在2020年的今天,大多數人身上已經找不到一張紙幣,線下消費大部分通過電子支付完成,電子支付已經成為了這個時代的主要支付方式。
支付方式發生了變化,支付安全也再次成為了需要討論的問題。在現金時代保證支付安全是一件很簡單的事情,交易雙方一手交錢一手交貨,只要能辨識假錢,能算對加減乘除,現金交易安全就可以得到基本保障。在電子支付時代,由於第三方的加入,假錢問題得到了解決,但是新的問題也開始產生。
盜刷是電子支付安全難點
電子支付是指單位、個人直接或授權他人通過電子終端發出支付指令,實現貨幣支付與資金轉移的行為,業務高度依賴於互聯網和通信技術。因此,電子支付擁有互聯網技術通有的特徵:不拘於時間、地點,想付就付。
無疑,電子支付是便捷的,極大的節約了成本,減少了消費者和商戶的麻煩,但是它本身也存在一定的問題。電子支付不拘於時間、地點以及非直接接觸的特點讓支付有點脫離人的掌控。
2017年“315”晚會曝光了二維碼盜刷手段,犯罪分子偽造二維碼將消費者導流至釣魚網站進行資金詐騙,甚至乾脆使用自己的二維碼代替商家的二維碼進行盜刷。這是新時代電子支付最普通的盜刷手段。
犯罪嫌疑人指認現場
在這個過程中,商家或消費者發現支付存在問題往往是在支付已經完成的情況下,木已成舟,不要說阻止支付行為,事實上損失都很難追回。而除了二維碼盜刷、銀行卡盜刷這樣的案例,還有更難防範的短信嗅探盜刷。
短信嗅探盜刷主要是依靠偽基站+GSM中間人攻擊原理盜取用戶個人支付賬號,從而實施盜刷。犯罪分子一般選在深夜實施盜刷,用戶難以察覺,而且很難防範。目前為止,防禦短信嗅探盜刷最好的方式是晚上關機睡覺。
很明顯,電子支付讓支付的安全形勢發生了變化,支付過程從點對點完成變成了通過一個不可觸及的第三方完成。這個第三方每次與支付雙方的聯繫全部通過網路完成,這其中的安全風險不言而喻。
雖然近幾年支付機構不斷加強支付安全投入,但是盜刷永遠都在發生,套路各有不同,而每次盜刷的發生都會給產業帶來或大或小的負面影響。
311安全要素貼近安全目標
便捷是電子支付的特點,但是便捷總是要付出代價的,如何彌補這個代價成為了支付行業從業者一直在思考的問題:“作為第三方,我們該如何降低支付風險?”安御道合向移動支付網分享了他們對於這個問題的思考:311安全要素。
安御道合認為,降低支付安全風險的中心問題是保障“誰向誰支付多少錢?”的可信性。作為第三方的銀行、支付機構需要在這個過程中確定五個關鍵要素。
安御道合將這五個關鍵要素稱為311安全要素,“3”指三個客體可信:支付人、商戶、貨幣;兩個“1”指一個數據內容可信和一個支付動作可信。
1、確定第一個“誰”即支付者的真實性,確保這個支付者與所付的錢的關係;
2、確定第二個“誰”即收款者的真實性、準確性和不可篡改。確保所支付的錢有且只有指定的收款者才可接收;
3、確定錢是真的,防偽的,金額是正確有效的;
4、支付指令是否由支付者下達;
5、支付行為是否能體現支付者意願。
這些安全要素構建了最貼近支付業務的安全目標。311安全要素中任何一個要素安全如果無法得到保障,支付安全將會受到威脅。
密碼保護技術:支付安全最重要的技術
311安全要素構建了支付業務的安全目標,想要達到目標還要通過技術手段完成。
安御道合認為,為實現311安全要素構建的安全目標,身份認證和密碼保護是必不可少的兩項技術。其中,身份認證技術驗證支付人、商戶身份;密碼保護技術則是對支付業務中所有數據進行保護。
由於支付相關所有操作全部由各種數據傳輸、使用組成,因此支付安全的關鍵其實是數據安全。而且身份認證技術本身無法脫離密碼保護,無論是身份認證信息的傳輸,還是身份認證信息的確認都需要密碼技術的保護。
例如在短信嗅探盜刷案中,短信驗證碼屬於身份認證技術,其作用是驗證用戶身份真實性,但是由於短信驗證碼在傳輸過程中沒有受到密碼保護,被犯罪分子獲取,從而使用戶賬戶安全受到威脅。
另外,在支付業務中所有的數據都屬於個人金融(信息)數據,一旦洩露,不僅僅會對用戶財產安全造成威脅,也會對第三方機構的安全造成威脅,甚至金融安全帶來威脅,例如信用卡信息大規模洩露,可能會給銀行帶來大筆壞賬。
在追求支付安全的過程中,數據安全是非常重要的,而密碼技術是保護數據安全的最好手段。在等保2.0當中,密碼技術是網絡安全的核心技術,是信息保護和網絡信息體系建設的基礎,是保障網絡空間安全的關鍵技術。
密碼技術依託於兩個關鍵:一是算法,二是密鑰。算法做為一種標準化的,可信的方法,對信息的保護及互聯互通起了決定性的作用。而密鑰管理在保障共享開放的同時,也對私密個性的管理提供了可靠的保障。
所有數據都會有生命週期,有生、行(傳輸)、存(保存)、交流(訪問)、死亡(銷燬)。安御道合認為,密碼就象身份裡的紅細胞,保障數據行和交流的互通。密鑰就象身體裡的白細胞抵禦外來的威脅。安御道合明確地提出,數據也是有邊界的,數據邊界的劃定體現就是密鑰,即密鑰在哪,哪就是數據的邊界。
安御道合認為銀行、企業需要統一密鑰管理做為數據邊界保護的基礎設施。
新的貨幣新的支付
隨著互聯網技術的繼續發展,社會數字化程度不斷提高,貨幣的數字化已經近在眼前,中國人民銀行多次透露央行數字貨幣(DCEP)的信息,無疑DCEP的誕生將會給支付帶來新的改變。
幸運的是,DCEP也屬於電子支付的一部分,即使給現在的支付業帶來衝擊,311安全要素的重要性不會改變,而且隨著DCEP的發行,密碼保護技術的重要性將會隨之上升,在支付安全當中密碼保護技術的重要性還會繼續上升。
技術的快速革新讓原有的支付安全手段變得不合時宜,與時俱進是每一個支付人要做的事情。2020年支付安全究竟需要做什麼事情,通過什麼手段還需要更多專業人士進行討論。
閱讀更多 移動支付網 的文章
