V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
a379395979
V2EX  ›  问与答

银行卡快捷支付的原理是什么?

  •  
  •   a379395979 · 2017-03-17 11:27:30 +08:00 · 5068 次点击
    这是一个创建于 2816 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天银行卡转了几千到支付宝,不需要手机短信验证,直接支付宝的指纹验证就通过了。之前别的 app 开通了快捷支付也有这样的情况,无需手机短信验证,只需验证支付密码就直接把银行卡钱转到平台。 而支付宝和其他 app 是知道用户的支付密码的,可能有些平台还明文保存。 是不是可以这么说:假设支付宝或 xx 理财 心怀恶意的话,能直接不通过用户短信验证,直接转走用户银行卡的钱。

    22 条回复    2017-03-17 15:45:31 +08:00
    honeycomb
        1
    honeycomb  
       2017-03-17 12:48:39 +08:00   ❤️ 1
    类似的,亚马逊等特定平台可以在仅知道卡号但不知道 CVC 的情况下扣钱。

    需要的话可以联系银行禁用卡的快捷支付能力。
    这个特性最早只有招商银行提供,现在有更多的银行(建设银行,工商银行等)也支持禁用快捷支付了
    mozutaba
        2
    mozutaba  
       2017-03-17 12:48:43 +08:00 via Android
    所以你知道监管有多重要了么。所以你知道支付宝搞定了多少压力么。
    kaneg
        3
    kaneg  
       2017-03-17 12:59:22 +08:00 via iPhone
    楼主的推理在理论上可能是成立的,但这些支付企业理论上都是处于国家的严格审查,不敢这么搞。在 IT 界类似的是提供 ssl 签名的公司可以私下里伪造合法证书,但是我们还是选择信任它们。
    a379395979
        4
    a379395979  
    OP
       2017-03-17 13:21:17 +08:00
    这也太不安全了吧。 @kaneg 支付宝我当然信任, 主要是目前有些 P2P 理财 app 也是这么搞 ,那些感觉太不安全了。
    crab
        5
    crab  
       2017-03-17 13:23:15 +08:00
    @a379395979 理财这种担心的话,只能充值完后解绑。
    Midnight
        6
    Midnight  
       2017-03-17 13:32:10 +08:00
    我觉得其实相当于你是授权给支付宝 可以任支出限额内的交易,然后再由第三方来验证交易(指纹支付)
    121121121
        7
    121121121  
       2017-03-17 13:43:38 +08:00
    第三方支付需要牌照
    gamexg
        8
    gamexg  
       2017-03-17 13:55:40 +08:00 via Android
    说个更扯的,前年询问工商银行,银行告知无法查询哪些公司能够通过快捷支付扣我银行卡的资金,更别说关闭了。银行声称快捷支付的安全责任归第三方快捷支付公司,不归属银行。

    不过现在好像能够从网银查询了。

    看情况,快捷支付只需要银行卡卡号、身份证号外加电话号码,第三方就能够完成快捷支付,虽然有个短信验证,但是这个是第三方自己做的,理论可以不做。
    popok
        9
    popok  
       2017-03-17 14:06:09 +08:00
    这个不是技术原理的问题,支付宝这种三方支付公司,直接和银行签约的,有接口,不需要密码,直接可以从卡里扣钱,当然前提是验证这个账户是银行卡本人,这个可能需要短信验证码,但是有时候支付宝之类的已经确定你是银行卡的主人,就不需要验证码。
    具体的都是看支付宝的安全审核策略
    popok
        10
    popok  
       2017-03-17 14:10:34 +08:00
    支付宝快捷支付刚出的那个时候,简直是谢天谢地啊,你知道原来付个东西都需要用 IE 这种垃圾去那些垃圾网银里操作,(还要装各种安全控件),那个 u 盘一样的数字证书,还需要安装驱动,反正是各种麻烦。

