1.背景

互聯網金融平臺賬戶進行開戶或者支付業務時，綁卡鑒權環節是必經之路。
那么什么是綁卡鑒權？綁卡是將用戶銀行卡信息提供給金融平臺，以后金融平臺就用這個信息去銀行完成支付。綁卡實際上是一個授權，讓用戶允許商家自動從他的賬戶上扣除資金，所以綁卡也叫簽約，用戶和銀行，商家的三方簽訂的支付合約。 但我們知道，綁卡對用戶和商戶來說都存在巨大風險：一方面需要向電商暴露個人信息，一旦被竊取，資金就容易被盜走。還有在手機上執行支付，一旦手機丟失，竊取者就可以輕而易舉的使用或者轉移資金。

2.綁卡場景

怎么綁卡？我們知道對接銀行有兩種途徑，直接對接銀行接口和通過銀聯來間接對接。這兩種情況下綁卡處理也不同。
綁卡場景
以支付寶、招行網銀、直銷app綁卡流程為例，我們可以體驗下:

支付寶綁卡


招行一網通




招行掌上生活

?

這里有如下要點：

（1）只能綁自己的卡，這主要從安全角度考慮。

（2）需要用戶在銀行側預留的手機號進行短信驗證。但不是所有銀行都需要。這個時候，為了統一處理，可以考慮自己發驗證短信。

綁卡流程

這里面涉及兩種類型的綁卡流程：首次綁卡和非首次綁卡

“首次綁卡”

承擔著驗證用戶身份的功能，填寫敏感信息的步驟一般需要后置，雖然有用戶填錯信息需要重新輸入的情況，但為保證信息安全，犧牲部分體驗是必要的。

“再次綁卡”

針對的用戶主要是高級用戶，并且這一操作不再承擔驗證身份的目的， 如果用戶已經登錄，密碼輸入這一步可直接過掉。

先介紹比較簡單的銀聯直聯綁卡。為了保證卡的安全，綁卡有這些前置需求:

1.用戶必須已經綁定了手機號。該手機號用于修改支付密碼。
2.用戶需設置了支付密碼。支付密碼不同于登錄密碼。

針對用戶不同狀態，綁卡流程上有區別。當然，綁卡是安全操作，要求用戶必須登錄到系統中。為了避免和服務器端的交互被劫持，所有操作必須在安全鏈接中進行，即使用https。當用戶開始綁卡時，執行如下流程：

1.手機號

檢查用戶是否有手機號。沒有則進入設置手機號流程。

2.支付密碼

檢查用戶是否設置支付密碼。如果已經設置，則需要用戶輸入密碼。確認后開始綁卡。否則，也是先進去綁卡后設置密碼。

3.銀行卡號信息

用戶輸入卡號，系統根據卡號判斷卡的發卡行，并顯示給用戶。

4.銀行預留手機號

用戶輸入銀行預留手機。對于沒有綁過卡的用戶，需要用戶提供真實姓名和身份證號(即首次綁卡）。對于信用卡，還需要輸入cv碼和有效期。這一步，卡的信息都收集全了。

5.調用銀行綁卡驗證接口進行綁卡。

這里有一個四要素驗證的概念。由于國內要求實名制，所有銀行卡都是實名辦理的，所以銀行可以驗證姓名，身份證號，銀行卡號和手機號是不是一致的，如果沒問題，則會發短信到手機上。

實名認證

綁卡操作有個不錯的副產品，就是實名認證。常說的二要素，三要素，四要素認證，可以通過這個操作完成。 二要素指姓名和身份證號，三要素加上銀行卡號，四要素則加上手機號?？雌饋?#xff0c;似乎銀行都應該支持四要素驗證，但大部分銀行接口僅支持三要素，畢竟手機號還是非常容易變。 當然，實名認證，也就是二要素認證，是應用最多的認證了。國內唯一的庫是在公安部這，由NCIIC負責對外提供接口?？梢蕴峁┤缦鹿δ?#xff1a;

簡項核查：返回“一致”“不一致”“庫中無此號”
返照核查：返回“一致+網紋照片”“不一致”“庫中無此號”
人像核查：返回“同一人”“不同人”“庫中無此號”

