许多年前的某一天,我打开和支付宝账号关联的淘宝,发现购物车里满满当当好几页未付款商品,其中不乏女士内衣之类的商品,在排除了我梦游变身为异装癖这个可能之后,我明白了,我的支付宝账号被盗了。
而昨天在谈及支付宝长远愿景的文章里,许多读者还是对以支付宝为代表的移动支付方式的安全性表示关注和担忧,关乎钱财,每个人必须得小心翼翼,毕竟在骗子太多,傻子不够用的年代里,一不小心就着道了。而在前日的支付宝分享日中,阿里小微无线产品专家可乐(花名)以及阿里小微风控专家云长(花名)在两个分会场都提到了移动支付和互联网金融安全的问题。
安全问题是曾经失败的原因之一
可乐的话题是《无线支付宝产品做不好的 N 种原因》,主要回顾了历代被时代淘汰的支付宝无线支付产品以及其失败原因。归结起来无非以下几点:
其中他花了较大篇幅谈及其中的安全问题,他随后也给出了自己对于防范安全问题的建议:
与其说上述几点是妙招,倒不如说是常识,而骗子利用的就是我们的一时疏忽和贪图省事。那么对于最后一点“交给支付宝即可”,阿里的风险控制专家,也是曾在公安系统做了十几年刑侦工作的云长在后面的《互联网背后不为人知的安全机制》中详谈了安全问题。
支付宝背后的安全机制
云长首先拿车祸概率进行了比较,目前出现车祸的概率大概是五千分之一,而支付宝业务的风险概率是十万分之一,我们没有因为车祸概率就放弃出行,所以他也认为,不应该因为支付宝存在风险概率就弃用之。
根据云长的讲解,支付宝整个安全防控体系分为 5 级:
首先是交易保护,支付宝交易行为监控识别系统会对每笔交易都有侦测和评估,通过部署一些规则、模型,对这些交易进行判断,当出现风险的时候他们会通过一些方式排除风险和告诉用户,或者是通过一些在线的系统进行保护。
第二,支付宝有一个帐户体系,这个帐户体系除了帐户的设置上面会有一些要求以外,在整个帐户保护上支付宝也提出了类似于银行密码卡的物理措施,包括软件上输入的数字证书,也就是几十秒会更换的口令卡。
第三方面是涉及到用户的设施,金融类的帐户无论是对国家对用户来说私密性比较高,整个数据库、信息安全的传递和用户在哪些信息上允许做留存,包括留存的年限,包括哪些信息是由哪些人可以采集访问,是完全按照国家金融机构的标准来做的。
第四,支付宝对用户认证方面有很多的认证,除了实名制之外,还会获取一些银行的黑名单,禁止这样的用户使用支付宝,还有商户的调查,商户是否有这样的资质和准入,包括药品的管理,支付宝都会对用户这样身份和资质的审核。
最后,一个是更大环境的,支付宝会和杀毒软件的厂商做一些安全合作,以确保阿里的网站是真实可靠的网站,避免用户在过程中被钓鱼和欺诈。
用户应该有的安全观
如果说上述云长的讲解有些枯燥的话,那么数字可能会直观一些。阿里小微有 10% 的员工从事风险管理,共计 400 人左右。而有 20 %的服务器专门用于安全风控,共计约 1100 台。
于我们用户而言,该怎样做才能保证安全,毕竟像支付宝这样的风控体系离用户确实隔着一道门,用户是看不见摸不着的。而会上云长分享的关于安全观的看法对于普通用户来说,会有一些启发意义:
“我们希望每一个在线支付的参与者也要参与其中,就像刚才说明显知道驾车过程中不能闯红灯就是要去做,明知道不能酒驾,你就是要去;明知道要系安全带就是不系。所以,我们希望整个行业和业态、用户,包括监管机构、立法机构都能够对在线支付传递一个安全观,这是我们希望传递的。所以,我们希望安全不是支付宝一家来做,不是一些杀软公司,不是一些安全厂商来做,我们希望和用户和立法机构一起来做。”
作为风险管理的专家,他对于用户的建议是,妥善保管帐户和密码,不接受陌生文件,不访问非法网站。很多时候用户是访问了非法的网站,不经意间把密码泄露出去了。
用户需要把支付宝帐户当做金融卡,而不只是一个帐户,很多时候就把支付宝的帐号当做其他的网站登录名就用掉了,而其他社交类网站在信息管理和帐户管理上面安全等级并不高。
另外,现在智能手机应用越来越多,用户不要随意地泄露手机号码,更不要泄露手机短信校检码。也要养成使用正版的软件的习惯,目前很多时候盗用者会进行包装之后再给用户,杀毒厂商也没有一一的查杀。
最后,也要合理使用安全产品,要结合自己特点要选择不同的可靠的安全产品。
回到开始我支付宝账号被盗时间点,那时候没什么网络安全意识,可乐和云长说到的问题有意无意也犯过,我们一直在追求快和便捷,而快和便捷往往又和安全是一对矛盾体。推而广之,这套安全观在整个互联网金融都适用。