許多年前的某一天，我打開(kāi)和支付寶賬號(hào)關(guān)聯(lián)的淘寶，發(fā)現(xiàn)購(gòu)物車(chē)?yán)餄M滿當(dāng)當(dāng)好幾頁(yè)未付款商品，其中不乏女士?jī)?nèi)衣之類(lèi)的商品，在排除了我夢(mèng)游變身為異裝癖這個(gè)可能之后，我明白了，我的支付寶賬號(hào)被盜了。

而昨天在談及支付寶長(zhǎng)遠(yuǎn)愿景的文章里，許多讀者還是對(duì)以支付寶為代表的移動(dòng)支付方式的安全性表示關(guān)注和擔(dān)憂，關(guān)乎錢(qián)財(cái)，每個(gè)人必須得小心翼翼，畢竟在騙子太多，傻子不夠用的年代里，一不小心就著道了。而在前日的支付寶分享日中，阿里小微無(wú)線產(chǎn)品專(zhuān)家可樂(lè)（花名）以及阿里小微風(fēng)控專(zhuān)家云長(zhǎng)（花名）在兩個(gè)分會(huì)場(chǎng)都提到了移動(dòng)支付和互聯(lián)網(wǎng)金融安全的問(wèn)題。

安全問(wèn)題是曾經(jīng)失敗的原因之一

可樂(lè)的話題是《無(wú)線支付寶產(chǎn)品做不好的 N 種原因》，主要回顧了歷代被時(shí)代淘汰的支付寶無(wú)線支付產(chǎn)品以及其失敗原因。歸結(jié)起來(lái)無(wú)非以下幾點(diǎn)：

• 終端太重，難以普及
• 基礎(chǔ)設(shè)施差，信息孤島
• 整體安全和誠(chéng)信環(huán)境
• 人員培訓(xùn)成本
• 網(wǎng)絡(luò)發(fā)展不均衡，資費(fèi)，信號(hào)覆蓋
• 用戶認(rèn)知，普及推廣速度

其中他花了較大篇幅談及其中的安全問(wèn)題，他隨后也給出了自己對(duì)于防范安全問(wèn)題的建議：

• 遇到可疑網(wǎng)站故意輸錯(cuò)密碼防釣魚(yú)
• No 越獄
• No Root
• 勿泄露短信校檢碼
• 交叉保護(hù)（如在注冊(cè)時(shí)和親人交換身份信息）
• 其它的交給支付寶即可

與其說(shuō)上述幾點(diǎn)是妙招，倒不如說(shuō)是常識(shí)，而騙子利用的就是我們的一時(shí)疏忽和貪圖省事。那么對(duì)于最后一點(diǎn)“交給支付寶即可”，阿里的風(fēng)險(xiǎn)控制專(zhuān)家，也是曾在公安系統(tǒng)做了十幾年刑偵工作的云長(zhǎng)在后面的《互聯(lián)網(wǎng)背后不為人知的安全機(jī)制》中詳談了安全問(wèn)題。

支付寶背后的安全機(jī)制

云長(zhǎng)首先拿車(chē)禍概率進(jìn)行了比較，目前出現(xiàn)車(chē)禍的概率大概是五千分之一，而支付寶業(yè)務(wù)的風(fēng)險(xiǎn)概率是十萬(wàn)分之一，我們沒(méi)有因?yàn)檐?chē)禍概率就放棄出行，所以他也認(rèn)為，不應(yīng)該因?yàn)橹Ц秾毚嬖陲L(fēng)險(xiǎn)概率就棄用之。

根據(jù)云長(zhǎng)的講解，支付寶整個(gè)安全防控體系分為 5 級(jí)：

首先是交易保護(hù)，支付寶交易行為監(jiān)控識(shí)別系統(tǒng)會(huì)對(duì)每筆交易都有偵測(cè)和評(píng)估，通過(guò)部署一些規(guī)則、模型，對(duì)這些交易進(jìn)行判斷，當(dāng)出現(xiàn)風(fēng)險(xiǎn)的時(shí)候他們會(huì)通過(guò)一些方式排除風(fēng)險(xiǎn)和告訴用戶，或者是通過(guò)一些在線的系統(tǒng)進(jìn)行保護(hù)。

第二，支付寶有一個(gè)帳戶體系，這個(gè)帳戶體系除了帳戶的設(shè)置上面會(huì)有一些要求以外，在整個(gè)帳戶保護(hù)上支付寶也提出了類(lèi)似于銀行密碼卡的物理措施，包括軟件上輸入的數(shù)字證書(shū)，也就是幾十秒會(huì)更換的口令卡。