短信和身份驗證

一般綁卡操作第五步需要銀行下發短信驗證碼。 短信驗證的接口，不同銀行還不一樣。有些銀行是短信和身份驗證一起做了；有些銀行是可以配置身份驗證是否同時發短信。還有些比較奇葩的機構，比如某聯，接口中讓你傳身份信息，但實際上沒傳也是可以的，也不驗證身份信息到底對不對。

此類接口一般包含如下內容：

版本號：當前接口的版本號；

編碼方式： 默認都是UTF-8，指傳輸的內容的編碼方式；

簽名和簽名方法： 生成報文的簽名。 不是所有的字段都需要放到簽名中，文檔中會說明哪些字段需要簽名；

簽名算法：生成簽名的算法，RSA, RSA128， MD5等。

商戶代碼：在渠道側注冊的商戶號。

商戶訂單號：即發送給渠道的訂單號；

發送時間：該請求送出的時間。

賬號和賬號類型： 銀行卡、存折、IC卡等支持的賬號類型以及對應的賬號；

卡的加密信息：如信用卡的CVN2，有效期等。

開戶行信息：開戶行所在地以及名稱；大部分是不需要的。

身份證件類型和身份證號： 可以用于實名驗證的證件，指 身份證、軍官證、護照、回鄉證、臺胞證、警官證、士兵證等。不同銀行可以支持的證件類型不一樣，這也不是問題。大部分就是身份證了。

姓名：真實姓名，必須和身份證一致；

手機號：在所在銀行注冊的手機號。

系統會返回上述數據的驗證結果。如果驗證通過，則會發短信。但這不是所有的渠道都是這樣。哪些字段會參與驗證、需不需要發短信，需要注意看接口文檔。

6.綁卡簽約流程

用戶輸入短信驗證碼并確認綁卡，服務器端將用戶實名信息以及短信驗證碼組合形成報文，發送給銀行，執行簽約操作。銀行側簽約成功后，返回簽約號給商戶。

綁卡接口

綁卡接口和發短信接口類似，還需要將用戶的卡號，身份證等信息傳遞過去。在綁卡成功后，會返回一個簽約號。這個簽約號是后續調用支付，解約等接口所必須的。 這里有個問題，已經綁卡的用戶，再綁一次，會出現什么情況？目前銀行都會返回已綁卡的信息，也就是不支持重復綁卡。

3.互聯網金融平臺常見綁卡鑒權方式

好了，科普到此結束，回歸我們今天的重點，目前從市場上來看，不同的平臺封裝出了不同的快捷支付鑒權方式，這些鑒權方式各有優劣，我們收集了部分常見的鑒權方式，一起來看看各自有什么特點，下面將從綁卡鑒權方式，鑒權要素，安全系數三個維度進行分析常見的綁卡鑒權對比

3.1全渠道鑒權

• 特點：

我們較常見且較方便的鑒權方式為全渠道鑒權，即銀行卡四要素鑒權，提供姓名、身份證號、銀行卡號、手機號四要素綁卡成功之后，后續只需要在商戶輸入交易密碼（短信驗證碼）即可進行支付。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號

• 安全性：1

目前最快捷的綁卡方式，最早應用于支付寶等第三方支付平臺的銀行卡鑒權，經多年驗證，安全級別較高。但這種綁卡方式依賴于用戶的銀行預留手機號的短信驗證碼，因此對短信運營商的安全措施和用戶的手機信息安全要求都很高。
但是事實證明，短信驗證碼很容易泄露。此前有過騙子通過移動運營商的“短信保管箱”業務盜取用戶驗證碼進行盜刷的情況;同時騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機木馬攔截短信，以及通過社交工具偽裝熟人騙取短信驗證碼。

3.2第三方支付平臺鑒權

• 特點：

第三方支付平臺鑒權，即開戶時需要對接第三方支付進行鑒權，例如易寶支付、快錢等，有些對用戶無感知的，有些是用戶可感知的，無感知的即不會跳轉到第三方支付平臺，后臺幫用戶隱形開戶，有感知的是跳轉到第三方平臺頁面，讓用戶自己提供信息進行開戶，鑒權綁卡成功之后同樣是只需要輸入交易密碼（短信驗證碼）即可進行支付。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號

