一样一样的!只不过它的充值支付系统是非常安全的罢了!】
转类似问题下的回答:
安全与便捷一直是在相互竞争的,二者的平衡点是金融安全界的大问题。风险有各种可能,如果要一一消除,既不可能,也会导致大大降低便利性。
题主说的快捷支付是相对安全又方便的支付方式,是种进步。默认设置下的支付宝快捷支付去除了支付时输入账号及支付密码的步骤,不再是传统的严格的双因子认证(通过提供你拥有的和你知道的信息来认证),可能的风险在于绑定的手机号这个通道会被恶意利用。如果觉得不安全,可以参考以下几点:
1.虽然普通的快捷支付没有U盾,但可以安装免费的数字证书,可以设置提醒的额度,支付宝的似乎最低200,大额消费会有回呼客户确认;如果要更保险,可以开通每次支付都有短信提醒的服务(目前是0.60元/月),或者使用免费手机宝令。这相当于通过数字证书和手机校验短信实现的双通道认证(你拥有的账号、证书、手机号和你知道的密码双方面信息)。
2.支付宝的安全团队对风险的监控很严格,会识别出众多存在风险的支付情况,如在一台很少使用的电脑上支付。另外,提供的手机短信提醒或手机宝令,是种一次性的动态密码验证机制(One-Time Password :OTP),虽然存在被破解的可能性,但安全性高。
3.可以选择不使用这种服务。
4.其它注意事项,见@的回答。
扩展信息: (1) .(2).
打个比方,钱包其实也挺不安全的,钱包一丢,里边的钱就基本找不回来了。
但每个人还都得有一个钱包,离不开。
绝对不安全,目前在支付宝的退货体系里有个漏洞,会被人利用后直接使用快捷支付让你的银行卡全部打入支付宝,再利用这个漏洞骗取你的支付密码后把钱全部转走。我同事就被骗了六千元,在新浪微博发帖立马就被删,之后出了两条新闻,一是支付宝快捷支付送保险,二是阿里巴巴入主新浪微博,我啥也不说了。我觉得那些觉得快捷支付虽然有风险但是因为方便所以还是可取的逻辑很是奇怪。对于受损失的用户来言,任何的风险都是可怕的,快捷支付并非是生活的必需品,奉劝大家还是小心为妙。
其实安全与否有一个重点在于是否有赔偿方案。因为谁都不敢保证任何东西都是安全的,所以有了保险有了赔偿。就像这个问题,你说安全,他绝对有不安全的一面只是现在还没有被发现,会不会被发现,被谁发现。都不是我等寻常百姓关心或者能够关心到的。那我们关心什么,我们关心如果我有十足的证据或者哪怕有八成的证据说明那不是我用的,那不是我的行为,支付宝亦或是银行会不会赔偿我的损失。貌似支付宝会。可是支付宝可以赖,貌似银行.....不会赔还有权抓你。所以,很不安全。可是谁让他那么方便。本回答的意义在于,我们以为的完美其实还差很多。
从个人经历看,貌似从支付宝刚出来不久我就开始用了,还没出过问题。从行业人角度看,答案是很安全。支付宝内部人士跟我这么说:第一,支付宝有强大的风控措施,对可疑交易的辨识能力还是很强的。比如刚改密码的几天内不能进行大额交易或转账。第二,也是最重要的是,如果你快捷支付被盗用,支付宝有72小时内先行赔付,损失由他们承担。当然,现在有保险公司承担了。另外如果赔率到百万分之十这个业务就会停掉,现在还没停说明事故发生率极低。所以,放心用吧。至于其他品牌的快捷支付,实力所限,不太会有支付宝这样的赔付措施,但如果真出事且不是你的过错,那很多公司为了形象还是多少会给你赔的。这方面的具体政策跟银行有关。吐个槽,目前中国第三方支付公司大部分只是微利乃至赔钱赚吆喝服务大众,央行还管得死死的,真可谓金融界的屌丝。
我个人体会支付宝安全的牛逼之处是全额赔付。每个金融产品都有可能资损,可是有几个那么有钱,资损全给赔?
还是挺安全的,不要忘记大额支付用动态密码发送到手机,这样应该是非常安全,当然你要保护好你的手机。
曾参与某电子支付平台的设计,说一两句。网上支付的话,最好搞一个独立的小额银行卡,而且专卡专用。简单讲,网银安全,一般要有三个因素,加密算法、密码、人的因素,其中一定要有人的因素!主要是防自动攻击、暴力破解。现在不少银行,新的U盾,带液晶屏显示器有按键的那种U盾,安全系数高很多,这里面有个关键,就是U盾一定是带独立计算能力的,简单讲,有独立CPU的,关键计算是要在U盾里面计算完成的,也就是说,核心计算与外界是物理隔离的,这个非常关键。以前有几个银行的早期U盾偷工减料,不安全!另外,注意,网银所谓的安全,其实很重要的一点是说有法律保障!也就是说,法律承认这事情!快捷支付之类,已经有人爆出漏洞,而且银行方是会吃亏的,不过估计踢皮球的可能性大,这个人多眼杂,就此打住。所以,网上支付的话,最好搞一个独立的银行卡,小额银行卡,专卡专用,估计要花多少再转多少进去,而且最好钱留在卡里,通过支付网页跳转到需要用U盾的界面进行支付。一句话,纵深防御,多策略。
当 然 不 安 全!!!以我个人两次支付宝被盗的情况下来讲支付宝真的不安全,然后我同学的支付宝也被盗过,被转走了几百块钱。我第一次被盗的时候支付宝上吧出现了十次转账记录,不过还好当时绑定在上面的两张银行卡都没什么钱基本上没损失。第二次被盗的时候,卡还是那两张卡,不过那个人把我的支付宝里面的用剩下的钱给转走了。还好只剩了几块钱。第一次发现被盗,朋友说可能电脑中病毒,我就立刻重装系统,结果后来还是发生了被盗,说明不是电脑的问题。上面朋友说短信验证,但是支付宝的名字很多都是绑定的手机号,而且这个手机号正是你现在在用的手机号,那现在就存在着手机卡被复制的问题,所以如果在盗你的支付宝的时候,同时又复制了你的手机卡,那就防不胜防了,唯一的办法还是用网银。支付宝最可恨的是:很多时候你一不小心就把银行卡的快捷支付给开通了,经历两次支付宝被盗之后,我基本上会定期去支付宝看看。因为平时比较懒,经常都不注意就用了快捷支付。
安全是相对的,自己本来没什么钱,用的这张银行卡平时不存多少钱
现在有个烦心的问题,我不想开通快捷支付,可是每次支付时支付宝都会要我选择一次是否开通快捷支付,很无聊
