银行取款密码形同虚设:有重大安全隐患吗?

——兼谈储户存款的安全责任在银行

作者:李尚勇  时间:2015-07-01

  【作者声明】本文不是打击“网购”,而是希望它更安全。     

  (一) 

  笔者时常也会去网上购物,付款大多选用“支付宝”。但每次去支付宝充值我都有些疑惑,因为支付宝充值系统可以直接进入银行的金库系统。见图1 

  

  1  支付宝“充值”页面截图 

  图片说明:蓝色箭头和红色文字为作者所加。 

  当支付宝用户选择“充值”,来到图1左图页面并选择银行卡后(我选择快捷支付),页面跳转到最后的充值页面(图1右图),输入充值金额,并输入“支付宝支付密码”后,点击“确认充值”,页面跳转显示“恭喜,您已经成功充值***元 ”。 

  请注意,这里输入的是“支付宝支付密码”,而不是储户留在银行的“取款密码”。这也就是说,支付宝的充值系统可以“绕”过银行的“取款密码”安全门,直接进入银行金库系统,取走现金。 

  尽管一直有上述疑惑,但我还是没上心,毕竟,笔者不是银行安全系统的专家。但前两天去“京东”网购,在最后确认付款,页面跳转“支付成功”的一刹那间,我突然意识到,银行取款密码形同虚设问题严重! 

  就以京东网购为例。在“下单”并选择银行卡后,来到京东的“收银台”页面,如图2 

  

  2  京东“收银台”页面截图 

  图片说明:蓝色箭头和红色文字为作者所加。 

  此时,只需要填写银行卡号、持卡人姓名和身份证号码,以及该持卡人在银行预留的手机号码,并点击“同意开通并支付”,就会跳转到“输入校验码”页面。随后,我的手机收到“校验码”短信。输入该“校验码”后,页面跳转显示“支付成功”。 

  显然,储户在银行设置的“银行取款密码”被京东的支付系统“屏蔽”掉了,银行取款密码形同虚设! 

  更令笔者吃惊的是,我在京东使用的这张银行卡同时也开通了“网上银行”功能,并设置了登陆密码,还使用“网银盾”(如U盾、e路通等)及其密码,但所有这些安全措施全部失效! 

  目前的网购支付系统能够“绕”过银行的密码系统(包括6位取款密码和网银密码系统),直接经由储户通道,进入银行金库,取走现金。 

  当然,网购支付系统如此“单刀直入”,是得到了银行方面的特许和支持的。换言之,在网购公司(如支付宝、京东等等)与银行签订的合作协议中,各家银行都允许各网购支付系统“绕”过银行的密码系统,直接经由银行的储户通道,进入银行金库,取走现金。(见图3 

  

  3  网购支付系统绕过银行密码系统示意图 

  图片说明:虚线框表示银行安全系统    制图 李尚勇 

  然而,银行如此对网购支付系统“网开一面”能够保障自己的资金安全吗?银行安全系统的安全级别很高,这毋庸置疑,但银行取款密码形同虚设会不会降低该系统的安全级别,带来重大安全隐患?比如,会不会有人利用银行安全系统与网购支付系统的衔接缺陷,盗窃银行资金?例如,会不会有人在银行安全系统之外,使用“技术”手段,窃取或拦截储户或用户信息,再利用这种“衔接缺陷”,盗窃银行资金? 

  就在写下上述文字的当天,笔者就有了明确答案。 

  201565日《华商报》A10版有报道说,《400余银行账户被盗刷 涉案金额700多万元》。该报道显示,这几个窃贼利用科技含量并不高的技术(木马病毒),盗窃了众多储户账号、姓名、身份证号码、手机号码等用户信息,有的直接盗窃了用户的支付宝账号和密码(进而修改登录密码和支付密码),有的拦截了京东的“手机校验码”,然后,他们用这些支付宝账号或储户账号在淘宝、京东等购物网站“消费”,将储户银行卡里的存款购买成实物或虚拟货币(如游戏币、电子购物卡、电话费等),然后再联系下线低价出售变现。    

  (二) 

  由于窃贼是经由储户通道窃取银行资金,所以,银行资金被盗表现为储户的账面存款数额减少。于是,银行偷换概念说,“储户存款被盗”,这后面的“潜台词”显然是,储户自负其责。事实上,在笔者查阅的所有盗刷银行卡案件中,无一例外,银行都说自己没有责任,不予赔偿。 

  理论上是这样的吗? 

