查看文章 |
原文见:http://www.sunwen.net/wen/2008/081018.htm www.sunwen.net/wen/2008/081018.htm 近两个月,业内的目光大概都聚焦在对“百付宝”的等待上,在“百付宝”吊起来卖关子的期间,另一家支付公司一个新的概念倒是引起我的关注。前几日,坐火车去深圳参加《2008中国电子商务发展论坛》。期间一位嘉宾提出的电子支付一种创新,觉得挺不错,写出来,业内共享一下。 大概的思路是这样:当前的第三方支付公司们,实际上只是对商业银行的网关进行中转,因为只是对银行网关进行中转,因此网上银行的安全与否,实质上在于商业银行本身的网站系统,和第三方支付公司们,几乎没有任何关系,银行卡号和密码的输入都是在银行的网站界面,而不是第三方支付公司的网站界面,因此从本质上说,第三方支付公司没有办法控制和影响网上银行的安全。(这个观点与我的《提高yeepay易宝竞争力》一文中倒很类似。)从这个角度来看,第三方支付公司们的网站首页强调的“安全”、“128位加密”、“SSL认证”等等就纯粹是忽悠百姓了。网上银行的安全在于商业银行自己的网站系统上,第三方支付公司只是做网页跳转,网页跳转到商业银行网站上后才在商业银行的网页上输入银行卡号密码。这个网页跳转是在输银行卡号密码之前的跳转,跳转过程中传输的数据根本就不包含银行卡号密码,那么这个网页跳转要不要128位加密,要不要SSL认证,有什么意义呢?不是忽悠是什么?至少对于网民即银行卡的持卡人来说,这个网页跳转中的不管多么多么高级的加密安全措施,对于持卡人的卡号密码安全却没有任何意义。除非第三方支付公司恶意跳转到假银行页面上去,当然如果这样就没有讨论的意义了。 因此,持卡人的网上银行安全,和第三方支付公司无关,网上银行的安全性在于商业银行自己的网站系统。工商银行在网上银行的安全上做的不错,使用U盾,即使被电脑黑客或病毒盗取了银行卡帐号和密码,但是在没有U盾的情况下,黑客也无法通过网上银行窃取持卡人的资金。注意,再仔细看看上面这句话:黑客也无法通过“网上银行”窃取持卡人的资金。注意这里的关键词:黑客在掌握了持卡人的卡号和密码后,在没有U盾的情况下,无法通过“网上银行”窃取持卡人的资金。注意:只是说无法通过“网上银行”窃取,但是,并没有说不能通过“电话银行”的窃取啊。我们注意把“网上银行”和“电话银行”的概念区分开。如果持卡人在使用网上银行的时候,被病毒窃取了卡号密码。那么黑客没有U盾,不能通过银行的网上转帐系统窃取资金,但是黑客可以拨打银行的电话银行系统,在电话银行中输入卡号密码中即可转帐,电话银行是不需要U盾的啊。我们不要把黑客想的那么笨嘛。 工商银行的网上银行U盾系统,或者数据传输过程中的128位加密系统。只能说保障了客户电脑至银行服务器之间的数据传输过程中的安全。但是倘若用户的电脑上有病毒,病毒监视着用户电脑的键盘及屏幕,密码通过键盘输入后,已经立即被病毒窃取了,不用管你客户电脑与银行服务器之间是怎样加密的。即使密码不用物理键盘输入而用软键盘输入,但是道高一尺,魔高一丈,还有病毒能监视电脑的屏幕。 网上银行发展的这几年来,被病毒黑客逼得银行自身不断升级网站安全系统,但是这种安全系统只能保障“银行网站”自身的安全,银行不可能也没有办法保证用户的电脑本身没有病毒。用户的电脑上的病毒,得靠卡巴斯基、微软来解决,而不是银行。每天都有新的病毒出现,银行不可能有能力再组建一个杀毒软件部门,天天去研究对付新病毒,去取代卡巴斯基的地位。况且就算卡巴斯基,也不可能对付所有病毒,还有被病毒打败的时候。 因此对于网上银行来说,不论网上银行怎样加强安全性,它只能加强网上银行自己的安全性,而不能保证用户的电脑上没有病毒。用户电脑上的病毒在记录键盘输入时,与网上银行的安全系统没有关系。 因此总结一句话:网上银行的安全系统并不能保障用户在电脑上输入卡号密码时的安全。 针对这个问题,工商银行的解决办法是:用户可以把“网上银行”和“电话银行”设置为不同的密码,即使“网上银行”密码被病毒窃取,但因为和“电话银行”的密码不同,黑客也不能绕道“电话银行”去窃取资金。