谷大武认为,其实这也是安全性与便捷性平衡的问题。支付安全与便捷性是矛盾的,一味追求安全,则可能导致在真实场景下不可用;但便捷性则可能会让安全性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。
■链接
3年前数据还在黑市交易
网络账户的安全挑战来自于多个方面。比如,平台本身设计存在漏洞,黑客攻击,甚至安全软件“监守自盗”等。
针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,很多互联网公司都与警方建立了长效的合作机制。然而,数据被不断地在黑市交易,让账户风险阴魂不散。
“不管什么原因,信息一旦泄露,就像撕开了一个口子。进入地下黑色产业链后,更可能被多次贩卖。也就是说三四年前泄露的数据,可能现在还在卖。”一位电商人士向记者表示。
在大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户将虚拟币转走,或将QQ号倒卖。第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止,才会将数据出售。
在“黑市”,用户的数据被“明码标价”。据媒体报道,比如12G的数据包价格从“10万到70万”不等,每位用户的个人敏感信息平均只值1分钱。
提醒
遇到泄露的情况要立即修改账号密码;
支付账号、社交账号、常用邮箱、网络购物这些网站要单独设置密码;
不要在不常用的、安全系数较低的网站设置与自己主要网站账号相同的密码;
接到陌生人或者客服电话不要轻信;
每隔三个月就要对密码进行一次修改,防止黑客撞库等。
■记者手记
纠结“证明我是我”
不如完善追回机制
网上对于支付宝安全性的质疑,说得高端一些是“认证核实”的问题,但说通俗一些,又是那个老生常谈的“如何证明我是我”的问题,只不过这次是在网上。
其实,这在互联网金融安全领域而言是个难题:在信息泄露严重的时代,在线下都很难证明的事情,搬到网上去证明,难度可想而知。但这又是个不得不做的事情,毕竟真实“忘记密码”的需求还是存在的。
诚如谷大武所言,支付安全与便捷性是天生矛盾的。在当下,除了运用可信的第三方(如通过电信公司发送短信验证码)之外,似乎并没有太多技术可用。当然,谷大武也表示,如果未来电子身份证得以普及,可能将是解决这个问题的钥匙,但这是后话。
其实与其纠结如何在网络上证明“我就是我”,不如转换一种思路。实际上,放眼海外,很多人使用信用卡并不设置密码。当然,银行卡现在以IC卡芯片为主,其不可复制性自身就已经在事前形成一道安全壁垒。但如果发生盗刷,其事后完善的追回机制,也让持卡人更加放心地使用。
如果放在互联网支付时代,这无疑是个极好的事例。在一笔交易发生前,现在已经拥有了密码等安全措施作为保障。而交易过程中,互联网平台是否能够及时监控风险和异常,比如银联在免密时设置了“商铺白名单”,从而阻绝可能发生的盗刷情况;交易结束后,如果发生盗刷情况,是否有完备的追回机制和赔偿手段,比如说支付宝的盗刷险等,都能够促进消费者对于安全的认可。
所以笔者认为,在网上解决“证明我是我”的问题,不仅需要金融基础设施建设的进一步加快,也需要支付企业真正形成可行优质的事前、事中、事后可追溯的机制,才能更好地解决安全与便捷性之间的问题。
本版撰文 北京晨报记者 姜樊 刘映花