【印聯(lián)傳媒網(wǎng)訊】日前，央行下發(fā)緊急文件叫停支付寶、騰訊虛擬信用卡產(chǎn)品，同時(shí)叫停的還有條碼(二維碼)支付等面對(duì)面支付服務(wù)。暫停虛擬信用卡產(chǎn)品一事影響較小，因?yàn)楹芏喈a(chǎn)品還未真正推出;真正影響巨大的是暫停二維碼支付。有觀(guān)點(diǎn)認(rèn)為，若不是央行及時(shí)出手，可能會(huì)發(fā)生潛在的信息安全事件，引發(fā)系統(tǒng)性金融支付風(fēng)險(xiǎn)。

　　通俗地講，央行認(rèn)為現(xiàn)在無(wú)論是支付寶、微信支付，還是即將推出的虛擬信用卡，在賬戶(hù)安全和支付安全上都是有問(wèn)題的，一是涉及客戶(hù)的信息保護(hù)，二是涉及客戶(hù)資金如何防止被盜用。從央行的意見(jiàn)函可知，央行只是暫停線(xiàn)下二維碼支付，并非取締。如果安全風(fēng)險(xiǎn)得以化解，依然可以使用。那么，從純技術(shù)層面看，類(lèi)似二維碼支付、虛擬信用卡等移動(dòng)互聯(lián)網(wǎng)金融創(chuàng)新業(yè)務(wù)的交易安全能否得到保障呢?

　　移動(dòng)互聯(lián)網(wǎng)交易環(huán)境存在哪些安全漏洞

　　二維碼支付是一種基于賬戶(hù)體系搭建起來(lái)的新一代無(wú)線(xiàn)支付方案。在該支付方案下，商家可把賬號(hào)、商品價(jià)格等交易信息匯編成一個(gè)二維碼，并印刷在各種報(bào)紙、雜志、廣告、圖書(shū)等載體上發(fā)布。用戶(hù)通過(guò)手機(jī)客戶(hù)端掃拍二維碼，便可實(shí)現(xiàn)與商家支付寶賬戶(hù)的支付結(jié)算。最后，商家根據(jù)支付交易信息中的用戶(hù)收貨、聯(lián)系資料， 就可以進(jìn)行商品配送，完成交易。二維碼支付被叫停主要影響的是線(xiàn)下業(yè)務(wù)，具體指線(xiàn)下掃碼、線(xiàn)下收款及付款環(huán)節(jié)，而線(xiàn)上二維碼不受影響。

　　從金融監(jiān)管層面看，央行該項(xiàng)舉措符合李克強(qiáng)總理最近關(guān)于“政府已經(jīng)排出時(shí)間表加強(qiáng)監(jiān)管影子銀行等金融風(fēng)險(xiǎn)”的講話(huà)精神。從技術(shù)角度來(lái)看，正如央行發(fā)文所稱(chēng)“條碼(二維碼)應(yīng)用于支付領(lǐng)域有關(guān)技術(shù)、終端的安全標(biāo)準(zhǔn)不明確，相關(guān)支付撮合驗(yàn)證方式的安全性尚存質(zhì)疑，存在一定的支付風(fēng)險(xiǎn)隱患。虛擬信用卡突破了現(xiàn)有信用卡業(yè)務(wù)模式，在落實(shí)客戶(hù)身份識(shí)別義務(wù)、保障客戶(hù)信息安全等方面尚待進(jìn)一步研究。” 可以想象，如果身份盜用事件大面積發(fā)生，勢(shì)必造成虛擬信用及虛擬貨幣的泛濫。

　　用戶(hù)身份識(shí)別以及交易安全保護(hù)問(wèn)題已成為移動(dòng)互聯(lián)網(wǎng)金融亟待解決的瓶頸問(wèn)題。據(jù)調(diào)查顯示，有75%的非網(wǎng)上銀行用戶(hù)由于擔(dān)心安全性而不愿嘗試;最近發(fā)布的《2013年中國(guó)手機(jī)銀行用戶(hù)調(diào)研報(bào)告》顯示，對(duì)安全性存疑的手機(jī)用戶(hù)占比高達(dá)61.23%，手機(jī)病毒木馬、手機(jī)遺失造成賬戶(hù)損失、出事后難以找到責(zé)任方等問(wèn)題，令公眾對(duì)移動(dòng)互聯(lián)網(wǎng)安全感到擔(dān)憂(yōu)，極大地阻礙了移動(dòng)互聯(lián)網(wǎng)金融的發(fā)展。

