不用输银行卡密码就能花卡里的钱 这样的第三方支付安全吗？(图)_西安新闻_华商报
国内统一刊号
CN61---0053
社长：周怀忠
| 新闻热线：029-
您的位置：
不用输银行卡密码就能花卡里的钱 这样的第三方支付安全吗？(图)
华商报好奇心告诉你，怎样使用第三方平台支付更安全
日 02:21:37　
华商彩信手机报，精彩资讯早知道！移动用户发‘HSB’到 7000 定制，3元/月!
　　1月27日，
华商报A12版《好奇心》栏目刊发了《手机装有支付宝如果丢了很可怕？》的实验新闻，文中根据网帖介绍的内容，模拟装有支付宝的手机、装有银行卡和身份证的钱包一起丢失这一特殊情境，结果发现只要手机在手，凭借短信校验码和身份证号就可重置支付宝登录密码，而凭借校验码、身份证号和关联银行卡卡号就可重置支付宝支付密码。
　　这一报道引起不少人对支付宝等第三方支付平台的关注。近日，华商报记者再次通过实验发现，支付宝、微信支付、QQ财付通等第三方支付平台，和美团、滴滴打车等生活应用APP，在捆绑银行卡和消费支付时，均不需要输入银行卡支付密码，只要输入各平台支付密码就可以花银行卡里的钱了。这样的支付模式虽然便捷，但安全性究竟如何？怎样使用才能最大程度保护自己的安全？本期《好奇心》继续来研究这一问题。
　　实验时间：日、9日
　　实验地点：华商报社 实验人员：华商报记者
　　实验顾问：西安电子科技大学计算机学院博士、副教授、国家公派美国密歇根州立大学博士后、教育部信息安全团队骨干成员杨超
　　新闻事件
　　郑州男子手机换号 未解绑银行卡被转近7万
　　据中国之声《央广新闻》2月7日报道，郑州市民许杰银行卡在身上，卡上近7万元存款却“神秘消失”。他以银行未尽到保障存款安全的义务为由索赔，结果被郑州市中原区法院一审判决败诉。
　　2012年12月底，许杰在郑州一家银行办了一张借记卡，并与自己手机号码绑定。日，他取钱时发现卡里7万元存款少了69000多元。报案后警方查明，钱是在同年1月12日被人通过支付宝分两次扣付的。
　　许杰说，银行卡一直就在他身上，密码也只有他知道，但钱却没了。日他状告银行，要求赔偿自己69800元。法庭上，许杰称银行没有经过自己同意，让第三人通过支付宝快捷支付方式将存款取走，应该承担赔偿责任。
　　而银行方面称，支付宝的支付并不需要银行密码，只需要支付宝密码和手机验证码，钱就可以划拨走。根据许杰在公安机关的笔录，事发前7天，许杰因轻信朋友张某，使用电脑自助服务终端将开卡时绑定的手机号码变更为了朋友张某提供的手机号，并将相关信息透露给了对方，银行认为不应承担责任。法院审理后认为，许杰本人存在重大过错，由此产生的损失应当由许杰自行负担。据此，法院一审驳回了许杰的诉讼请求。
　　主审法官提醒，手机号码更换后应及时与银行联系，用新号码绑定银行卡。否则手机验证码仍会发到原号码上，这会对账户安全及使用造成影响。更不能把自己的银行卡和别人的手机号码绑定。最简单有效的方法就是去银行营业厅柜台进行办理，或借助网上银行来修改手机号码。
　　专家解释
　　1.第三方平台为何可绕过银行卡支付密码？
　　据银行业一位业内人士介绍，银行、第三方支付平台、客户，三者的关系相当于一种两两签约的三方协议关系。即银行和支付宝等第三方平台之间有合同关系，客户在安装使用第三方支付平台时即表示同意与其之间的相关条款约定，而客户和银行又是一种储蓄合同关系。银行和第三方支付平台之间根据约定进行有限的信息共享，这些信息主要是与客户有关的信用信息，借此可以提供关键信息核对。所以当客户发起请求，第三方支付平台要求从银行划拨客户的资金时，银行即视为客户已经同意了这笔支出，或同意办理相关业务。
　　2.绕过银行卡支付密码合适吗？