• 安全性：1

3.3人行小額鑒權

• 特點：

人行小額鑒權和全渠道鑒權相比多了一個銀行卡類型的判斷（注：銀行賬戶分為Ⅰ類戶、Ⅱ類戶、Ⅲ類戶），這個參數在一些場景還是比較有用的，例如綁卡的時候用來識別卡為一類戶還是二類戶，對防范薅羊毛等相關行為有一定作用，其他的和全渠道沒什么區別。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號、卡類型

• 安全性：2

3.4銀聯消費鑒權

• 特點：

銀聯是個比較特殊的第三方支付平臺，可進行類似全渠道銀行卡四要素鑒權，也可進行四要素+取款密碼的方式，這由發卡行決定。與全渠道鑒權和第三方支付平臺鑒權相比，不同的點在于銀聯鑒權允許用戶在其網關頁面輸入銀行卡的交易密碼進行驗證，如下兩圖所示，兩個不同的發卡行需要的鑒權要素不一致，這由發行卡決定。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號、密碼（可選）

• 安全性：3

3.5銀聯網關鑒權

• 特點：

銀聯網關鑒權，在提供了綁卡四要素以外還需要跳轉到發卡行（或者銀聯）的網關頁面輸入銀行卡的取款密碼進行校驗，校驗通過后才能綁卡成功。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號、密碼

• 安全性：3

在驗證了四要素信息及銀行預留手機號驗證碼后，附加銀行卡取款密碼。這也是目前銀聯等推行的更安全的驗證方式。但是讓用戶在互聯網平臺上輸入銀行卡取款密碼需要很強的信任感，同時取款密碼的輸入也依賴各類插件或者SDK等，對平臺的集成難度加大，也影響平臺體驗的統一，因此目前使用此類方式綁卡的平臺不多。同時這種綁卡方式也不是無限可擊，雖然多了一層密碼保護，增加了騙子盜取的難度，但是目前密碼泄露非常嚴重，更何況很多人的密碼其實和他們的個人信息相關。因此這種綁卡方式雖然安全性有所提高，但是使用率也不高。

3.6小額打款驗證鑒權

• 特點：

一種相對簡陋的綁卡方式，平臺通過用戶帳戶、姓名給用戶打入一筆小金額，用戶正確提交入賬金額給平臺，由此確定用戶對卡的所有權，完成綁卡。但是由于在銀行的安全體系里，賬戶的查詢權限比支付權限要低很多，渠道相對便捷，詐騙團伙通過簡化版網銀或通過銀行客服電話等查詢余額，完成銀行卡所有權的認證之后，就可以將卡的查詢權限提升為支付權限，隱患很大。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號

• 安全性：2

3.7小額轉賬驗證鑒權

• 特點：

商戶會進行姓名、身份證號、銀行卡號三要素鑒權，三要素通過之后商戶還會要求用戶使用將要綁定的銀行卡向商戶的對公戶轉入指定金額，用戶需要登錄網銀向商戶的對公賬號轉入對應金額，商戶會校驗金額是否正確，核對賬戶名稱、銀行賬號是否一致，驗證成功后綁定銀行卡。

• 鑒權要素：姓名、身份證號、銀行卡號、手機號、密碼

• 安全性：3

與小額打款綁卡類似，把平臺轉賬給用戶變成了用戶轉賬給平臺，因此需要用戶擁有銀行卡的轉賬權限。由于能夠最大限度保證持卡人的賬戶安全，因此，雖然操作轉賬相對麻煩導致用戶體驗上會打折扣，這種方式在互聯網金融平臺中接受度較高。但是，由于目前銀行在做各種體驗升級，每個銀行的安全級別不盡相同，有些銀行做創新業務嘗試，很可能小金額的轉賬需要的授權級別比較低，如果被騙子突破用于綁卡，即可在平臺實現大金額的投資交易。