    偶尔去网吧,需要付个钱,反正是各种折腾,弄 30 分钟都可能不一定搞的定。后来工行出了个密保卡,就是一个卡背面各种数字,稍微比 U 盾这种方便一些。再后来就是快捷支付了。彻底解放了。
    ivanchou
        11
    ivanchou  
       2017-03-17 14:25:50 +08:00
    @popok 题主的意思是假如支付宝作了恶
    kaneg
        12
    kaneg  
       2017-03-17 14:27:55 +08:00 via iPhone
    @a379395979
    这些只能自己甄别了,说实话我们普通人要么远离这类第三方支付,要么只能信任,除此之外只能寄希望于国家监管了。否则还有其他更好的办法吗?
    salary123
        13
    salary123  
       2017-03-17 14:50:04 +08:00
    网络绑定的银行卡不要放太多钱就是了。用的时候存点。安全与快捷不可兼得。
    AstroProfundis
        14
    AstroProfundis  
       2017-03-17 14:58:34 +08:00
    快捷支付绑定就是你签署了一个协议,同意银行在一定额度内允许某个第三方直接从你的账户扣款,效果上和一些在线使用信用卡的方式类似

    所以不要给不信任的第三方授权快捷支付...
    honeycomb
        15
    honeycomb  
       2017-03-17 15:08:03 +08:00
    @popok 然而快捷支付没有强制性的两步验证,是不可靠的
    skylancer
        16
    skylancer  
       2017-03-17 15:10:16 +08:00 via Android
    @gamexg 前年?很早就能网银查询签约的公司了啊,之前还有应对柜台预留手机号的手工签约流程... 3 年前就这么搞了,估计是你没找到入口
    gamexg
        17
    gamexg  
       2017-03-17 15:15:28 +08:00
    @skylancer #16 可能更早,当时在网银没找到,电话联系工行客服,告知无法查询,被通过快捷支付盗刷的责任在第三方公司,和工行没关系...
    BOYPT
        18
    BOYPT  
       2017-03-17 15:27:37 +08:00
    "快捷支付"这个概念是支付宝发明出来的,其实银行系统里面并没有这个业务;

    银行里面对应的是“协议扣款”,早在支付宝之前早就存在的,当年的电话费水电费通过银行代扣都是这个原理;

    根据已有法例,“协议扣款”的责任方是扣款方而不是银行,因此也不存在可靠不可靠了,只要有牌照、账户信息,即可任意扣款。

    因此去年年底实行的虚拟账户制度, II / III 类虚拟账户用来绑定一些信任度较低的平台,算是一个保护措施;
    另外银行现在也开放接口查询已有协议扣款,可以自助解除用不上的协议方;
    akira
        19
    akira  
       2017-03-17 15:33:33 +08:00
    你吧银行 和 支付宝 视为 同样的 东西就好了呗
    googlebot
        20
    googlebot  
       2017-03-17 15:33:40 +08:00 via Android
    在建行网银里是可以删除授权商户,其他银行应该有类似功能
    BOYPT
        21
    BOYPT  
       2017-03-17 15:34:41 +08:00
    工商银行的对应业务叫:委托代扣
    http://www.icbc.com.cn/ICBC/%E4%B8%AA%E4%BA%BA%E9%87%91%E8%9E%8D/%E4%B8%AA%E4%BA%BA%E6%9C%8D%E5%8A%A1/%E4%BE%BF%E5%88%A9%E9%87%91%E8%9E%8D/%E5%A7%94%E6%89%98%E4%BB%A3%E6%89%A3/


    另外校验手机、支付密码这些其实全都是支付平台自己在校验,你账户银行不做校验,只要扣款指令确认就完成了(有些渠道甚至不会触发你的银行账户的余额变动!)。

    所以近年推动的金融监管都在规范化这一块,现在要求 p2p 这些通过银行托管资金,扣款指令由平台的合作银行发给账户的银行,信息校验由合作银行完成;减少“监守自盗”的可能性;
    RqPS6rhmP3Nyn3Tm
        22
    RqPS6rhmP3Nyn3Tm  
       2017-03-17 15:45:31 +08:00
    @akira #19 不可以视为同一种东西,银监会多次强调第三方支付禁止经营的业务。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:33 · PVG 19:33 · LAX 03:33 · JFK 06:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.