互联网金融平台常见绑卡鉴权方式分析对比
1.背景
互聯網金融平臺賬戶進行開戶或者支付業務時,綁卡鑒權環節是必經之路。
那么什么是綁卡鑒權?綁卡是將用戶銀行卡信息提供給金融平臺,以后金融平臺就用這個信息去銀行完成支付。綁卡實際上是一個授權,讓用戶允許商家自動從他的賬戶上扣除資金,所以綁卡也叫簽約,用戶和銀行,商家的三方簽訂的支付合約。 但我們知道,綁卡對用戶和商戶來說都存在巨大風險:一方面需要向電商暴露個人信息,一旦被竊取,資金就容易被盜走。還有在手機上執行支付,一旦手機丟失,竊取者就可以輕而易舉的使用或者轉移資金。
2.綁卡場景
怎么綁卡?我們知道對接銀行有兩種途徑,直接對接銀行接口和通過銀聯來間接對接。這兩種情況下綁卡處理也不同。
綁卡場景
以支付寶、招行網銀、直銷app綁卡流程為例,我們可以體驗下:
這里有如下要點:
(1)只能綁自己的卡,這主要從安全角度考慮。
(2)需要用戶在銀行側預留的手機號進行短信驗證。但不是所有銀行都需要。這個時候,為了統一處理,可以考慮自己發驗證短信。
綁卡流程
這里面涉及兩種類型的綁卡流程:首次綁卡和非首次綁卡
“首次綁卡”
承擔著驗證用戶身份的功能,填寫敏感信息的步驟一般需要后置,雖然有用戶填錯信息需要重新輸入的情況,但為保證信息安全,犧牲部分體驗是必要的。
“再次綁卡”
針對的用戶主要是高級用戶,并且這一操作不再承擔驗證身份的目的, 如果用戶已經登錄,密碼輸入這一步可直接過掉。
先介紹比較簡單的銀聯直聯綁卡。為了保證卡的安全,綁卡有這些前置需求:
1.用戶必須已經綁定了手機號。該手機號用于修改支付密碼。
2.用戶需設置了支付密碼。支付密碼不同于登錄密碼。
針對用戶不同狀態,綁卡流程上有區別。當然,綁卡是安全操作,要求用戶必須登錄到系統中。為了避免和服務器端的交互被劫持,所有操作必須在安全鏈接中進行,即使用https。當用戶開始綁卡時,執行如下流程:
1.手機號
檢查用戶是否有手機號。沒有則進入設置手機號流程。
2.支付密碼
檢查用戶是否設置支付密碼。如果已經設置,則需要用戶輸入密碼。確認后開始綁卡。否則,也是先進去綁卡后設置密碼。
3.銀行卡號信息
用戶輸入卡號,系統根據卡號判斷卡的發卡行,并顯示給用戶。
4.銀行預留手機號
用戶輸入銀行預留手機。對于沒有綁過卡的用戶,需要用戶提供真實姓名和身份證號(即首次綁卡)。對于信用卡,還需要輸入cv碼和有效期。這一步,卡的信息都收集全了。
5.調用銀行綁卡驗證接口進行綁卡。
這里有一個四要素驗證的概念。由于國內要求實名制,所有銀行卡都是實名辦理的,所以銀行可以驗證姓名,身份證號,銀行卡號和手機號是不是一致的,如果沒問題,則會發短信到手機上。
實名認證
綁卡操作有個不錯的副產品,就是實名認證。常說的二要素,三要素,四要素認證,可以通過這個操作完成。 二要素指姓名和身份證號,三要素加上銀行卡號,四要素則加上手機號。看起來,似乎銀行都應該支持四要素驗證,但大部分銀行接口僅支持三要素,畢竟手機號還是非常容易變。 當然,實名認證,也就是二要素認證,是應用最多的認證了。國內唯一的庫是在公安部這,由NCIIC負責對外提供接口。可以提供如下功能:
簡項核查:返回“一致”“不一致”“庫中無此號”
返照核查:返回“一致+網紋照片”“不一致”“庫中無此號”
人像核查:返回“同一人”“不同人”“庫中無此號”
短信和身份驗證
一般綁卡操作第五步需要銀行下發短信驗證碼。 短信驗證的接口,不同銀行還不一樣。有些銀行是短信和身份驗證一起做了;有些銀行是可以配置身份驗證是否同時發短信。還有些比較奇葩的機構,比如某聯,接口中讓你傳身份信息,但實際上沒傳也是可以的,也不驗證身份信息到底對不對。
此類接口一般包含如下內容: 版本號:當前接口的版本號; 編碼方式: 默認都是UTF-8,指傳輸的內容的編碼方式; 簽名和簽名方法: 生成報文的簽名。 不是所有的字段都需要放到簽名中,文檔中會說明哪些字段需要簽名; 簽名算法:生成簽名的算法,RSA, RSA128, MD5等。 商戶代碼:在渠道側注冊的商戶號。 商戶訂單號:即發送給渠道的訂單號; 發送時間:該請求送出的時間。 賬號和賬號類型: 銀行卡、存折、IC卡等支持的賬號類型以及對應的賬號; 卡的加密信息:如信用卡的CVN2,有效期等。 開戶行信息:開戶行所在地以及名稱;大部分是不需要的。 身份證件類型和身份證號: 可以用于實名驗證的證件,指 身份證、軍官證、護照、回鄉證、臺胞證、警官證、士兵證等。不同銀行可以支持的證件類型不一樣,這也不是問題。大部分就是身份證了。 姓名:真實姓名,必須和身份證一致; 手機號:在所在銀行注冊的手機號。系統會返回上述數據的驗證結果。如果驗證通過,則會發短信。但這不是所有的渠道都是這樣。哪些字段會參與驗證、需不需要發短信,需要注意看接口文檔。
