2014年1月21日

昨天在微信朋友圈一直疯传一篇文章:《惊悚实验:支付宝关联了银行卡 如果手机丢了会发生什么》。该文核心观点是:

假如手机丢失,通过取回密码、取消数字证书的方式就可以破解支付宝的登陆和支付密码,从而盗走资金。

然后阿里小微金融服务首席风险官胡晓明通过官方微博提出辟谣,声称支付宝很安全,必须手机和身份证或电脑同时丢失,才能通过文中方式破解,但这种事情的发生几率本来就比较小。而且就算账户一旦被盗,支付宝提供全额赔付。

但我整个看下来,虽然手机与身份证或电脑同时遗失的几率比单独丢失手机要低,但也不是阿里辟谣所说的“突然被板砖砸死”的几率那样小。

手机支付的安全性的讨论已经如滔滔江水,搜索一下,会找到很多文章。前阿里安全专家道哥黑板报昨天在微信公号里回应了一篇分析文章《安全问题的本质》,文中提到一些内行说法:

  1. 手机丢失与支付宝安全这篇文章写的很高明。但不是说这篇文章说的不对,相反,从某些角度来看,它确实有一定的道理。
  2. 网上的那篇文章主要的出发点在于控制了手机,则控制了支付宝账户里的一切,因为所有的业务(包括安全流程)都可以通过手机完成。
  3.  实际上,支付宝的安全模型在设计时,就默认将手机当成了所有「可信任」环节里的最后一环,它的优先级是高于其它「可信任」的参照物的。
  4. 设计任何安全方案,最终都必须要有一个东西是「假设可以信任的」,只是看这个「可信任」的东西被攻击成功的概率大小。如果不这么做,则做不出任何的安全方案。
  5. 比如说你买了一辆车,并拿到了遥控车钥匙,那么就得假设车锁和车钥匙是安全的。但其实遥控车钥匙并不安全,有很多偷车的盗贼都会记录遥控车钥匙发出的信号,等车主离开后就重放这个信号从而解锁。这就是打破了原本的信任假设。
  6. 支付宝要把手机设定为「可信任环节里的最后一环」,原因就是因为以前用过的很多安全认证方式都发现不靠谱。网上那篇文章里提到的用邮箱验证、用数字证书等来解决支付宝的问题,却不知道这两样东西早就被黑客玩残了。邮箱就不说了,针对数字证书的木马很多年前就猖獗一时,所以支付宝后来才加上手机短信验证。

所以说,手机支付虽然依然有风险,但还有最后的人工客服及保险理赔两条线提供保护,应该说是目前支付安全领域里最好的解决方案了。

不过,其实这事真说起来,微信支付也未必安全。同样的手机丢失后的安全问题,腾讯也不见得解决的很好,而且目前微信支付及理财通连锁屏密码也没有。也就是说,一旦手机遗失,任何一个人可以看到机主存在微信理财通里的账户余额。腾讯在支付安全方面的积累比支付宝少很多,如果可以破译支付宝,那理财通或者微信支付就更不在话下了。唯一的区别是支付宝上会趴用户的资金,而微信支付或理财通目前只是支付渠道,资金还是由第三方来监管的,和支付宝的性质并不太一样而已。

这个讨论恰好在这个时间点引发很多讨论,是很有意思的:恰逢前天微信版的余额宝——理财通刚刚上线,第二天微信里就出现的支付宝安全问题爆料,的确很有竞争对手的黑公关嫌疑。

从数字来看,这场战争才刚刚开始,后面很可能会非常盛大。自2014年1月2日,余额宝收益达到峰值6.78%以后,最近一月收益一直在跌,虽然幅度不大,但从峰值的年化收益6.76%跌到6.46%。而昨天一天,微信理财通的从年化收益6.5%,激增到7.34%,超过余额宝当前收益了接近1个百分点。

看来,2014年巨头们的互联网金融大战不可避免。有资格拿到牌照的巨头们的互联网金融产品纷纷发布,如平安银行的平安盈,苏宁的零钱宝,工行也放低身段推出名为“天天益”的理财产品,加上之前百度百发,真是八仙过海各显神通。但这个领域最后也只能有1-2家胜出,谁能笑到最后,还真不好说。

虽然微信支付以及理财通的用户数还有限,在支付方面的经验也不如支付宝雄厚,虽然没有淘宝、天猫的流水作为倚赖,但微信商城和易迅也是基础,凭借坐拥几十亿社交用户这个优势,还是有很大的空间。

欢迎关注微信公众号 LornaTMT

首页

发表评论

注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。

Trackbacks/Pingbacks