　　預(yù)留手機(jī)號(hào)進(jìn)行短信驗(yàn)證的身份認(rèn)證方式存在很大安全漏洞

　　移動(dòng)互聯(lián)網(wǎng)環(huán)境下，現(xiàn)有的身份識(shí)別方式基于客戶(hù)預(yù)留手機(jī)號(hào)的短信驗(yàn)證，一旦手機(jī)卡被復(fù)制或驗(yàn)證短信被劫持轉(zhuǎn)發(fā)等情況發(fā)生，犯罪分子就可以非法控制被害人的手機(jī)銀行，甚至“幫助”被害人注冊(cè)開(kāi)通手機(jī)銀行，進(jìn)行犯罪活動(dòng)。從目前主流的電子支付方式看，如果用戶(hù)辦銀行卡時(shí)有在銀行預(yù)留手機(jī)號(hào)，那么只需填寫(xiě)銀行卡號(hào)、姓名、身份證號(hào)和預(yù)留手機(jī)號(hào)就可實(shí)現(xiàn)與銀行卡的綁定，然后通過(guò)設(shè)置的支付密碼就可實(shí)現(xiàn)消費(fèi)，并不需要銀行卡的密碼，而姓名、身份證號(hào)、銀行卡號(hào)等信息在網(wǎng)絡(luò)上很容易泄露，存在較大的互聯(lián)網(wǎng)身份盜用風(fēng)險(xiǎn)。

　　在二維碼支付的業(yè)務(wù)流程中，手機(jī)產(chǎn)生二維碼的第三方賬戶(hù)極易被盜用，同時(shí)二維碼掃描也給了犯罪分子誘使客戶(hù)在不知情的情況下，被植入惡意木馬竊取關(guān)鍵信息的機(jī)會(huì)。上述問(wèn)題的存在，使得互聯(lián)網(wǎng)金融服務(wù)中重大資金被盜及資訊泄密案件頻發(fā)。

　　支付指令與驗(yàn)證指令單通道傳輸容易被篡改

　　眾所周知，銀行和第三方公司在提供移動(dòng)支付服務(wù)的同時(shí)已做了相應(yīng)的安全措施，但由于客戶(hù)與銀行之間單通道的通信傳輸方式(由手機(jī)、電腦等終端同時(shí)發(fā)送支付指令和驗(yàn)證指令到銀行服務(wù)器)，容易被網(wǎng)絡(luò)中間人、瀏覽器劫持人所攻擊，金融機(jī)構(gòu)難以確認(rèn)客戶(hù)端操作者的身份，無(wú)法識(shí)別網(wǎng)絡(luò)中間人對(duì)支付指令的篡改。消費(fèi)者面對(duì)花樣繁多且不斷升級(jí)的攻擊方式，操作稍有不慎即可造成損失。而“U盾”、“電子口令卡”等安全工具，還是存在著對(duì)客戶(hù)安全使用意識(shí)要求較高且攜帶使用不便等諸多問(wèn)題。

　　移動(dòng)互聯(lián)網(wǎng)安全領(lǐng)域的現(xiàn)狀及未來(lái)趨勢(shì)

　　隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的賬號(hào)+密碼+短信驗(yàn)證碼的身份驗(yàn)證方式已無(wú)法滿(mǎn)足商家及消費(fèi)者的安全需求。而目前新興的指紋識(shí)別技術(shù)是通過(guò)對(duì)生物特征進(jìn)行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，再進(jìn)一步將這些代碼組合成特征模板完成身份識(shí)別。但從本質(zhì)上講，生物特征識(shí)別技術(shù)提取的指紋等特征最終仍是轉(zhuǎn)變?yōu)殪o態(tài)數(shù)據(jù)的格式(12345)，在認(rèn)證原理上未有實(shí)質(zhì)性的創(chuàng)新，無(wú)異于靜態(tài)密碼保護(hù)。由于指紋等生物特征無(wú)法修改，黑客一旦竊取數(shù)據(jù)便可一勞永逸，尚不及可隨時(shí)修改的靜態(tài)密碼更為安全。

　　IBM于2013年11月發(fā)布的未來(lái)5年五大預(yù)測(cè)中提及：用戶(hù)密碼、身份、設(shè)備前所未有的多，但安全卻是高度碎片化。即將出現(xiàn)的在線(xiàn)數(shù)字衛(wèi)士技術(shù)，通過(guò)對(duì)用戶(hù)背景、環(huán)境及歷史數(shù)據(jù)分析來(lái)驗(yàn)證用戶(hù)在不同設(shè)備上的身份，了解正常活動(dòng)與潛在危險(xiǎn)之間的差異，通過(guò)智能終端進(jìn)行互聯(lián)網(wǎng)身份認(rèn)證及安全保護(hù)，全方位地保衛(wèi)用戶(hù)的數(shù)字生活。用戶(hù)不用再去尋找攻擊的跡象，數(shù)字衛(wèi)士會(huì)觀(guān)察設(shè)備的操作行為，識(shí)別出其中的異常并發(fā)出告警。這表明個(gè)人在智能終端上的行為數(shù)據(jù)是身份驗(yàn)證的最有效手段，世界上不存在完全一致的兩臺(tái)智能終端。