但是,并不是所有用户都有安全意识把“网上银行”和“电话银行”设置为不同的密码,工商银行也没有强制规定必须把“网上银行”和“电话银行”设置为不同密码。 工商银行的安全系统在国内的商业银行中做的算是比较好的了,工商银行尚且如此,其它的商业银行有些根本就不能设置“网上银行”和“电话银行”密码不同。 也就是说,在2008年的今天,我们在使用网上银行时,都是很悬的。也因此,用户在使用商业银行的网上银行前,必须被迫与商业银行签署一份书面或电子协议。协议的主要内容就是:用户必须保护好自己的密码,若密码被盗而导致的损失,由用户自己负责。若是用户的电脑上有病毒导致密码被盗,那么显然就得按照协议损失由用户自己承担。 这样的协议看起来似乎很霸王条款,但银行方面表示也很无奈。因为在网上银行的使用过程中,银行不能保证用户的电脑上没有病毒,银行也没有能力去清除用户电脑上的病毒。若是密码被盗,造成的损失由银行来负责,对银行也不公。 上面只是理论上来谈。从2008年的实际情况来看,因使用网上银行而导致银行卡被盗的实例还是很多,正因为这样的实例还是很多。所有至今中国的网民,绝大部分对网上银行的安全性不放心。从某种程度来讲,这不仅仅是对电子支付公司的业绩有影响,而是对整个中国的电子商务发展有影响。 因此,深圳这次举办的《2008中国电子商务发展论坛》,大的方向是谈电子商务,但是电子支付对电子商务的影响被摆到台面上,虽然2008年中国电子支付的规模已经很大,但是相对于中国2亿网民来说,曾经使用过电子支付来网上购物的网民所占的比例,特别是经常使用电子支付来网上购物的网民的比例还很低,原因之一正是对电子支付的安全不放心。那么如果有一种非常安全的电子支付形式出现,必然会吸引更多的人敢于网上购物,对整个电子商务的推动会很大。 这次论坛上一位电子支付公司的嘉宾提出的新的电子支付形式,在我看来,对电子支付的安全性确实是一次有效的创新。这个支付公司做了一次现场演示,我凭记忆大概描述一下。 首先还是去到一个购物网站,选定商品后点击支付,这个时候并不跳转到银行的网站,而是跳转到这个支付公司的网站,在其网站上选择银行,并输入卡号(借记卡,非信用卡)。注意,这里只输入卡号,不输入密码。然后还要输入你的手机号码。然后点确定。几秒钟后,你刚才输手机号码的那部手机会响起来,手机按接听,听筒那边是电子语音,语音的内容是你订购了哪个网站的什么商品,金额是多少,是否确定支付,确定按1,否定按2,按1后,提示输入你的银行卡密码,注意,这里只输银行卡的密码,并不输卡号。输完密码后好像还按了个井键还是哪个键,然后等几秒钟,那边的电子语音提示支付成功,然后电话自动挂断。然后刚才电脑上的支付页面会自动显示支付成功等明细。 我在电子支付行业也算是混蛮久了,当看到这个演示,还是感到很新颖。电子支付也能这样做? 利用网页加电话的支付形式不是个新概念,几年前YeeePay易宝公司就开发了电话支付,也是通过网页加电话的形式。但是技术的本质来讲,之前易宝、快钱等公司开发的电话支付实际上就是接银行本身的电话银行接口,实际上等同于直接拨打银行自己的电话银行再按转帐。操作起来很麻烦,因此一直也推广不起来。(关于这一点可百度搜索“yeepay易宝竞争力”一文)。 这还不是关键的。我这次在深圳看到的这个电话支付的演示,与之前易宝、快钱开发的电话支付,最大的不同之处在于:易宝、快钱的电话支付要在电话上输入银行卡号和密码。而这个电话支付却只在电话上输入密码,而不输银行卡号。 注意:为什么说这是最关键的地方。我们前面一直在讲电子支付的安全。这个新的电子支付形式,实际上把银行卡号和密码分开在两个不同的地方输入。在网页上只输入银行卡号,在手机上只输密码。这样即使电脑有病毒,也只能记录银行卡卡号,而密码根本就不在电脑上输,电脑上的病毒再厉害,也不可能窃取密码。我说这种支付方式比之前的易宝、快钱的电话支付更安全,是因为,之前的电话支付是在手机上既输入银行卡号和又输入密码,现在的手机也会有病毒,手机的病毒也可能把输入的银行卡号和密码窃取。而这种新的支付形式,只在手机上输密码,即使手机内有病毒,也只能窃取密码,而不知道银行卡号。