大智慧阿思达克通讯社3月18日讯,近期,央行紧急暂停线下条码(二维码)支付、虚拟信用卡有关业务。上海来谊电子首席执行官徐海光周二(18日)对大智慧通讯社表示,如果身份盗用事件大面积发生,势必造成虚拟信用及虚拟货币的泛滥。用户身份识别以及交易安全保护问题已成为移动互联网金融亟待解决的瓶颈问题。
徐海光指出,据调查显示,有75%的非网上银行用户由于担心安全性而不愿尝试;近期发布的《2013年中国手机银行用户调研报告》显示,对安全性存疑的手机用户占比高达61.23%,手机病毒木马、手机遗失造成账户损失、出事后难以找到责任方等问题,令公众对移动互联网安全感到担忧,极大了阻碍了移动互联网金融的发展。
对此,徐海光提出了两点:
第一,预留手机号进行短信验证的身份认证方式存在很大安全漏洞。
从目前主流的电子支付方式看,如果用户办银行卡时有在银行预留手机号,那么只需填写银行卡号、姓名、身份证号和预留手机号就可实现银行卡的绑定,然后通过设置的支付密码就可实现消费,并不需要银行卡的密码,而姓名、身份证号、银行卡号等信息在网络上很容易泄露,存在较大的互联网身份盗用风险。
二维码支付的业务流程中,在手机产生二维码的第三方账户极易被盗用,同时二维码扫描也给了犯罪分子诱使客户在不知情的情况下,被植入恶意木马窃取关键信息的机会。上述问题的存在,使得互联网金融服务中,重大资金被盗及资讯泄密案件频发。(具体案例网上均有大量报道)
第二,支付指令与验证指令单通道传输容易被篡改。
银行和第三方公司在提供移动支付服务的同时已做了相应的安全措施,但由于客户与银行之间单通道的通讯传输方式(由手机、电脑等终端同时发送支付指令和验证指令到银行服务器),这种方式容易受网络中间人、浏览器劫持人所攻击,金融机构难以确认客户端操作者的身份,无法识别网络中间人对支付指令的篡改。
消费者面对花样繁多且不断升级的攻击方式,操作稍有不慎即造成损失。而“U盾”、“电子口令卡”等安全工具,还是存在着对客户安全使用意识要求较高且携带使用不便等诸多问题。
此外,徐海光认为,随着移动互联网的发展,传统的账号+密码+短信验证码的身份验证方式已无法满足商家及消费者的安全需求。而目前新兴的指纹识别技术通过对生物特征进行取样,提取其唯一的特征并且转化成数字代码,并进一步将这些代码组合成特征模板完成身份识别。
但从本质上讲,生物特征识别技术提取的指纹等特征最终仍是转变为静态数据的格式(12345),在认证原理上未有实质性的创新,无异于静态密码保护。由于指纹等生物特征无法修改,黑客一旦窃取数据便可一劳永逸,尚不及可随时修改的静态密码更为安全。
3月13日,央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,叫停支付宝、腾讯的虚拟信用卡产品,同时叫停的还有条码(二维码)支付等面对面支付服务。央行在通知中要求,立即暂停线下条码(二维码)支付、虚拟信用卡有关业务,采取有效措施确保业务暂停期间的平稳过渡。
发稿:位雯雯/古美仪 审校:丁亮/孔驰
*本文信息仅供参考,投资者据此操作风险自担。
(大智慧阿思达克通讯社 官方微信互动DZH_news 上海站电话:+86-21-2021 9988-31065 北京站电话:+86-10-5799 5701 微博爆料weibo.com/dzhnews)
查看更多个股新闻,请登陆大智慧365。
本文来源:大智慧财经
责任编辑:
王晓易_NE0011