  因为银行“特许”网购支付系统“绕”过银行密码系统,形成事实上的“衔接缺陷”,终被窃贼利用而发生了资金被盗事件。这里的责任能在储户一方?银行不在自己的安全系统之外“乱开口子”,“嫁接”低安全级别的支付系统,会被窃贼“盯”上? 

  虽然,从表面上看,储户的确有储户信息失窃的责任,比如《华商报》上那位女士不慎安装了木马程序,但储户信息安全系统与银行安全系统是两个安全级别悬殊的系统,储户没有条件也没有可能“高级别”保护自己的储户信息安全。而银行则相反,银行有很强的能力维护银行自身的资金安全,更何况,储户将自己的钱存在银行,银行在法理上就应该承担储户存款安全的责任。 

  目前,多地法院的判例已经确立了如下原则:只要储户的银行卡一直在储户手上,窃贼窃取储户信息伪造银行卡,盗取储户存款,应该由银行全部赔偿储户。 

  法院判词一: “犯罪嫌疑人侵害的是银行金融资金,并非储户个人财产”,银行“对犯罪嫌疑人的支付,不构成对储户债务的清偿”。储户办理银行卡后,“双方即形成储蓄存款合同关系”,银行“有义务按照合同约定”,保障储户存款安全。 

  法院判词二:“鉴别伪造银行卡以防止存款被冒领或盗取,应该是银行保障储户存款安全义务的重要内容”。 

  不过,基于前一节的案例及其分析来看,仅有上述原则远远不够,因为现在网络高度发达,利用网络支付系统的漏洞盗窃银行资金的案件屡屡发生,而银行也屡屡推卸法定责任。因此,需要确立现代储蓄安全的基本原则如下:只要存款凭证(包括银行卡)一直在储户手上,任何形式的存款被盗,都应该由银行全部赔偿。 

  储户的唯一责任就是,保护好自己的存款凭证(包括银行卡)。除此之外,任何要求储户保护自己账户信息安全的要求(如要求不泄露储户账号、姓名、身份证号码、手机号码等),都属于过分要求。在网络高度发达的今天,个体储户完全没有条件满足这样的过分要求。例如,一些企业或部门动辄泄露百万数量级的用户信息,说不定,你的信息就在其中,只是窃贼暂时还没有“盯”上你。 

  在更为严格的安全技术条件下,比如取款必须“读”(但不能复制)银行卡及其持卡人身份信息,储户取款密码失密也就不构成承担盗刷银行卡责任的依据。 

  如果立法确立上述基本原则,那么,银行方面就有足够的动力不断完善自己的资金安全系统,并谨慎开展电子业务,以确保储户存款安全。 

  实际上,网络、电脑、手机等等安全专家有很多办法加强系统安全,他们仅仅缺少研发这些安全产品的动力;严格安全制度的需求能够提供这种动力,而明确的责任界定则能够摧生这种安全制度;最后,立法(当然不是部门立法)能够界定这种明确的责任,比如,按照上述“现代储蓄安全的基本原则”,明确界定银行对于储户存款安全的责任。     

  201568    

  附录 

  保护银行卡的基本原则:储户的银行卡只有在自己手上才是安全的。 

  所以,现有的所有“刷卡”设备(包括银行柜台、柜员机、商店收银台等等)的设置都是不安全的。 

  相反,安全的“刷卡”设备应该具备两个条件:(1)由储户自己“刷卡”。这要求将“刷卡”设备设置在方便储户自己“刷”卡的地方。(2)储户隐密输入密码。这要求将密码输入“盒子”交到储户手中,而不是“摆放”在柜台上,或者镶嵌在柜员机(ATM)上。 

  顺便说一句,在现代电子时代,银行一直沿用6位数字密码模式,既没道理,也不理性,更缺乏安全责任。相反,“网银盾”之类的电子证书、加密手段却是一个可以不断推陈出新、广泛推广的安全手段。这需要银行以“魔高一迟、道高一丈”的精神去研发。 

来源:中国改革论坛网 [关闭] [收藏] [打印]

我也来评论 文明上网,理性发言!   查看所有评论
© 中国改革论坛网 版权所有 不得转载 琼ICP备10200862号 主办单位:中国(海南)改革发展研究院
建议用IE5.5以上版本浏览 技术支持:北京拓尔思信息技术股份有限公司 Design by Ciya Interactive