6.綁卡簽約流程
用戶輸入短信驗證碼并確認綁卡,服務器端將用戶實名信息以及短信驗證碼組合形成報文,發送給銀行,執行簽約操作。銀行側簽約成功后,返回簽約號給商戶。
綁卡接口
綁卡接口和發短信接口類似,還需要將用戶的卡號,身份證等信息傳遞過去。在綁卡成功后,會返回一個簽約號。這個簽約號是后續調用支付,解約等接口所必須的。 這里有個問題,已經綁卡的用戶,再綁一次,會出現什么情況?目前銀行都會返回已綁卡的信息,也就是不支持重復綁卡。
3.互聯網金融平臺常見綁卡鑒權方式
好了,科普到此結束,回歸我們今天的重點,目前從市場上來看,不同的平臺封裝出了不同的快捷支付鑒權方式,這些鑒權方式各有優劣,我們收集了部分常見的鑒權方式,一起來看看各自有什么特點,下面將從綁卡鑒權方式,鑒權要素,安全系數三個維度進行分析常見的綁卡鑒權對比
3.1全渠道鑒權
-
特點:
我們較常見且較方便的鑒權方式為全渠道鑒權,即銀行卡四要素鑒權,提供姓名、身份證號、銀行卡號、手機號四要素綁卡成功之后,后續只需要在商戶輸入交易密碼(短信驗證碼)即可進行支付。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號
-
安全性:1
目前最快捷的綁卡方式,最早應用于支付寶等第三方支付平臺的銀行卡鑒權,經多年驗證,安全級別較高。但這種綁卡方式依賴于用戶的銀行預留手機號的短信驗證碼,因此對短信運營商的安全措施和用戶的手機信息安全要求都很高。
但是事實證明,短信驗證碼很容易泄露。此前有過騙子通過移動運營商的“短信保管箱”業務盜取用戶驗證碼進行盜刷的情況;同時騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機木馬攔截短信,以及通過社交工具偽裝熟人騙取短信驗證碼。
3.2第三方支付平臺鑒權
-
特點:
第三方支付平臺鑒權,即開戶時需要對接第三方支付進行鑒權,例如易寶支付、快錢等,有些對用戶無感知的,有些是用戶可感知的,無感知的即不會跳轉到第三方支付平臺,后臺幫用戶隱形開戶,有感知的是跳轉到第三方平臺頁面,讓用戶自己提供信息進行開戶,鑒權綁卡成功之后同樣是只需要輸入交易密碼(短信驗證碼)即可進行支付。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號
-
安全性:1
3.3人行小額鑒權
-
特點:
人行小額鑒權和全渠道鑒權相比多了一個銀行卡類型的判斷(注:銀行賬戶分為Ⅰ類戶、Ⅱ類戶、Ⅲ類戶),這個參數在一些場景還是比較有用的,例如綁卡的時候用來識別卡為一類戶還是二類戶,對防范薅羊毛等相關行為有一定作用,其他的和全渠道沒什么區別。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號、卡類型
-
安全性:2
3.4銀聯消費鑒權
-
特點:
銀聯是個比較特殊的第三方支付平臺,可進行類似全渠道銀行卡四要素鑒權,也可進行四要素+取款密碼的方式,這由發卡行決定。與全渠道鑒權和第三方支付平臺鑒權相比,不同的點在于銀聯鑒權允許用戶在其網關頁面輸入銀行卡的交易密碼進行驗證,如下兩圖所示,兩個不同的發卡行需要的鑒權要素不一致,這由發行卡決定。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號、密碼(可選)
-
安全性:3
3.5銀聯網關鑒權
-
特點:
銀聯網關鑒權,在提供了綁卡四要素以外還需要跳轉到發卡行(或者銀聯)的網關頁面輸入銀行卡的取款密碼進行校驗,校驗通過后才能綁卡成功。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號、密碼
-
安全性:3
