支付寶:我們追求安全和用戶體驗的平衡
時間:2014-4-9 17:01:24 | 信息來源:財新網 | 發布者:liu
4月9日,支付寶在北京798舉辦媒體見面會,對近期存在的安全問題進行說明。
支付寶宣布,將聯合騰訊、360、金山等多家企業和政府部門共同設立安全基金,首批投入4000萬元。主要投向反釣魚聯防、反木馬聯防、反洗錢、反惡意攻擊、用戶信息保護等領域。
同時,支付寶還將在產品設計上加強安全投入,在即將面世的支付寶錢包8.1版本中,新加入“設備管理”、“短信保鏢”等創新安全服務。
“設備管理”讓用戶可以在手機上查看曾經在哪些手機上使用過支付寶,還能隨時刪除任意手機。刪除后,再次使用這些手機時“如同第一次使用一樣”,需要安全輸入登錄密碼和支付密碼。阿里小微金融服務集團(籌)首席風險官、阿里巴巴集團副總裁胡曉明表示,“大部分移動支付用戶會在多個手機上使用,設備管理可以有效防范風險。”
針對當前惡意應用截取用戶短信問題,“短信保鏢”功能使得用戶的支付短信得到妥善保護,避免被惡意軟件攔截。“短信保鏢是和360聯合推出的,是針對安卓用戶設計的。如果蘋果手機越獄了也可以用。” 支付寶無線賬戶和安全產品專家孟超峰表示。
胡曉明在現場表示,支付寶追求的是安全和用戶體驗的平衡。“我們不會追求絕對的平衡,我們需要在有限的網速下讓交易盡快完成。”
在安全方面,支付寶追求讓風險發生的概率達到十萬分之一。“我們可以接受十萬分之一的風險概率。有人問我是否追求百萬分之一,我說對不起我不。因為這意味著要多裝很多把鎖,對用戶使用不方便。我認為十萬分之一剛剛好。”胡曉明表示。
胡曉明表示,支付寶現在使用數據挖掘的方式尋找用戶的使用“基因”,通過用戶行為來保護用戶安全。
因為現在很多人把同一組用戶名密碼在多家網站注冊,支付寶無法保證其他網站信息不泄露,因此現在針對安全的開發,是建立在“用戶名密碼都擺在桌子上”的假設下進行的,也就是說,即使用戶名和密碼完全公開,別人也無法挪走支付寶和余額寶里的資金。
“這涉及到很多云計算、離線計算和在線計算。”胡曉明表示,“支付寶網頁版、PC版操作,每個賬號輸入的時間間隔是多少毫秒,密碼輸入是多少毫秒,我們都記錄了行為習慣。如果有人盜了賬戶,因為輸入速度間隔不同,就會被我們后臺看到,從而發現潛在風險。”
針對賬戶被盜的用戶,支付寶還推出了24小時賠付,也就是無論涉案金額多少,在24小時內全額賠付。“我們希望把客戶承擔的風險轉嫁到我們身上,從而讓4億支付寶活躍客戶更安全。”胡曉明表示。
深圳市貴州商會