　　银行和第三方支付平台建立合作关系，在支付时不再需要用户输入银行卡支付密码，便捷是便捷了，但设置安全吗？
　　支付宝一位公关人员介绍，安全和便捷其实是一对深刻的矛盾。如果过于追求安全，便捷性就一定打折扣，用户的体验并不见得好；但便捷性好了，在安全性上可能又不足了。对于用户来说，就要看到底看中什么了；对于企业而言，还要兼顾效益和安全的平衡。
　　西安电子科技大学计算机学院副教授、教育部信息安全团队骨干成员杨超认为，第三方支付平台绕过银行卡支付密码进行交易并不是太合适。这样做把用户对自己账户的安全设置权利绕开了，而这一权利关系到用户自己账户的核心安全。
　　3.密码更复杂就一定更安全吗？
　　一家第三方支付平台公关人员介绍，他们的客户端支持平台支付密码设置为20位数字、字母和符号的组合，相对于银行卡支付密码应更安全。
　　但杨超认为，并不是这样。尽管银行卡支付密码只是几个数字的组合，但银行在办理涉及账户安全的业务时需要进行当面识别、人证比对，此外还有摄像头监控，这些都不是第三方支付平台能做到的。并不是支付密码复杂了，就意味着安全级别更高了。所有的第三方支付平台，几乎都把短信校验码赋予了最高权限，而谁能知道操作手机的一定就是本人？也许随着未来的技术发展，类似苹果设备的指纹识别技术逐渐普及，可以解决第三方支付平台没有门店、不能直接对用户进行当面人证比对的缺憾。就目前而言，应用虽然做得好，但安全是第三方支付平台的软肋。第三方支付平台要进一步发展，就一定要在安全方面做得更好。
　　马上实验
　　捆绑银行卡不需要填银行卡支付密码
　　支付宝：绑定本人一张新的银行卡，姓名是默认的，只需填写银行卡号，点击下一步填写在银行预留的手机号，再点击下一步填写手机收到的短信校验码，之后再点下一步就会弹出“快捷支付开通成功”的弹窗提醒。不需要输入银行卡支付密码。
　　微信支付：添加一张银行卡，姓名是默认的，只需按照步骤填写银行卡号、银行预留手机号、短信验证码，即可绑定。
　　QQ财付通：点击手机端头像，选择QQ钱包，点击“钱包账户”，再点击添加银行卡，按照步骤输入银行卡号、银行预留手机号码、短信验证码，银行卡即可添加成功，整个过程不需要填写银行卡支付密码。
　　常用的生活购物APP也是如此。
　　淘宝：直接绑定支付宝，点击即可绑定；绑定网银或信用卡手机，要联系相关银行。
　　美团：有银行卡、支付宝、微信支付等多种支付方式，绑定银行卡需要在支付中绑定，选购物品后支付时选择银行卡支付，会要求填写银行卡号、姓名、身份证号、银行预留手机号以及短信验证码，在绑定的同时完成支付，不需要填写银行卡支付密码。
　　滴滴打车：使用微信支付，也可选择现金支付，不存在捆绑问题。
　　消费支付时也不需要填银行卡支付密码
　　支付宝：进入支付宝后点击“转账”，有“转给我的朋友”、“转账到支付宝”、“转到银行卡”三个选项。点击“转给我的朋友”，给朋友转账15元，捎句话一栏填写“实验”，点击“确认转账”后直接显示“转账成功”，并不需要输入银行卡支付密码。
　　微信支付：点开微信“钱包”，会看到手机话费充值、理财通、彩票、滴滴打车、京东精选、Q币充值、电影票、信用卡还款等功能，点击右上方的“钱包”，再点击“零钱”，然后点“充值”后输入金额。再点击下一步，在“选择充值方式”中选择绑定的银行卡充值。点过之后，输入微信支付密码，即显示充值成功，“零钱”中就会增加相应的数字显示。整个过程中不需要输入绑定的银行卡支付密码。
　　财付通：进入QQ钱包后，点击“转账”，点击选择收款人后，输入金额10元，转账留言仍然为“实验”，之后点击“确定转账”，要求输入财付通六位数支付密码。输入密码后，即刻进入对话页面，显示金额数并提醒已转入好友的余额。整个过程不需要输入捆绑的银行卡支付密码。