不管电脑病毒还是手机病毒,都只能窃取银行卡号和密码的其中一个。除非有哪个厉害的病毒,既在你的电脑上,又同时在你的手机上进行监控,还要把你的银行卡号和密码能对上号。这样厉害的病毒,至少现在还没出现。因此,这种电子支付形式,在今天来讲,应该是非常安全的。 在看现场演示时,我就在想一个问题:选择商品后点击支付会跳转到这个电子支付公司的网站,输银行卡卡号是在这个电子支付公司的网页上输。那么那个要输密码的语音电话是谁打过来的来?这是很关键的问题。如果这个语音电话是这个电子支付公司打过来的。那么技术原理上来说就是网民即持卡人通过“网页”和“手机”分别把卡号和密码传输到电子支付公司,电子支付公司得到持卡人的卡号和密码后,再通过银行转帐给商户。如果是这种情况,技术原理上似乎很简单,但是这样的话,电子支付公司就掌握了大量的持卡人的卡号和密码,这显然会让持卡人更感到危险。而且中国的金融监管部门显然也不会允许电子支付公司去这样操作。密码不应该被持卡人和银行之外的第三方知道。那么显然这个要输密码的语音电话应该不是电子支付公司打来,而应该是银行打来。在现场演示中,我没法看到演示的手机上的来电显示。于是这种好奇驱使我回到广州后去这个公司的官方网站上了解更详细的情况。 在这个电子支付公司的官方网站上,得到肯定的答案。电话是由银行打来的。整个支付系统的核心还是在银行,整个支付流程为:持卡人在网页上向支付公司提交银行卡号,支付公司再将卡号及支付金额提交给银行,银行电话语音系统自动拨打持卡人手机,持卡人再通过手机直接向银行提交密码。当卡号和密码相符时,即支付成功。 在其官方网站上,我还了解到更多的讯息。当时在深圳看这个演示时,我本以为是刚刚推出的一种新的支付形式。但其官方网站却介绍,早在2001年以前,香港就已经使用这种支付形式。而这家公司在2003年开始在中国大陆地区推行这种支付形式。 我就感到奇怪了,2003年就开始推行。这种网页与手机双通道分别传输卡号和密码的支付形式,应该是很优秀的支付形式。怎么我从事支付行业这几年从来没听说过,是我孤陋寡闻了? 再认真看其官方网站,在对其公司历史的介绍中,讲到2003年开始与深圳发展银行、中信银行等合作推行这种支付形式。 那么原因就很清楚了,只与深圳发展银行、中信银行等小银行合作,当然要推广这种支付形式就很困难了。那么就很奇怪了,这么好的支付形式,为什么不与工商银行、招商银行这种大银行合作呢?这其中的原因,外人自然就不好了解了,但也因此,从2003年到2008年,这家支付公司以及这种很不错的支付形式,几乎没有什么声音。 但其官方网站上给出了这样一个重要的讯息,从2008年开始,与广州银联合作,由广州银联直接运营这种支付形式。 那么这条重要讯息,就值得业内人士注意了。这种网页加手机双通道的支付形式很明显是一种优秀的支付形式,之前一直推广不起来,是因为没有和工商银行、招商银行等大银行合作。但现在直接由广州银联运营,银联的特殊地位,加上这种支付形式本身的优越性,那么这种支付形式的未来发展,不可小斛。 其官方网站介绍:目前已经支持银联的十七家银行。 在这次电子商务发展论坛上,这位支付公司的负责人透露这样一个消息:携程已经把所有其它的电子支付公司砍掉,以后只用这家支付公司的系统。这句话的前半句我早就知道,携程在9月底,确实停掉了所有的第三方支付公司的网关,我老婆10月初从武汉回广州,我在携程上帮她订票,已经不能使用网上支付了,除非使用信用卡,而我没有信用卡(申请了好几次信用卡,银行都嫌我收入低,不肯批卡)。结果我老婆这张机票是携程派人来收现金。 至于上面那句话的后半句:以后携程只使用这家支付公司的系统。现在还不清楚,得拭目以待。倘若携程这样的大客户真的只使用这家公司的支付系统。那么算是给业界发出一个信号,支付行业又来了一个新的强者。 而当前正面临“百度百付宝”即将上线的紧张时刻,如果再来这么一位。那么2008年剩下的2、3个月算是热闹了。 2008年支付行业的战斗,从10月份,才算开始打响了。十月,记得是革命的日子。百度的百付宝,别再拖了,别错过了这个十月。
|