在驗證了四要素信息及銀行預留手機號驗證碼后,附加銀行卡取款密碼。這也是目前銀聯等推行的更安全的驗證方式。但是讓用戶在互聯網平臺上輸入銀行卡取款密碼需要很強的信任感,同時取款密碼的輸入也依賴各類插件或者SDK等,對平臺的集成難度加大,也影響平臺體驗的統一,因此目前使用此類方式綁卡的平臺不多。同時這種綁卡方式也不是無限可擊,雖然多了一層密碼保護,增加了騙子盜取的難度,但是目前密碼泄露非常嚴重,更何況很多人的密碼其實和他們的個人信息相關。因此這種綁卡方式雖然安全性有所提高,但是使用率也不高。
3.6小額打款驗證鑒權
-
特點:
一種相對簡陋的綁卡方式,平臺通過用戶帳戶、姓名給用戶打入一筆小金額,用戶正確提交入賬金額給平臺,由此確定用戶對卡的所有權,完成綁卡。但是由于在銀行的安全體系里,賬戶的查詢權限比支付權限要低很多,渠道相對便捷,詐騙團伙通過簡化版網銀或通過銀行客服電話等查詢余額,完成銀行卡所有權的認證之后,就可以將卡的查詢權限提升為支付權限,隱患很大。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號
-
安全性:2
3.7小額轉賬驗證鑒權
-
特點:
商戶會進行姓名、身份證號、銀行卡號三要素鑒權,三要素通過之后商戶還會要求用戶使用將要綁定的銀行卡向商戶的對公戶轉入指定金額,用戶需要登錄網銀向商戶的對公賬號轉入對應金額,商戶會校驗金額是否正確,核對賬戶名稱、銀行賬號是否一致,驗證成功后綁定銀行卡。
-
鑒權要素:姓名、身份證號、銀行卡號、手機號、密碼
-
安全性:3
與小額打款綁卡類似,把平臺轉賬給用戶變成了用戶轉賬給平臺,因此需要用戶擁有銀行卡的轉賬權限。由于能夠最大限度保證持卡人的賬戶安全,因此,雖然操作轉賬相對麻煩導致用戶體驗上會打折扣,這種方式在互聯網金融平臺中接受度較高。但是,由于目前銀行在做各種體驗升級,每個銀行的安全級別不盡相同,有些銀行做創新業務嘗試,很可能小金額的轉賬需要的授權級別比較低,如果被騙子突破用于綁卡,即可在平臺實現大金額的投資交易。
以上為比較常見的鑒權方式,當然還存在其他的封裝模式,不一一列舉,那么上面的幾種方式安全性以及用戶體驗孰優孰劣相信大家已經有個大概了。
4.互聯網金融平臺綁卡潛在漏洞及應對措施
短信驗證碼容易泄漏
雖然說這些鑒權方式都是比較安全的,但是盜開、盜刷、薅羊毛等因為鑒權導致的安全事件還是頻繁出現,說明鑒權的風險還是存在的,主要因為上述中前幾類鑒權都是提供銀行卡四要素,這對于現在大數據時代(或者說黑灰產)來說,唯一相對保密的就是手機動態驗證碼,然而這并不能難倒黑灰產人員,黑灰產人員可以對普通用戶發送釣魚短信,短信中包含惡意鏈接,點擊則會安裝惡意APP,從而導致手機短信驗證碼被盜取,造成盜開盜刷等安全事件。我們對曾經捕獲的惡意APP樣本進行分析,進入木馬收件箱可看見大量被盜取的手機驗證碼。
互聯網金融平臺該如何應對
1.同卡進出
即資金與銀行卡完全綁定,確保從哪里投資回哪里去,實現資金的閉環,典型的案例如券商的銀證賬戶。
同卡進出可以最大限度保障資金安全,即使發生盜刷,資金最終還是只能在同一張銀行卡內流轉,騙子無法取走。因此,當前券商、基金、保險的用戶資金幾乎都是同卡進出,互聯網金融平臺也越來越多的采用同卡進出的方案,這是平臺確保客戶資金安全的一把金鎖。
2.提醒和教育用戶
雖然平臺可以通過“同卡進出”掐斷提現,但是騙子的騙術層出不窮,總能找到突破口。平臺還是有提醒和教育用戶的責任和義務。比如可以提醒用戶注意防范騙子偽裝成熟人、警察,不要相信所謂“安全賬戶”、不要泄露短信驗證碼、不要點擊陌生鏈接、不要隨意輸入銀行卡密碼等個人信息等。
3.遠期風控措施
遠期來看,互聯網金融平臺還可以嘗試一些更有效更有力的風控措施,增加驗證手段,提高信息盜取的難度,例如將四要素認證升級為卡密認證,以及增加視頻認證等,大大增加詐騙行為的實施難度。
與此同時,互聯網金融平臺可以利用行業內的風險數據的黑名單庫,通過接入一些第三方平臺可以進行匹配查詢,進而識別風險用戶。
此外,還可以加強行為分析風控。通過行為分析、關系網分析等對風險行為進行識別,進而及時制止。還可以通過機器學習逐步建立和完善風險識別模型。
參考資料:http://blog.lixf.cn/essay/2016/10/12/account-3-bank/
總結
以上是生活随笔為你收集整理的互联网金融平台常见绑卡鉴权方式分析对比的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 图像饱和度处理
- 下一篇: python库的下载安装_Python库