V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
garlics
V2EX  ›  奇思妙想

由支付宝漏洞事件想到该不该让公司用安全换便利

  •  
  •   garlics · 2023-05-06 15:43:33 +08:00 · 4093 次点击
    这是一个创建于 597 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前的手机指纹不太好用的时候,我就开通了 miui 的人脸解锁和支付宝的人脸支付,miui 告诉反复我说我的手机没结构光系统分辨不出照片和真人有一定的风险问我要不要开这个功能,而支付宝直接开通,甚至在想关闭的时候还提示它有各种风控模型,安全的很,别怕。

    细心观察可以发现,生活中这种拿用户的安全换便利的行为还不少。快递现在都不用签收、甚至你在菜鸟随便拿走包裹都没人确认这包裹是不是你的;快捷支付这种只用短信验证码就能消费的功能也是默认开通的,而商家还不断诱导开通免密支付这种风险防范更少的支付方式;滴滴早期用手机号就能打车,到现在都有很多司机没收到用户的付款;据说国外的信用卡使用也不需要密码等等。

    上面这些例子,没出问题,使用的时候确实舒服,但是遇到问题了就很麻烦,等于让用户承担了本来不属于自己的那部分风险。而商家则节约了人力或者是提高了用户的付款意愿。那么问题来了,管理部门该不该对这种把风险转嫁到用户的行为进行相应的限制呢(只讨论该不该,不讨论会不会做)?

    目前汽车强制系安全带、电动车、电车、工地强制带安全帽的规定都限制了用安全换便利的行为。不过这些都是为了保护人身安全,而财产安全影响不算大?
    20 条回复    2023-05-11 08:46:52 +08:00
    garlics
        1
    garlics  
    OP
       2023-05-06 15:47:44 +08:00
    话说我在做支付系统的时候,对接的银行限制小额免密单笔交易最多 2000 ,这也算一种限制?
    lambdaq
        2
    lambdaq  
       2023-05-06 15:50:01 +08:00   ❤️ 13
    纯理论探讨,人脸应该是 username ,而不是 password 。人脸一旦泄漏就是终身泄漏。拒绝任何人脸拿来做「认证」的流程
    8355
        3
    8355  
       2023-05-06 15:56:17 +08:00
    你先开通下免费的防盗刷保险
    NoOneNoBody
        4
    NoOneNoBody  
       2023-05-06 16:17:11 +08:00
    目前现状只能自理,我就试过被别人取走快递的经历

    @8355 #3
    这些险我见过很多例子都是一次性的,理赔过一次就拒绝了,而且这一次的过程也是煎熬
    yulgang
        5
    yulgang  
       2023-05-06 16:20:01 +08:00
    小额支付的 app 开了,其他没开,我觉得没必要。
    pursuer
        6
    pursuer  
       2023-05-06 16:44:29 +08:00
    给选项开关是最好的,像 windows 的 UAC 。像微信,QQ 邮箱这种无论如何都必须扫码的我觉得就不好
    wjfz
        7
    wjfz  
       2023-05-06 16:47:18 +08:00
    信用卡不用据说,我的信用卡也没密码,没密码的情况下被盗刷银行会赔。

    取快递、信用卡的例子也算作整个社会信用体系的一部分。我还是比较乐观的相信社会发展,坏人是少数的,并且相关服务提供者也都会有类似的保险。如果为了百万分之一的风险,就舍去百万的便利,我觉得还是不划算的。(就像很多政府部门为什么效率低下,就是为了明确责任,添加很多手续。)当然自己也会控制风险,免密支付是限额的、信用卡境外无卡付款关闭、境内付款可以添加时段限制。

