支付宝短信验证不见了,输了支付密码就交易成功了。说是升级成智能安全防护系统,但是总觉得不踏实? 举报 理由 举报 取消 有大神能解释下这个智能安全防护系统大概是怎么回事吗?假如并不怎么安全的话,那还可以做哪些事来保证自己的账户安全。 2017年12月2日 10 条回复 1511 次浏览 Hacker,Hat,White,支付,支付宝,网络安全,黑客
回复 ( 10 )
【用户要的不是安全,是安全感!——本质是弄混了平台安全和用户需要的安全感】
各位的回答、评论,支付宝等的产品团队,看到了吧?这下傻了吧?
你说你熬夜加班敏思苦想的替消费者操什么心?被那么多人不理解、辱骂。
你的产品很好很牛很强大,这方面你没错。
用户错了么?用户没错,这方面你错了,因为你忽略了:
——平台关心的是安全,用户关心的是安全感!
用户需求模型中,安全的确是最基础的,但模型里说的安全其实是“安全感”,更不是平台关心的“安全”。
忽略安全感的需求,用户体验和安全之间平衡得再好,有卵用?
再说,大数据不是这么用滴~
产品汪不懂安慰剂???
你让需要安全感的用户输个密码又如何?
——大不了你大数据处理啊(猜用户十之八九输入正确,老子平台牛b就不验证了)
非要向用户强调你如何牛?
——这明摆着是在告诉你的用户:用户,你错了!
解决方案:提供开关,让用户自己选。
你问我默认开还是关?
——大数据干嘛用的?!何况统计一下用户修改开关的行为只是“大量数据”,很基础吧。
——那么精准的客户画像干嘛用的?!区分一下客户是否勇于接受新模式、风险偏好,不难。
——新手指南、新版本提示干吗用的?!退一步说,不会引导用户自己体验、选择么?
A. 体验为主的用户,如我
某些人就是喜欢用户体验更好,去哪里都是手表二维码刷一下,嘀,完成付款
刚刚下楼去便利店买饮料,嘀完了,收银小妹妹很真诚的说了一句:还是你这个方便!
我笑笑。
其实,手表就没联网——下楼太急忘了切换到4G了!
这类超前消费者就是新技术新模式的尝鲜者,是你的产品走入市场的第一批用户。
B. 保守谨慎的用户,如楼上某些
这类用户很敏感(但不是错):纳尼?密码都不需要、网络都没连?怎么就把款给扣了???
不放心?那就老老实实掏出手机,别让收银小妹妹扫描,而是你扫商户的二维码,然后输入金额、密码转账。
对了,让其它顾客先付款,因为还要接收短信验证口令(更敏感),咱有素质,不会耽误了别人。
——收银小妹妹真诚的对您说一句:您方便付现金么?或者刷卡也行!
说实话,一直是支付宝的忠实拥护者。
但最近一年发生的几件事(宝宝?),不是说支付宝技术不行,让我觉得支付宝至少是产品团队变得
傲慢了!傲慢了!傲慢了!
——别忘了三体名言。
跑个题
现在的网络支付真的是不安全,前几天我大哥的手机被人偷走
接着就是银行卡被刷走4000块钱
赶紧查了下如何刷走的,发现是微信支付
给客服打电话,客服表示该人使用了微信的面对面支付功能,分三次刷走卡里的4000块钱
尤其是这种案件非常坑爹,警察无能,到今天,查监控调出了偷东西人的身份证等信息,警察依然让等,一个多月了。
我表示网上支付为了方便,真的舍弃了太多,导致不太敢用了
反对喷支付宝的匿名用户的回答。你担心财产安全的心情我可以理解,但是你不能说支付宝故意降低安全性。没有哪家公司会故意降低安全性的,除非他们想多赔钱。或许单一验证看起来没有多重验证安全,但实际上每一次调整都是有大量统计数据支撑的。所谓的多重验证基本都是基于手机的,当你的身份证信息泄露,手机卡被补办,一切多重验证都是浮云,跟单重密码验证没什么区别。毕竟赔多赔少关系到风控团队的绩效,没人会跟自己过不去。假设赔付限额是1000W,你觉得只赔100W跟1000W都赔光,风控团队的奖金会一样么?
