安全問題的本質

        注：一口氣寫完此文，然后上網搜了下相關新聞，發現阿里小微金融的風險官胡曉明已經做出正式回應。點擊可以查看他的公開信。

        最近在網上有篇關于支付寶安全的文章，講的是如果手機丟失了以后，別人撿到手機，就可以通過手機登錄支付寶帳號、取回密碼、解綁數字證書，最后把錢從支付寶里給弄走。

        有朋友發消息來向我求證這篇文章的真實性。原本對于這種水文我是不太關注的，因為支付寶從始至終都不缺乏這種負面新聞。但問得人多了，我覺得借著這個機會科普一下也挺好。

        首先在「微信支付」挑戰「支付寶」這樣的敏感之季，我覺得這篇文章很像是微信的軟文，就算不是，微信也應該給它付錢。為什么這么說呢？因為這篇文章寫的很高明。但不是說這篇文章說的不對，相反，從某些角度來看，它確實有一定的道理。

        我在我寫的《白帽子講 Web 安全》一書中，開篇第一章「我的安全世界觀」里就提綱挈領的論述了安全的本質問題：

        「安全問題的本質是信任的問題。」

        以前我曾經很無恥的對朋友說，我要把這本書作為我的「開山立派」之作，系統的闡述我的安全觀。其中最精華的就是這第一章，但我相信大多數從業人員都只對后面講具體案例的部分感興趣，這其實是撿了芝麻丟了西瓜。

        如果按照「安全問題的本質是信任問題」來理解支付寶所面臨的問題，就很好理解了。

        網上的那篇文章主要的出發點在于控制了手機，則控制了支付寶賬戶里的一切，因為所有的業務（包括安全流程）都可以通過手機完成。

        實際上，支付寶的安全模型在設計時，就默認將手機當成了所有「可信任」環節里的最后一環，它的優先級是高于其它「可信任」的參照物的。

        設計任何安全方案，最終都必須要有一個東西是「假設可以信任的」，只是看這個「可信任」的東西被攻擊成功的概率大小。如果不這么做，則做不出任何的安全方案。

        比如說你買了一輛車，并拿到了遙控車鑰匙，那么就得假設車鎖和車鑰匙是安全的。但其實遙控車鑰匙并不安全，有很多偷車的盜賊都會記錄遙控車鑰匙發出的信號，等車主離開后就重放這個信號從而解鎖。這就是打破了原本的信任假設。

        回到支付寶的問題上來，之所以支付寶要把手機設定為「可信任環節里的最后一環」，原因就是因為以前用過的很多安全認證方式都發現不靠譜。網上那 篇文章里提到的用郵箱驗證、用數字證書等來解決支付寶的問題，卻不知道這兩樣東西早就被黑客玩殘了。郵箱就不說了，針對數字證書的木馬很多年前就猖獗一 時，所以支付寶后來才加上手機短信驗證。

        但其實手機認證在幾年前也開始遇到挑戰，甚至有一些欺詐案件，是騙子直接打電話給受害者，偽裝成客服，詢問受害者剛才接收到的手機驗證碼。受害者也經常會主動告訴騙子手機驗證碼，然后錢就被騙子轉走了。

        之所以今天這些問題突然引起高度關注，與「余額寶」強大的吸金能力分不開。用戶們存在支付寶里的錢突然變多了很多，而且是成數量級增長，金額巨大，個別用戶被盜幾乎是必然的。而新聞媒體一旦把問題放大，就草木皆兵了。

        支付寶一直在營造「你敢付，我敢賠」的形象。在網購早期，很多人不敢上網付錢，于是支付寶為了解決這個信任問題提出了這個口號。今天支付寶面臨的問題本質是一樣的，它開始遭遇信譽危機。我們可能越來越少開始聽到「支付寶賠付成功」的消息。

        如果是我來解決這個問題，會從這么幾個方面入手：

        首先，重新依靠郵箱認證、數字證書這些方式是歷史的倒退。因此當手機已經不再可靠（數億的用戶，出問題是必然的，就算很小的比例也很可怕了）時，需要找到一個比手機更可信任的方式。

        但今天支付寶可能沒想清楚的是，當有金額巨大的客戶上來時（比如百萬元以上的用戶），他的服務能力還沒有對應的提高到 VIP 級別。這是和銀行最大的區別。服務一個百萬元以上的客戶，與服務于一個只存了一百塊的客戶肯定要有不同的標準。

        我記得有一次我用信用卡刷了幾萬元的消費，在兩分鐘內銀行就馬上打電話過來，和我進行人工確認。而這種服務能力是支付寶目前所缺少的。當系統做不到完美時，可以適當的引入人工服務來彌補。

        （注：目前支付寶的解決方案是雙因素，比如手機驗證碼加上身份證信息。但仍然不夠強。）

        其次，大額的提取應該有一些限制，一些異常行為也應該及時凍結。按道理這些「常規方法」都沒什么必要老生常談了，因為支付寶在用戶行為的安全模型方面投入了上千臺服務器的計算集群做這個事。但可能是因為用戶基數太大，所以難免會有漏網之魚。

        最后，安全的最高境界就是賣保險。如何鼓勵大用戶把錢放上來呢？賣保險給他。支付寶應該及時申請保險行業的牌照和資質，對整個阿里系來說太有用 了。就算弄不來，也可以找一家合作伙伴來提供保險服務，這樣才能真正讓用戶放心。實際上「你敢付，我敢賠」的本質就是想解決用戶的心理障礙，給用戶上個保 險。（注：剛查到支付寶在 2013 年 4 月已經與平安保險合作，提供理賠服務。但效果如何未體驗。）

        在去年 7 月份，我在黑板報上寫過一篇「讓支付簡單一點」，吐槽了支付寶的安全產品設計越來越復雜，但卻沒有真正解決問題。一個個的堆疊安全功能是沒有用的，理不 清，剪還亂。回到開頭提到的這篇文章來，知道我為什么說這可能是「微信的軟文」了吧？因為支付寶要真信了這些建議，就被帶到溝里去了。問題沒解決，可能還 把事情搞的更加復雜，最后用戶體驗只會越來越差。

        （今日題圖：SBN SiGORTA，作者：candas arin）

        ==== 道哥的黑板報 ====

        走在創業道路上的文藝白帽子。

        微博、知乎：aullik5

        http://taosay.net

        微信公號：道哥的黑板報，微信 ID：taosay

                    <span id="shareA4" class="fl">                          </span> 

</div>