专家:警惕短信支付密码被破译
支付服务被第三方企业替代以及客户群的流失已使银行倍感焦虑。未来,在以“80后”、“90后”为主体的年轻一代消费方式的变革下,移动支付产业会出现一个爆炸式的增长。手机用户突破11亿和超7123亿元的移动支付市场前景,让其成为银行的“必争之地”。
移动支付出现爆炸式增长
2012年以来,招行、浦发、农行、建行已率先行动,陆续公布了各自在移动支付领域的战略规划和最新产品。继2012年9月,招商银行(600036,股吧)与HTC联合发布中国移动支付标准确立后的首个移动支付产品——招商银行手机钱包后,民生、广发、中信等银行近期频频发力移动支付业务领域。2012年12月,中信银行(601998,股吧)与中国银联合作开发“空中发卡”项目,开卡成功并圈存/转账资金后,在银联“闪付”终端上刷手机消费。近日,民生银行(600016,股吧)则推出了手机银行二维码收付款服务。
银联信分析师朱青松说,各大商业银行纷纷加大移动支付市场布局力度,一方面是由于看到了移动支付市场未来广阔的市场空间,更主要的原因在于传统金融服务的互联网化与增值化使得银行零售业务市场,包括信用卡业务、个人信贷业务、支付结算业务与财资管理有关的现金管理、投资理财等等,受到互联网企业的不断侵蚀,商业银行正面临被边缘化的风险。与支付企业新奇的支付体验相比,商业银行无疑在资金账户介质、金融风险控制方面具有先天优势。移动支付撬动银行卡、支付结算等业务的再次增长是商业银行更为看重的。2013年必将掀起移动支付热潮。
大多数商业银行采用“过渡方案”
2012年9月,招商银行与HTC联合推出一款名为招行“手机钱包”的移动支付产品,即将银行卡加载在内置了安全芯片的3G手机上的产品,所谓手机与银行卡“合二为一”。
招商银行“手机钱包”,可以在全国范围内任何一家带有银联“闪付QuickPass”标识的POS机上进行快速支付,消费范围将覆盖超市、快餐店、药店、便利店、面包房、咖啡店等。客户还可以方便地在“手机钱包”客户端程序中查询本地可受理“手机钱包”的商户信息。
对于仍处起步阶段的移动支付市场,大多数商业银行都采用了一定的“过渡方案”。例如,去年浦发与中国移动推出的联名卡,在NFC手机还未普及之前,用挂坠卡与贴片卡作为过渡产品。这样一来,客户可以在不更换原有手机的情况下,添加一个小挂坠或小贴片便可以在具有银联“QuickPass闪付”标示的POS设备上使用,实现支付功能。由于NFC手机还没有普及,大量的苹果手机用户不能使用NFC功能,为了获得这部分客户,同时也考虑到降低初期较高的成本,浦发采取过渡策略来扩大普及面。据了解,目前浦发的过渡方案收效甚佳,近场支付使用客户已近20万。截至2012年6月末,联名卡的贷记账户累计消费3.58亿元,其中6月份卡均交易918元,平均单笔消费金额约为34元。
敏感地带面临法律风险
银联信分析师庄泽宇认为,目前我国的移动支付业务发展尚处于起步阶段,主要以采用短信接入方式、安全级别要求相对较低的小额支付为主;业务的推出地区差异较大,且规模很小,处于初期试点状态;所购商品大多为电子形式的商品而无需与商户终端交互,系统建设成本较低;产业链发展尚不成熟。因此,商业银行在开展移动支付业务方面面临着法律、技术和信誉等多方面的风险。
目前,我国已经出台的《电子签名法》和《电子支付指引》虽然已经为电子化支付在政策和法律地位方面奠定了基础,但是,移动支付与第三方支付、小额支付等问题往往相互交错,一直被视为敏感地带或灰色领域,发展比较缓慢。
庄泽宇说,例如《消费者保护法》对手机银行运作的适用性还不明确,因此,客户通过电子媒介所达成协议的有效性也就具有不确定性。再如,在客户信息披露和隐私权保护方面,如果商业银行未完全告知客户的权利和义务,当客户与银行间发生纠纷时,客户可能就会对银行直接提起法律诉讼。还如,现行手机支付的政策还很不完善,手机消费类增值服务费的征收缺乏法律保障,而且市场管理混乱,使得消费者难以对手机短信消费维护应有的权利,这也严重影响了手机支付产业的今后进一步发展。
支付风险:短信支付密码被破译
“相对于有线网络的连接方式,无线网络没有特定的界限,窃听者无需进行搭线就可以轻易获得无线网络信号。”朱青松说,如果手机仅仅作为通话工具,密码保护问题显得并不是特别重要。但如果手机作为支付工具,那么,设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。因此,如何保护用户的合法信息(账户、密码等)不受侵犯,是移动支付迫切需要解决的问题。
目前我国移动支付面临的主要技术难题包括短信支付密码被破译、实时短信无法保证、身份识别缺乏和信用体系缺失等。我国现有的移动支付方式中,主要采用银行卡与手机号绑定的模式进行手机支付,由于受手机卡技术的限制,所发送的信息全为明码,短信信息通过公网传输,没有加密功能,因此,手机号码、密码等重要信息很容易被破译和截取。此外,通过短信方式的支付信息是非互交式的,无法保证实时性和数据的完整性,这也给商业银行带来了很大的技术风险。
“商业银行应采取积极的风险防范对策,”朱青松说,银行、电信运营商和第三方支付平台应加强各自系统的安全建设,保证整个支付过程的安全。例如,数据传输应采用端对端的应用层安全机制,利用专用设备和程序对敏感信息进行加密、解密和相关的鉴定处理,确保数据的保密性。移动通讯系统应当配备适当的安全措施,例如,防火墙、侵人窃密检测系统、监视控制系统和快速恢复制保证数据安全;对访问系统的用户应进行身份鉴别,客户每次业务操作的信息均由用户的私人密钥进行数字签名,作为用户操作的证据并辅助确认客户身份。此外,还应装备必要的恢复和后备系统,保证系统的可恢复性和系统的可靠性,从而将系统故障所造成的服务中断风险降低到最小值。