有人揪着“赔付限额没用完”这几个字做文章,说是只要赔得起就不顾安全。好吧,算是我表述不清造成了误会,毕竟对于没做过风控的人来说,很多细节没法一眼看清。风控所说的安全是统计上的安全,不是保证某一个账号的绝对安全。喝水还能呛死人呢,哪来的绝对安全?那么,如何从统计上来衡量?最直接的就是赔付了多少钱。安全是基石,用户体验是上层建筑。只有当基础稳固(当前足够安全,表现为赔付限额没用完)的情况下,才会去探索如何在不影响地基稳固(不降低安全性)的同时将上层建筑造得更好看更好用(减少不必要的验证,提升用户体验)。没有人会为了上面造得好看点把下面的基石拆掉,除非想要房子塌。我已经说得很详细了,你要是依然坚持自己变得不安全了,你就另开一题,说明具体哪个,或哪些简化让你觉得不安全了,我看心情回答为啥是安全的。支付宝也好,微信也好都是在安全性与便利性之间取得平衡。匿名无脑黑真的还是算了,一边吃肉一边骂娘,这吃相实在不好看。
P.S. 有联通的童鞋评论说,现在联通已经在计算机系统层面强制要求刷身份证了,不刷没法办理业务。刚刚又咨询了电信与移动的童鞋,从15年下半年开始三大运营商办理业务都强制要求刷身份证,不知是否跟15年上半年的疯狂盗刷有关。这是好事,又堵死了盗刷产业链的一条路。
————————————以下是原答案———————————————————–
之前在风控团队实习过(非支付宝),一般是这样的。首先,风控团队会有个赔付限额,就是说每年都允许赔付当年总流水或总利润的百分之xx。然后,定期会有统计,在大概率保证安全,没有用光当年赔付限额的前提下,为了提升用户体验,会逐步减少甚至完全取消用户端的验证。你毕竟还要输密码,终极的目标是在某些场景下连密码都不用。每一笔支付的验证方式因人,因时,因地,因设备而异,由系统综合分析各个参数决定,并非一成不变。
那么什么是大概率安全呢?
1. 你是在常用地点,用常用设备支付的
2. 你当前的支付与你以往的支付习惯吻合
3. 没有触及支付限额与支付限次的红线
4. 当然还有其他更复杂的规则与算法,我没法将系统的技术细节讲得简明扼要通俗易懂,也不知道那些东西能不能公开讲,所以不讲了。
至于手机被偷然后被盗刷什么的:
1. 由于不符合你以往的支付习惯,系统很快会限制交易并有人工客服跟进
2. 手机被偷并盗刷毕竟是小概率事件,小偷又不知道你的支付密码,并且支付公司会拉上保险公司一起来抗,所以他们不虚
大致是这样。
至于保障安全,有两点建议仅供参考。
1. 用信用卡绑定支付宝,别用储蓄卡(当然你也可以绑一张没什么钱的储蓄卡,要用的时候往里转账,不过个人觉得这样很烦)。
2. 千万保护好你的身份证信息!
3. 千万保护好你的身份证信息!
4. 千万保护好你的身份证信息!
重要的事情说三遍!!!
我2015年实习的7个月期间,所有的盗刷都是源于身份证信息的泄露。对,你没看错,所有。单纯因为手机丢失或被盗导致的盗刷,一起都没有。怎么回事呢?
1. 盗刷者从黑色产业链中获取你的身份证信息与手机号码
2. 用伪造的身份证(除了照片不是你的,其余信息分毫不差)在异地补办你的电话卡,电话就在他手中了
3. 好了,有了身份证和电话,你的一切密码密保他想怎么改就怎么改,改完后想怎么刷就怎么刷,一直刷到你发现不对主动冻结甚至报警。
有人可能会问了,说好的限额限次呢?说好的人工客服介入呢?童话都是骗人的?
关于限额限次:
这帮黑色产业链的人早就吃透这行了,各个支付工具的限额限次红线他们门清。就算风控部门作出调整,他们半天都不用就能试出新的红线是多少。上面提到的那些盗刷,每天都是刷到比红线少那么一丢丢,第二天接着刷,十分恶心
关于人工介入:
有人会说既然你们发现异常了,为啥不冻结?哎。。我们当然在第一时间冻结,并让客服打电话回访。可是现在你的电话是盗刷者在接,身份信息对方也对答如流,奈之何!更有甚者,我们的客服还没打过去呢,盗刷的人反倒先打过来了,说我们限制了他的正常交易,不解冻就投诉我们。。那么只好等受害者报警然后走理赔程序了。。
盗刷的人都是选择在运营商快下班时去办卡,这样即使被害人发现电话用不了了他们至少也能盗刷两天(限额限次当天晚上算一天,过了午夜12点又算一天),直到当事人第二天把卡补回去。很多人都是以为卡坏了或者手机出问题了,由于卡被补办,也收不到银行的短信,压根不会想到自己被盗刷了。不过真有个受害人被刷了整整5天,人家一口咬定我就是没发现啊(无辜脸)你们赶快赔钱给我。
所以再次强调,保护好你的身份信息!!!