　　淘宝：第一次消费，进入淘宝后点击“充值”，给一个手机号码充值20元，点击“立即充值”后要求设置支付密码。设置完成后，要求添加银行卡，输入银行卡号，系统自动辨认出银行卡所属银行及银行卡种类，要求填写姓名、证件号，手机号是默认的。点击下一步，要求填写短信校验码，点击下一步即显示支付成功。整个过程，不需要输入所用的银行卡支付密码。
　　美团：在账户余额为0元的情况下，点击团购，选定要买的东西后，点击“立即抢购”，弹出“提交订单”页面。点击后是“确认订单”，在页面中选择银行卡支付，弹出验证支付密码窗口，不过这是美团的支付密码，并非银行卡支付密码，之后便显示交易成功，并不需要再输入银行卡支付密码。
　　滴滴打车：使用微信支付，也可选择现金支付，消费过程中也不需要输入所用的银行卡支付密码。
　　实验总结
　　第三方支付颠覆了银行卡支付密码地位
　　支付宝、微信支付、财付通等第三方支付平台，和淘宝、美团、滴滴打车生活购物APP，在绑定银行卡时只需要输入证件号、银行卡号、在银行所留的手机号以及短信校验码等信息，即可完成绑定；在消费支付时，如果各平台设置了支付密码，输入各自平台的支付密码即可，也无需输入银行卡支付密码。
　　对于不少习惯于将银行卡支付密码视为最高级别机密信息的用户来说，这种认识已经被颠覆。也就是说，只要掌握关键信息并拥有本人手机，即便不是本人在操作手机，也可能被第三方支付平台视为是本人在支付的情况，是完全可能存在的。
　　据一些用户在网上反映的情况，只要绑定了第三方支付平台，即便随后将相关银行卡的支付密码进行修改，也并不影响第三方支付的进行，让人不免担心。华商报记者注意到，为防止潜在风险，支付宝、微信支付、财付通等第三方支付平台专门和保险公司进行了合作，为支付安全保驾护航。有些平台还承诺，一旦发生资金被盗，保险公司会全额支付，上不封顶。这从某种程度上来说，也算是一种弥补。
　　生活提醒
　　第三方支付平台咋用更安全？
　　省内一家银行电子银行部的负责人和杨超老师都提醒市民，主要银行账户尽量不要开通网银以及第三方支付平台；开通第三方支付平台的账户，则不要储存过多现金；如果实在担心安全问题，平时可以把需要用的钱转入第三方平台，而不要捆绑银行卡。另外，还要防止上钓鱼网站，钓鱼网站一般都是用假支付页面打掩护，同时用木马配合骗用户输入账户和密码。其次，还要防止高息利诱惑而上当受骗。
　　杨超老师还提醒说，对于经常用手机购物的用户来说，还可以养成设置开机密码的习惯。因为要破解密码需要时间，可以为一旦发生手机丢失等情况办理挂失减少风险发生的时间。对于苹果手机来说，一旦发生手机丢失的情况可以将数据直接抹掉，而最新的IOS系统如果开通远程认证的话，还可以让对方根本就无法使用手机，因为要使用必须换主板。
　　华商报记者 马虎振
　　（特别说明：由于条件限制，未进行大额支付实验。据一家第三方支付平台公关人员介绍，超过一定额度会要求输入银行卡支付密码。）
（本文来源：华商报&更多精彩内容，请登录华商网&）
华商网版权与免责声明：
① 华商报、华商晨报、新文化报、重庆时报、大众生活报所有自采新闻（含图片）独家授权华商网发布，未经允许不得转载或镜像；授权转载应在授权范围内使用，并注明来源，例：“华商网-华商报”。
② 部分内容转载自其他媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。
③ 如因作品内容、版权和其他问题需要同本网联系的，请在30日内进行。
联系方式 新闻热线：029- 版权及其他：029-
-------------
华商图片网
-------------
广播电视大全
各地报纸大全
记者站：宝鸡　咸阳 029-　渭南 　汉中
热线新闻部029- 传真热线 029- 总编办 029- 广告部 029- 发行投递、投诉 029-96128