以上為比較常見的鑒權方式，當然還存在其他的封裝模式，不一一列舉，那么上面的幾種方式安全性以及用戶體驗孰優孰劣相信大家已經有個大概了。

4.互聯網金融平臺綁卡潛在漏洞及應對措施

短信驗證碼容易泄漏

雖然說這些鑒權方式都是比較安全的，但是盜開、盜刷、薅羊毛等因為鑒權導致的安全事件還是頻繁出現，說明鑒權的風險還是存在的，主要因為上述中前幾類鑒權都是提供銀行卡四要素，這對于現在大數據時代（或者說黑灰產）來說，唯一相對保密的就是手機動態驗證碼，然而這并不能難倒黑灰產人員，黑灰產人員可以對普通用戶發送釣魚短信，短信中包含惡意鏈接，點擊則會安裝惡意APP，從而導致手機短信驗證碼被盜取，造成盜開盜刷等安全事件。我們對曾經捕獲的惡意APP樣本進行分析，進入木馬收件箱可看見大量被盜取的手機驗證碼。

互聯網金融平臺該如何應對

1.同卡進出

即資金與銀行卡完全綁定，確保從哪里投資回哪里去，實現資金的閉環，典型的案例如券商的銀證賬戶。

同卡進出可以最大限度保障資金安全，即使發生盜刷，資金最終還是只能在同一張銀行卡內流轉，騙子無法取走。因此，當前券商、基金、保險的用戶資金幾乎都是同卡進出，互聯網金融平臺也越來越多的采用同卡進出的方案，這是平臺確?？蛻糍Y金安全的一把金鎖。

2.提醒和教育用戶

雖然平臺可以通過“同卡進出”掐斷提現，但是騙子的騙術層出不窮，總能找到突破口。平臺還是有提醒和教育用戶的責任和義務。比如可以提醒用戶注意防范騙子偽裝成熟人、警察，不要相信所謂“安全賬戶”、不要泄露短信驗證碼、不要點擊陌生鏈接、不要隨意輸入銀行卡密碼等個人信息等。

3.遠期風控措施

遠期來看，互聯網金融平臺還可以嘗試一些更有效更有力的風控措施，增加驗證手段，提高信息盜取的難度，例如將四要素認證升級為卡密認證，以及增加視頻認證等，大大增加詐騙行為的實施難度。
　　與此同時，互聯網金融平臺可以利用行業內的風險數據的黑名單庫，通過接入一些第三方平臺可以進行匹配查詢，進而識別風險用戶。
　　此外，還可以加強行為分析風控。通過行為分析、關系網分析等對風險行為進行識別，進而及時制止。還可以通過機器學習逐步建立和完善風險識別模型。

?

?

?

?

引言

快捷支付從出現到如今和日常息息相關，無論線下線上都已深深的融入我們的生活，小到零食飲料，大到理財都可以使用快捷支付完成，快捷支付方便快捷的特點讓其應用越來越廣泛。但是，站在一個互聯網金融安全工作者的角度來看，快捷支付已經成為盜刷、薅羊毛等惡意攻擊的重要手段之一，那么今天我們用3000多字一起來簡單討論下快捷支付的鑒權及其潛在的風險。

快捷支付

首先我們來看下快捷支付是什么，百度百科上的定義為：

“快捷支付指用戶購買商品時，不需開通網銀，只需提供銀行卡卡號、戶名、手機號碼等信息，銀行驗證手機號碼正確性后，第三方支付發送手機動態口令到用戶手機號上，用戶輸入正確的手機動態口令，即可完成支付?！?/p>

提到快捷支付我們再看看和它很相似的另一種支付方式，那就是代扣，銀行代扣接口是銀行開放給第三方機構的接口，用戶只要一次性簽約，第三方機構就可以將資金從用戶的簽約銀行賬戶里劃走，對于接銀行代扣接口的第三方機構的資質要求是非常高的，必須具備非常高的信用。一般這種接口會開放給水電公司，用于用戶繳納每個月的水費，電費，家庭網費等。

