支付宝:我们追求安全和用户体验的平衡
时间:2014-4-9 17:01:24 | 信息来源:财新网 | 发布者:liu
4月9日,支付宝在北京798举办媒体见面会,对近期存在的安全问题进行说明。
支付宝宣布,将联合腾讯、360、金山等多家企业和政府部门共同设立安全基金,首批投入4000万元。主要投向反钓鱼联防、反木马联防、反洗钱、反恶意攻击、用户信息保护等领域。
同时,支付宝还将在产品设计上加强安全投入,在即将面世的支付宝钱包8.1版本中,新加入“设备管理”、“短信保镖”等创新安全服务。
“设备管理”让用户可以在手机上查看曾经在哪些手机上使用过支付宝,还能随时删除任意手机。删除后,再次使用这些手机时“如同第一次使用一样”,需要安全输入登录密码和支付密码。阿里小微金融服务集团(筹)首席风险官、阿里巴巴集团副总裁胡晓明表示,“大部分移动支付用户会在多个手机上使用,设备管理可以有效防范风险。”
针对当前恶意应用截取用户短信问题,“短信保镖”功能使得用户的支付短信得到妥善保护,避免被恶意软件拦截。“短信保镖是和360联合推出的,是针对安卓用户设计的。如果苹果手机越狱了也可以用。” 支付宝无线账户和安全产品专家孟超峰表示。
胡晓明在现场表示,支付宝追求的是安全和用户体验的平衡。“我们不会追求绝对的平衡,我们需要在有限的网速下让交易尽快完成。”
在安全方面,支付宝追求让风险发生的概率达到十万分之一。“我们可以接受十万分之一的风险概率。有人问我是否追求百万分之一,我说对不起我不。因为这意味着要多装很多把锁,对用户使用不方便。我认为十万分之一刚刚好。”胡晓明表示。
胡晓明表示,支付宝现在使用数据挖掘的方式寻找用户的使用“基因”,通过用户行为来保护用户安全。
因为现在很多人把同一组用户名密码在多家网站注册,支付宝无法保证其他网站信息不泄露,因此现在针对安全的开发,是建立在“用户名密码都摆在桌子上”的假设下进行的,也就是说,即使用户名和密码完全公开,别人也无法挪走支付宝和余额宝里的资金。
“这涉及到很多云计算、离线计算和在线计算。”胡晓明表示,“支付宝网页版、PC版操作,每个账号输入的时间间隔是多少毫秒,密码输入是多少毫秒,我们都记录了行为习惯。如果有人盗了账户,因为输入速度间隔不同,就会被我们后台看到,从而发现潜在风险。”
针对账户被盗的用户,支付宝还推出了24小时赔付,也就是无论涉案金额多少,在24小时内全额赔付。“我们希望把客户承担的风险转嫁到我们身上,从而让4亿支付宝活跃客户更安全。”胡晓明表示。