第三方面是涉及到用戶的設(shè)施，金融類(lèi)的帳戶無(wú)論是對(duì)國(guó)家對(duì)用戶來(lái)說(shuō)私密性比較高，整個(gè)數(shù)據(jù)庫(kù)、信息安全的傳遞和用戶在哪些信息上允許做留存，包括留存的年限，包括哪些信息是由哪些人可以采集訪問(wèn)，是完全按照國(guó)家金融機(jī)構(gòu)的標(biāo)準(zhǔn)來(lái)做的。

第四，支付寶對(duì)用戶認(rèn)證方面有很多的認(rèn)證，除了實(shí)名制之外，還會(huì)獲取一些銀行的黑名單，禁止這樣的用戶使用支付寶，還有商戶的調(diào)查，商戶是否有這樣的資質(zhì)和準(zhǔn)入，包括藥品的管理，支付寶都會(huì)對(duì)用戶這樣身份和資質(zhì)的審核。

最后，一個(gè)是更大環(huán)境的，支付寶會(huì)和殺毒軟件的廠商做一些安全合作，以確保阿里的網(wǎng)站是真實(shí)可靠的網(wǎng)站，避免用戶在過(guò)程中被釣魚(yú)和欺詐。

用戶應(yīng)該有的安全觀

如果說(shuō)上述云長(zhǎng)的講解有些枯燥的話，那么數(shù)字可能會(huì)直觀一些。阿里小微有 10% 的員工從事風(fēng)險(xiǎn)管理，共計(jì) 400 人左右。而有 20 %的服務(wù)器專(zhuān)門(mén)用于安全風(fēng)控，共計(jì)約 1100 臺(tái)。

于我們用戶而言，該怎樣做才能保證安全，畢竟像支付寶這樣的風(fēng)控體系離用戶確實(shí)隔著一道門(mén)，用戶是看不見(jiàn)摸不著的。而會(huì)上云長(zhǎng)分享的關(guān)于安全觀的看法對(duì)于普通用戶來(lái)說(shuō)，會(huì)有一些啟發(fā)意義：

“我們希望每一個(gè)在線支付的參與者也要參與其中，就像剛才說(shuō)明顯知道駕車(chē)過(guò)程中不能闖紅燈就是要去做，明知道不能酒駕，你就是要去；明知道要系安全帶就是不系。所以，我們希望整個(gè)行業(yè)和業(yè)態(tài)、用戶，包括監(jiān)管機(jī)構(gòu)、立法機(jī)構(gòu)都能夠?qū)υ诰€支付傳遞一個(gè)安全觀，這是我們希望傳遞的。所以，我們希望安全不是支付寶一家來(lái)做，不是一些殺軟公司，不是一些安全廠商來(lái)做，我們希望和用戶和立法機(jī)構(gòu)一起來(lái)做?！?/p>

作為風(fēng)險(xiǎn)管理的專(zhuān)家，他對(duì)于用戶的建議是，妥善保管帳戶和密碼，不接受陌生文件，不訪問(wèn)非法網(wǎng)站。很多時(shí)候用戶是訪問(wèn)了非法的網(wǎng)站，不經(jīng)意間把密碼泄露出去了。

用戶需要把支付寶帳戶當(dāng)做金融卡，而不只是一個(gè)帳戶，很多時(shí)候就把支付寶的帳號(hào)當(dāng)做其他的網(wǎng)站登錄名就用掉了，而其他社交類(lèi)網(wǎng)站在信息管理和帳戶管理上面安全等級(jí)并不高。

另外，現(xiàn)在智能手機(jī)應(yīng)用越來(lái)越多，用戶不要隨意地泄露手機(jī)號(hào)碼，更不要泄露手機(jī)短信校檢碼。也要養(yǎng)成使用正版的軟件的習(xí)慣，目前很多時(shí)候盜用者會(huì)進(jìn)行包裝之后再給用戶，殺毒廠商也沒(méi)有一一的查殺。

最后，也要合理使用安全產(chǎn)品，要結(jié)合自己特點(diǎn)要選擇不同的可靠的安全產(chǎn)品。

回到開(kāi)始我支付寶賬號(hào)被盜時(shí)間點(diǎn)，那時(shí)候沒(méi)什么網(wǎng)絡(luò)安全意識(shí)，可樂(lè)和云長(zhǎng)說(shuō)到的問(wèn)題有意無(wú)意也犯過(guò)，我們一直在追求快和便捷，而快和便捷往往又和安全是一對(duì)矛盾體。推而廣之，這套安全觀在整個(gè)互聯(lián)網(wǎng)金融都適用。（作者：劉學(xué)文? ?來(lái)源：愛(ài)范兒）