快捷支付和代扣實際上并不存在特別大的差異，要說差異就是對接的商戶類型有差異，實際上都是客戶、商戶、銀行三方的簽約，簽約成功之后商戶可以從客戶簽約的銀行中將錢劃走。代扣是一次授權+免授權支付，快捷支付是一次授權+次次授權，這里的次次授權怎么理解呢？舉個例子，用戶在第三方支付平臺綁定了某張銀行卡，這是一次鑒權。進行支付時用戶還是需要輸入銀行預留手機號（注意這里的手機號并非在第三方支付平臺的注冊手機號）收到的短信驗證碼，但是不需要輸入個人以及銀行卡信息，因為第三方支付平臺后臺已有用戶相關信息，待第三方支付平臺短信驗證碼驗證通過之后，會將四要素上送到發卡行進行鑒權，鑒權通過之后進行支付，這是次次鑒權，用戶無感知。

綁卡鑒權

好了，科普到此結束，回歸我們今天的重點，至于上述科普是否正確，我們不要在意這些細節，我們只需要關注怎樣才能發起快捷支付，完成快捷支付的鑒權方式具體風險有哪些就OK，從上述一段文字我們可以發現發起快捷支付只需提供銀行卡卡號、姓名、身份證號、手機號、手機短信驗證碼即可。那么站在用戶側，我們用戶體驗的快捷支付是怎樣的呢，我們拿一個常用的第三方支付產品來體驗，看下發起快捷支付對于用戶來說需要做什么。

如下圖：

圖解：

1）在商戶平臺注冊成為會員；?
2）提供個人和銀行卡信息進行綁卡（姓名、身份證號、銀行卡卡號、銀行預留手機號）；?
3）輸入手機號收到的動態碼然后綁卡成功；?
4）設置交易密碼；?
5）付款頁面輸入交易密碼進行支付。

通過上述5步之后即可在第三方支付平臺進行快捷支付，整個流程中最重要的是第二步即綁定銀行卡，需要提供的信息為常說的鑒權四要素，提供了四要素即可進行綁卡，然后完成支付，站在用戶的角度看確實方便快捷。

我們先不討論銀行卡四要素鑒權的風險如何，畢竟被應用這么廣泛，說明其在用戶體驗與安全性之間已經做到了一個較好的平衡，我們這里只討論是否還有其他可行并且更安全的鑒權方式。目前從市場上來看，不同的平臺封裝出了不同的快捷支付鑒權方式，這些鑒權方式各有優劣，我們收集了部分常見的鑒權方式，一起來看看各自有什么特點，并且大膽的對這些鑒權方式的相對安全性做了個排名，數字越大安全性越高。

排名如下圖：

我們依次來大致了解下各種鑒權方式的驗證要素，共六種。

第一種是我們較常見且較方便的鑒權方式為全渠道鑒權，即銀行卡四要素鑒權，提供姓名、身份證號、銀行卡號、手機號四要素綁卡成功之后，后續只需要在商戶輸入交易密碼（短信驗證碼）即可進行支付。

如下圖：

第二種是人行小額鑒權和全渠道鑒權相比多了一個銀行卡類型的判斷（注：銀行賬戶分為Ⅰ類戶、Ⅱ類戶、Ⅲ類戶），這個參數在一些場景還是比較有用的，例如綁卡的時候用來識別卡為一類戶還是二類戶，對防范薅羊毛等相關行為有一定作用，其他的和全渠道沒什么區別。

第三種為第三方支付平臺鑒權，即開戶時需要對接第三方支付進行鑒權，例如易寶支付、快錢等，有些對用戶無感知的，有些是用戶可感知的，無感知的即不會跳轉到第三方支付平臺，后臺幫用戶隱形開戶，有感知的是跳轉到第三方平臺頁面，讓用戶自己提供信息進行開戶，鑒權綁卡成功之后同樣是只需要輸入交易密碼（短信驗證碼）即可進行支付。

第四種為銀聯消費鑒權，銀聯是個比較特殊的第三方支付平臺，可進行類似全渠道銀行卡四要素鑒權，也可進行四要素+取款密碼的方式，這由發卡行決定。與全渠道鑒權和第三方支付平臺鑒權相比，不同的點在于銀聯鑒權允許用戶在其網關頁面輸入銀行卡的交易密碼進行驗證，如下兩圖所示，兩個不同的發卡行需要的鑒權要素不一致，這由發行卡決定。