仅针对支付宝那帮人自我感觉良好的态度,只想说作为用户,我宁愿付款的时候麻烦一点,保证安全,也不要出事了和你们客服来回扯皮,拿回那本可以不发生的损失,何况扯皮的时候我也不知道最后能不能拿回那笔钱
小人之心一下,用户损失的钱,你们也是算过了有多大比例是不用赔的吧
一个管钱的软件,故意降低安全性,还他妈自豪起来了
------------分割线------------
恕我语文学的不好,下面的红框不是上面红框的意思吗?
如果你安全性没有降低,你怎么不全年干掉用户端验证?
不就是仗着预算没用完,赔得起,才为了所谓的用户体验取消用户端验证么?
所以你们就是靠多赔钱来提升你们所谓的用户体验啊
我就是看到你这个回答之后,才写了上面的答案,谢谢。
微信在我印象里一直都是密码支付,支付宝这么做便利了消费,小额频繁消费也要手机验证码我干脆用微信算了,用习惯微信支付又没出什么事我大额转账也用微信算了,我就是愚蠢的用户。
对愚蠢如我的用户来说满足了安全性底线标准,便利性更重要,微信支付宝就是图个支付方便嘛!
话说回来atm取现也是用密码,但我要大额转账/取现就要本人带身份证办理,我觉得这种分额度处理方式可以用在支付宝和微信上。
想加强安全性的话可以在支付宝或微信上只绑个工资卡供日常消费,反正我主卡没绑过任何支付平台。
你可以一直用电脑版的网银支付,安全得多,但是你没用,你还是用起了快捷支付,而且你还用起了手机支付宝支付,这难道不是你因贪图方便做出的妥协?
我见过这样的人,为了防止网上交易丢钱,需要网上付款的时候才去在支付宝绑定的银行卡里存一点钱,非常安全,你怎样看待这种人,你会这样操作吗?
亚马逊密码都不要。
美国亚马逊,一键就下单了,密码都不用,斜眼。
单独办一张银行卡、手机号,和支付宝(当然还有微信、百度钱包等等等等)绑定,需要购物的时候往这个卡里转账。即使被盗也可以及时止损。
身为。。。 匿了,只想客观的回答问题。在这之前我想给大家灌输也是支付宝一直想要灌输的一个概念:手机就是钱包。可能灌输这个词用的不恰当,可以说是改变思想,这个思想还是很有远见的。支付宝也一直在为这个概念而努力。
先解释下这个智能防护系统,记得没错的话,应该是一年前的时间。支付宝启动所谓的智能安全防护系统。听名字高大上。实际就是数据分析系统。用户大数据系统。这个系统会收集一切可能的用户数据。包括地理位置,网络环境,支付习惯,人脉,工作情况,购物习惯。从而去判断你的每一笔资金操作是否合理,是否符合你的习惯。从而进一步的判断是否需要验证。 举个例子说,你是A城市的人常在B城市使用支付宝。你的支付宝即将有一笔转账,是在B城操作转账到A城的一个人。这个情况下可能就是不需要验证的。但是你回到A城操作上述转账。首次可能就是需要验证的。这就是分析系统处理的结果。具体的判断条件和方法只有支付宝的攻城狮晓得了。应该也是属于值得一提的是,支付宝对于第一次和网络环境格外在意。
是否安全?没有绝对的安全。安全问题之一就是模仿,黑客或者是骗子可以用各种方法取得你的账号密码,然后面对这个智能系统。也有可能来模仿账号主人的操作环境和习惯进行资金操作。这个情况需熟知支付宝机密规则和用户的一些隐私,比较难,但是不是没有可能。之二就是熟人和本地作案,这个情况来说就要牵扯到手机钱包的概念了。把手机放在沙发和把钱包放在沙发上,丢手机和丢钱包哪个比较不安全?
安全建议:尽量少在公共电脑使用支付宝,把好账号密码第一关。还有就是手机上锁,改掉丢三落四的坏习惯。
其实大数据分析系统牵扯到的隐私问题不必担心,他们不会因为你买了一个充气娃娃。买了一个震动棒给你打上猥琐男,饥渴女的标签。其实很多公司都会用到客户的数据,来为客户更好的服务。
最后,感谢支付宝在支付领域做出的贡献。虽然前进路上困难和质疑重重。但是我相信你们会做的更好。