    而安全带安全帽的直接相关是生命安全,跟财产安全不一样。
    nothingistrue
        8
    nothingistrue  
       2023-05-06 16:47:57 +08:00   ❤️ 3
    国外信用卡这个,还是要先说一下,不然会有重大基础理解偏差。信用卡是「见卡如见账户」的完整物理认证令牌,不是仅仅是账户的用户名,所有它的密码是非必须的,而有密码的时候因为能甩锅给密码反而更不安全。信用卡的安全,主要需要两方面:一是不可伪造 /复制,即要保证「见卡即见账户」,这是磁条卡不如芯片卡安全的主要原因。二是不可冒领,即「用卡的人是账户所有人」,国内用密码保证,国外用签名、账单地址信息对照等手段保证。关于第二点,表面上看起来是密码更安全,不用密码更方便,实际上全部相反。密码不安全现在已经是共识了,而被盗刷的责任全部在持卡人泄漏密码这里(不过实际上银行为了避免麻烦还是会主动去吃苦头),容易出错,出错了还是自己的责任,所以密码认证既不安全,也更方便(银行甩锅)。而国外这种签名、账单地址信息对照的手段,验证的责任方是卖家和银行,被盗刷的责任相应的也又卖家和银行承担,卖家为了避免盗刷会认真去验证签名甚至不惜砍单,银行这边简单粗暴点直接买保险。所以,国外这种无密码方式,反而是相对安全并且用起来既不方便的。
    skull
        9
    skull  
       2023-05-06 16:50:31 +08:00 via iPhone
    安全和便利就是相悖的,只能在可接受的风险范围内做平衡
    docx
        10
    docx  
       2023-05-06 16:52:03 +08:00 via iPhone
    从不用人脸支付和免密,就是觉得安全性大于便利性
    ccc008
        11
    ccc008  
       2023-05-06 16:52:15 +08:00
    最离谱的是,这个闲鱼确认收货的漏洞,3 月份就有案例了。阿里系到现在还没修。
    lakehylia
        12
    lakehylia  
       2023-05-06 16:53:40 +08:00
    静态密码不安全,现在不都是用的 TOTP key 么?
    sammeishi
        13
    sammeishi  
       2023-05-06 17:10:57 +08:00
    你举出的这些所谓“漏洞“的例子才是发展方向。因为符合人类对效率的变态追求。
    你大可以对支付加 100 层验证,但这只是你的一厢情愿罢了,你觉得用户会同意么?我买个口香糖要我输密码还要指纹还要人脸??
    至于漏洞会导致损失,这就更是娇柔想法罢了。。 出门还被车撞呢,哥。。
    任何科技,任何产品,任何行为,甚至任何思想都会造成部分群体利益受损,但是这是发展必要的受损。
    eudemonwind
        14
    eudemonwind  
       2023-05-06 17:33:25 +08:00 via Android   ❤️ 1
    @nothingistrue 简单概括就是,国外以人为本,顾客就是上帝,麻烦责任都留给卖家。国内,充分发扬人矿精神,麻烦责任都甩给顾客。
    Ericality
        15
    Ericality  
       2023-05-08 15:30:11 +08:00
    私以为这本来就应该是这些支付公司应该做的事情
    你推这个免密支付 甚至刷 XX 支付 无感支付 我都不反对
    但是前提是如果出了问题 你全权负责所产生的一系列损失和追责
    用户只负责关心自己的损失有没有得到赔付
    而我说的上面的一系列 是(我认知中 国外信用卡的做法)
    去掉后面 2 句 是国内公司的做法 所以我拒绝这些无感支付
    iminto
        16
    iminto  
       2023-05-09 14:35:06 +08:00
    @docx
    @lambdaq

    然而大部分场景下支付宝人脸是必须的而且是强制的,比如各种政企小程序,只能人脸认证才能使用,也只有支付宝这一个途径。
    liuidetmks
        17
    liuidetmks  
       2023-05-09 20:08:31 +08:00
    应该推广 eID ,但是公安部自己内部都玩不明白,又弄出个 ctid
    docx
        18
    docx  
       2023-05-10 12:10:45 +08:00 via iPhone
    @iminto “人脸支付”
    icenine
        19
    icenine  
       2023-05-10 16:33:07 +08:00
    安全-方便-廉价,这是网络安全的不可能三角,
    用在日常个人资金人身安全上也基本合适
    普通人脸识别支付是廉价又方便,想要安全又方便,就上贵的结构光组件
    菜鸟廉价又方便,要想安全那就是多出钱请人分发监督,或者送上门
    这些你看起来损失安全的其实是代价太小,可以用付出成本低廉来弥补
    汽车强制系安全带、工地强制带安全帽,就是安全的代价太大,才牺牲了方便
    所以,不用矫情,都是取舍而已
    iminto
        20
    iminto  
       2023-05-11 08:46:52 +08:00
    @docx 在支付宝里,人脸认证和人脸支付的前提是开通人脸登录,两者其实也是一回事。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2755 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:05 · PVG 23:05 · LAX 07:05 · JFK 10:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.