如下圖：

第五種為銀聯網關鑒權，在提供了綁卡四要素以外還需要跳轉到發卡行（或者銀聯）的網關頁面輸入銀行卡的取款密碼進行校驗，校驗通過后才能綁卡成功。

如下圖：

第六種為來賬驗證鑒權，商戶會進行姓名、身份證號、銀行卡號三要素鑒權，三要素通過之后商戶還會要求用戶使用將要綁定的銀行卡向商戶的對公戶轉入指定金額，用戶需要登錄網銀向商戶的對公賬號轉入對應金額，商戶會校驗金額是否正確，核對賬戶名稱、銀行賬號是否一致，驗證成功后綁定銀行卡。

如下圖：

以上為比較常見的幾種快捷支付封裝之后的鑒權方式，當然還存在其他的封裝模式，由于篇幅有限我們不一一列舉，那么上面的幾種方式安全性以及用戶體驗孰優孰劣相信大家已經有個大概了。

雖然說這些鑒權方式都是比較安全的，但是盜開、盜刷、薅羊毛等因為鑒權導致的安全事件還是頻繁出現，說明鑒權的風險還是存在的，主要因為上述中前幾類鑒權都是提供銀行卡四要素，這對于現在“大數據”時代（或者說黑灰產）來說，唯一相對保密的就是手機動態驗證碼，然而這并不能難倒黑灰產人員，黑灰產人員可以對普通用戶發送釣魚短信，短信中包含惡意鏈接，點擊則會安裝惡意APP，從而導致手機短信驗證碼被盜取，造成盜開盜刷等安全事件。我們對曾經捕獲的惡意APP樣本進行分析，進入木馬收件箱可看見大量被盜取的手機驗證碼。

如下圖所示：

具體的流程我列了兩種方式，分別如下：

方式一：

方式二：

除了針對個人用戶的攻擊，還有針對企業的攻擊，例如羊毛黨的行為已屢見不鮮，我們這里看一個由于鑒權不當導致的薅羊毛流程。

流程圖如下：

現在很多銀行都開通了直銷銀行，一些直銷銀行為了獲客會降低開戶門檻，例如只驗證手機號和身份證號即可開戶成功，但是身份證數據市場上早已售賣泛濫，另外加上一些手機驗證碼平臺即可進行全自動注冊。有了這些低門檻銀行Ⅱ類戶，可以做的事情很多，例如可以到一些互聯網平臺注冊賬戶綁定該Ⅱ類戶賺取新手福利，到網貸平臺綁定該Ⅱ類戶提高信用額度等。通過此方法能薅羊毛是因為這些互聯網平臺的鑒權方式無法鑒別綁定的銀行卡是Ⅱ類戶還是Ⅰ類戶，如果能鑒別銀行賬戶類型并且限制只能綁Ⅰ類戶可大大減小相關的風險，如使用人行小額鑒權可識別卡類型，或者自己收集卡bin進行校驗。

小建議

快捷支付的鑒權方式風險還是存在的，但是其在兼顧用戶體驗的情況下已經相當不錯，不過我們這里還是給些小建議。

1）針對普通用戶，如果擔心自己的快捷支付出問題，那么可以到網銀、手機銀行中關閉快捷支付，一般在支付管理或者安全中心里有相關開關，并且可以在里面查看自己銀行卡已經簽約過的商戶有哪些，如不想繼續使用可進行針對性的關閉。

2）另外不要隨意點擊陌生連接，特別是點擊連接之后立馬提示某app需要更新進行安裝的，千萬不能點擊確定，如需安裝app，請到正規的應用商店下載安裝。

3）針對企業，這需要根據企業實際情況來考慮，對于企業來說安全性肯定不會僅僅只有銀行卡鑒權，還會有風控等一系列安全體系，但是并不是每一家企業的安全體系都做得那么優秀，并且由于獲客等等因素，從而不得不降低安全措施用來提高用戶體驗，那么對于安全體系沒有達到一定高度的企業建議可以考慮選擇安全性相對較好的鑒權方式，等到安全體系建設達到足夠高度時再換為更方便快捷的方式。?

?

本文轉自：

http://blog.csdn.net/baize_security/article/details/60762670

https://www.jianshu.com/p/4e725f982b34

總結

以上是生活随笔為你收集整理的快捷支付各种绑卡鉴权方式的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。