华商网络传媒有限公司 All Rights Reserved
增值电信业务经营许可证B2- 陕ICP备号 SP服务代码 陕新出发证字(社会)第111号 陕新网审字[号 广告经营许可证7号【转载】银行提供给第三方的快捷支付（无卡支付）与三方自己包装的（银行卡鉴权+代收）快捷支付有什... - 简书
【转载】银行提供给第三方的快捷支付（无卡支付）与三方自己包装的（银行卡鉴权+代收）快捷支付有什么区别？
现在市面上，有许多三方，利用鉴权+代收进行接口封装，之后提供给商户，或者自己用（对外提供资金存管等产品），称之为无卡支付（快捷支付）这种模式和三方和银行直连模式，银行直接提供的无卡支付接口。有啥不一样呢。
我大概知道的是，从业务上说，代收加鉴权这种模式是需要代付进行退款的，而银行提供的接口内，有退款功能。代付退款和接口退款，从风险上，是否不同呢？
从管理办法上看，代收不许使用消费类业务，这样是不是会引发拒付风险？如果有的话，支付公司这样包装如何避免。
题主提的问题本质上是对代付业务的划分标准及产品包装策略问题。目前市面上所说的“快捷”的实现方式有多种1、采用银行代扣（代收）接口+鉴权接口包装2、采用信用卡采用无磁无密接口+鉴权接口包装信用卡无磁无密接口也叫ePOS/MOTOPay。3、采用银行/银联快捷支付接口较早时候，银行并无快捷支付接口，支付宝快捷起来后，银联及各家银行基本上都包装了快捷支付接口，供第三方直接调用。银行代扣/代收业务是银行基础性业务，是大部分快捷类产品最底层实现。因此梳理清楚代收业务，基本上就能搞明白了基于代收封装的各类“快捷产品”的大致差异。下面以银联代付产品的划分标准，说明一下代收业务的产品模式及差异。1、根据代付产品签约及认证方式的不同，代付分为绑定模式、实名扣款模式两大类（银联全渠道代付产品划分方式）：a、认证（绑定）/扣款模式：分为实名认证（绑定）和扣款两个业务阶段，先完成实名认证（绑定），再发起扣款。b、实名扣款模式：商户只向银行、银联或第三方支付发起一次交易请求，银行或第三方支付完成实名认证和扣款。2、按照对持卡人身份识别主体的不同，代付分为自主识别模式和辅助识别模式两类：自主识别模式：发卡机构负责验证持卡人身份真实性，并保证交易发起者是账户信息合法拥有者的交易处理模式。辅助识别模式：发卡机构帮助收单机构对其上送的辅助认证信息进行匹配性检查的交易模式。两种识别模式的验证信息、风险责任差异可以参考如下图（来自银联资料）：
3、按照代收产品的时效性分为实时代收（单笔）、批量代收两种模式由于所谓的快捷支付实现方式各家千差万别，不能一概而论，列举一些维度供比较参考。1、有无单独的签约过程例如实名认证扣款模式中，没有单独的签约过程，在代收交易中一并上送辅助认证信息。2、业务签约/取消签约是直接与银行签约还是与第三方支付签约/取消，衍生出取消签约关系找谁。业务签约一般可以分为：商户侧签约、支付平台侧签约、银行侧签约。例如信用卡无磁无密接口包装的快捷可能是与第三方支付签约的。2、识别模式是自主识别模式还是辅助识别模式3、风控及偿付由银行还是第三方支付承担4、支付短信下发是由银行或第三方支付下发5、代收时效性：实时、批量作者：梁川链接：/question//answer/来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
支付产品经理，POS技术总监，简约主义者男子银行卡余额莫名被扣 资金流向第三方支付平台-金投银行频道-金投网
网友评论：
来源：杭州网
编辑：qiuliangying
摘要：昨天，一位微友向“律师来了”反映：我手上有一张银行储蓄卡，9月8日晚被莫名其妙地代扣了9600元，资金去向是一个第三方支付平台。