　　IBM的預(yù)測(cè)并非空談。值得關(guān)注的是，國(guó)內(nèi)已有類(lèi)似數(shù)字衛(wèi)士的產(chǎn)品出現(xiàn)。例如，來(lái)誼電子公司的“小微封”互聯(lián)網(wǎng)金融安全解決方案。“小微封”是全新一代的獨(dú)立第三方移動(dòng)互聯(lián)網(wǎng)金融安全認(rèn)證服務(wù)，采用了交易支付數(shù)據(jù)及驗(yàn)證信息數(shù)據(jù)分離的雙通道架構(gòu)，通過(guò)終端設(shè)備指紋識(shí)別(包括硬件指紋、軟件指紋以及個(gè)人行為指紋)、地理位置及時(shí)間設(shè)置等多因素強(qiáng)認(rèn)證的手段，對(duì)用戶(hù)身份進(jìn)行認(rèn)證，將金融機(jī)構(gòu)單方實(shí)施的安全措施轉(zhuǎn)化為由金融機(jī)構(gòu)和消費(fèi)者共同參與的交叉式安全保護(hù)，可以全方面防范網(wǎng)絡(luò)釣魚(yú)、偽卡盜卡、短信劫持、惡意復(fù)制手機(jī)卡開(kāi)通網(wǎng)銀等身份盜用攻擊形式。由于黑客難以同時(shí)劫持兩個(gè)通道，也就無(wú)法同時(shí)篡改交易指令和驗(yàn)證指令，從而對(duì)用戶(hù)在網(wǎng)銀、手機(jī)銀行、ATM、POS機(jī)上的交易安全提供全面保障。“小微封”尤其適用于二維碼、條形碼、NFC等支付(交易)過(guò)程中的身份驗(yàn)證及交易安全保護(hù)。

　　采用“小微封”服務(wù)，用戶(hù)可以自主綁定手機(jī)、電腦等個(gè)人設(shè)備，用于指定銀行卡、賬戶(hù)的登錄及交易;用戶(hù)也可以用手機(jī)所處的位置來(lái)限定允許交易發(fā)生的地點(diǎn)或區(qū)域;用戶(hù)還可以設(shè)置賬戶(hù)的登錄、交易時(shí)間，保護(hù)包括網(wǎng)絡(luò)、ATM、POS在內(nèi)的交易環(huán)境下的安全。

　　可以推斷，由于消費(fèi)者可以在手機(jī)界面享受一站式自助式金融服務(wù)，資金在儲(chǔ)值、理財(cái)、支付、信用、保險(xiǎn)等產(chǎn)品服務(wù)中機(jī)動(dòng)轉(zhuǎn)換，在操作上帶來(lái)了極大的便捷性。

　　而互聯(lián)網(wǎng)安全身份認(rèn)證與物理環(huán)境中的身份認(rèn)證意義完全不同。當(dāng)從一家銀行網(wǎng)點(diǎn)的認(rèn)證環(huán)境中完成服務(wù)走入另一家銀行中時(shí)，認(rèn)證又要重新開(kāi)始，并沒(méi)有關(guān)聯(lián)性。而互聯(lián)網(wǎng)安全身份認(rèn)證可以讓金融機(jī)構(gòu)對(duì)個(gè)人、金融機(jī)構(gòu)對(duì)商家、商家對(duì)個(gè)人、個(gè)人對(duì)個(gè)人之間在網(wǎng)絡(luò)上交叉關(guān)聯(lián)認(rèn)證，具有很強(qiáng)的商業(yè)黏性。它同時(shí)可以為金融服務(wù)、版權(quán)保護(hù)、隱私保護(hù)、商品防偽、訂票訂房、醫(yī)療服務(wù)等行業(yè)需求提供關(guān)聯(lián)認(rèn)證。美國(guó)的四大電信運(yùn)營(yíng)商去年開(kāi)始聯(lián)手防盜，運(yùn)用設(shè)備指紋認(rèn)證技術(shù)，使得手機(jī)一旦被盜或遺失便無(wú)法在任何一家運(yùn)營(yíng)商使用。

　　IBM預(yù)測(cè)的數(shù)字衛(wèi)士技術(shù)，已經(jīng)可以服務(wù)于互聯(lián)網(wǎng)金融。而互聯(lián)網(wǎng)安全身份認(rèn)證在金融業(yè)與互聯(lián)網(wǎng)企業(yè)的競(jìng)爭(zhēng)中、在監(jiān)管機(jī)構(gòu)的眼中尤為突出。銀行以前比較依賴(lài)傳統(tǒng)的門(mén)面服務(wù)，而互聯(lián)網(wǎng)企業(yè)比較擅長(zhǎng)網(wǎng)絡(luò)營(yíng)銷(xiāo)。在智能終端服務(wù)越來(lái)越普及的時(shí)代，誰(shuí)先勇于創(chuàng)新，誰(shuí)先敢于融合新技術(shù)，誰(shuí)就會(huì)取得市場(chǎng)上的先發(fā)優(yōu)勢(shì)。我們可以拭目以待。

本文由印聯(lián)傳媒小新編輯整理