网上支付安全性一直是备受人们关注的问题,前段时间“网银大盗”、“冒牌网上银行”等网络诈骗行为层出不穷。为规范电子支付的发展,中国人民银行近日公布《电子支付指引(第一号)》,规定除采用数字证书、电子签名等安全认证方式外,个人网上支付资金日上限为5000元。
    近年来我国电子支付发展非常迅速,电子支付交易量不断增加。根据互联网研究系列报告显示,中国网民网上支付额2003年是2.3亿,2004年达到6.8亿,预计2005年将达到15.7亿。然而,网上支付风险却成为制约其发展的最大瓶颈。调查显示,91.1%的消费者把安全因素作为是否使用网上支付的第一要素,而有61.2%的网民不使用网上支付也是由于安全的问题。
    央行新规中最令人关注的是对网上支付的金额限制。“前两天我还通过网上银行转账,把借朋友的2万块钱给还了呢,今后这招恐怕是不好使了。”一位姓尹的先生向记者表示,“以前借钱还钱都是通过网上转账,在网上购物也都是只要密码,比较省事,不过也存在风险,以后通过金额限制来降低风险,麻烦是麻烦了,不过也逼着大家使用更安全的认证方式。”
    《指引》要求银行通过互联网为个人客户办理电子支付业务时,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。客户从其银行结算账户支付给个人银行结算账户的款项,单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。另外,银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度。
    网上银行安不安全主要看网上身份认证机制是否健全。目前,大多数网上银行采取的是“账号加密码”的传统认证手段。客户凭身份证号、账号和密码可在网上自助开通,手续简便,但运行后保密性较差,防护措施仅仅是客户自设的登陆密码和付款密码。如果用户在网吧等场所使用网上银行,密码就有可能被盗取。在传统银行业务中,密码输入错误达到一定次数就会被停止服务,但在网络银行中却不存在这样的限制,因而存在密码泄露的风险。
    相比“账号加密码”的传统方式,数字证书认证机制更为安全。数字证书是一种记录着用户和认证机构有关信息的电子文件。网上银行的交易双方——银行和用户,都各自持有与其身份绑定的数字证书,包括个人身份证号、银行卡号以及每张数字证书都对应的一对公钥和私钥。所谓“公钥”就是银行给用户的一个与你身份证唯一绑定的一串数字,这是第一道保险;所谓的“私钥”也就是由用户个人设定的只有自己知道的密码,这是第二道保险。只有当这两个密码同时正确时,才可以顺利地登陆“网上银行”,进行各种业务。有了这双保险,黑客即使得到用户的账号和密码,也只能查询账上的金额而无法将资金转走。浦发银行(行情,论坛)市场企划部经理彭玉江介绍,尽管网上银行最近频频出事,但至今尚未发现一例由于数字证书被攻破,而使网银诈骗得逞的案件。
    目前,银行通常使用的安全性证书有文件证书和移动证书两种。文件证书是以文件作为数字证书的存储介质,而USB移动证书是一种智能存储设备。据了解,由于业务开通手续比较复杂而且需要一定的费用,目前采用数字证书等安全认证方式的用户很少。例如,招商银行(行情,论坛)是国内最早推广网上银行业务的银行之一,其网上银行客户数量上千万,但采用数字证书等安全认证方式的用户也不过数万。
    但据彭玉江介绍,随着网上支付风险的加大和银行业务的改进,采用数字证书等安全认证方式的用户正在不断增加。浦发银行(行情,论坛)办理数字证书认证方式的客户每月可达八千,而该行推出的另一种安全认证方式——动态密码更是受到客户的欢迎,它可通过手机短信将动态更新的密码告知客户,目前每月有上万人办理该项业务。
|