（gold.org/）9月15日讯，昨天，一位微友向&律师来了&反映：我手上有一张卡，9月8日晚被莫名其妙地代扣了9600元，资金去向是一个。
在我没有授权、没有输入验证码、没有输入密码，也没有签署任何代扣协议的情况下，我的钱被莫名其妙地代扣，且银行也没有提前告知，我是否可以起诉银行，追回我的损失？
刚好，昨天一则帖子在微信朋友圈疯转，标题是《什么都没做，十分钟被盗扣8万！原来是因为开通了这个功能！》。这条消息，说的是最近，各地出现多起银行存款莫名消失的情况，目前已经引起监管层的关注。
其中，就在几天前，湖北罗先生的银行储蓄卡先被存入1.61元，紧接着手机收到的短信提示显示卡里剩余的近8万元被人十分钟全部转完。
罗先生随后报警。目前此事仍在调查当中，初步调查结果是，发现是有机构滥用跨行代扣接口导致。代扣接口一般用于水电煤、保费等小额定期支出，不能用于投资之类的大额划账。但是，这几年一些机构擅自把银行代扣接口开放给外部平台，扣款用途也超出限制。
遇到这种情况，我们该怎么做？银行是否要承担责任？我们是否可以起诉银行？
为什么钱会被莫名其妙代扣？
周蓉蓉：南方中辰律师事务所合伙人，法学副教授
答：与之前出现的各种被盗刷不同，近期出现了多起客户投诉，称在没经本人同意和操作的情况下，被以代扣形式扣划银行账户资金的情况，而这些扣划大部分来自于第三方平台。
    
【免责声明】金投网发布此信息目的在于传播更多信息，与本网站立场无关。金投网不保证该信息（包括但不限于文字、数据及图表）全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实，不对您构成任何投资建议，据此操作，风险自担。
☆新开卡赠5000集分宝☆刷卡?5元=1个集分宝☆周五遇八有礼☆每月8日开抢红包
☆ 全币种消费人民币还款☆ 有效期内无附加条件免年费☆ 全球用卡服务及商户礼遇☆ 高额旅行保险赠送
☆超市、加油全年返5% ☆享受优惠最全的交行卡之一 ☆最快当天领卡 ☆签账消费，免息尽享
☆取现额度100%☆专属梦想金☆特定日消费2倍积分☆账单分期利率9折
☆ “首刷悦看”送6个月会员☆ “月刷悦好看”再送6个月会员☆ 独家VIP会员8折无限享
☆新户达标送780元新秀丽双肩背包
☆游戏玩家每月最多可赚500招行积分
☆新户达标月月领星巴克等好礼
    
额度：0-5万
额度：0-5万
额度：0-5万
额度：0-5万
额度：5-10万
额度：0-5万
额度：0-5万
额度：10-50万
额度：10-50万
☆新开卡赠5000集分宝☆刷卡?5元=1个集分宝☆周五遇八有礼☆每月8日开抢红包
☆ 全币种消费人民币还款☆ 有效期内无附加条件免年费☆ 全球用卡服务及商户礼遇☆ 高
☆超市、加油全年返5% ☆享受优惠最全的交行卡之一 ☆最快当天领卡 ☆签账消费，免息
☆取现额度100%☆专属梦想金☆特定日消费2倍积分☆账单分期利率9折
利率：0.9%-1.8%
利率：1.3%-1.3%
利率：0.03%-0.06%
利率：0.48%-0.92%
存款计算器◆
信用卡计算器◆
贷款计算器◆
取个钱怎么这么难，其实不难，只要把这个异地取款手续费取消了，傻根...
朋友们，你们的银行卡开通了短信提醒吗？说真的，这个提醒还是挺方便...
据我所知，银行已经通过多种途径花式揽存了，部分银行针对存款金额较...
话题概览|余额宝持有额度上限大幅下调至25万2余额宝为国家打...
版权所有 (C) 金投网 gold.org 浙ICP备号 经营许可证编号：浙B2-
为方便用户快速收藏本站，请牢记本站易记网址：<
本站信息仅供投资者参考，不作为投资建议！本站所有广告均由第三方提供！联系管理员：webmaster@cngold.org　欢迎投稿：tougao@cngold.org
我的意见：