1.背景

互聯(lián)網(wǎng)金融平臺(tái)賬戶進(jìn)行開戶或者支付業(yè)務(wù)時(shí)，綁卡鑒權(quán)環(huán)節(jié)是必經(jīng)之路。
那么什么是綁卡鑒權(quán)？綁卡是將用戶銀行卡信息提供給金融平臺(tái)，以后金融平臺(tái)就用這個(gè)信息去銀行完成支付。綁卡實(shí)際上是一個(gè)授權(quán)，讓用戶允許商家自動(dòng)從他的賬戶上扣除資金，所以綁卡也叫簽約，用戶和銀行，商家的三方簽訂的支付合約。 但我們知道，綁卡對(duì)用戶和商戶來(lái)說(shuō)都存在巨大風(fēng)險(xiǎn)：一方面需要向電商暴露個(gè)人信息，一旦被竊取，資金就容易被盜走。還有在手機(jī)上執(zhí)行支付，一旦手機(jī)丟失，竊取者就可以輕而易舉的使用或者轉(zhuǎn)移資金。

2.綁卡場(chǎng)景

怎么綁卡？我們知道對(duì)接銀行有兩種途徑，直接對(duì)接銀行接口和通過(guò)銀聯(lián)來(lái)間接對(duì)接。這兩種情況下綁卡處理也不同。
綁卡場(chǎng)景
以支付寶、招行網(wǎng)銀、直銷app綁卡流程為例，我們可以體驗(yàn)下:

支付寶綁卡.png

招行一網(wǎng)通.png

招行掌上生活.png

這里有如下要點(diǎn)：
（1）只能綁自己的卡，這主要從安全角度考慮。
（2）需要用戶在銀行側(cè)預(yù)留的手機(jī)號(hào)進(jìn)行短信驗(yàn)證。但不是所有銀行都需要。這個(gè)時(shí)候，為了統(tǒng)一處理，可以考慮自己發(fā)驗(yàn)證短信。

綁卡流程

這里面涉及兩種類型的綁卡流程：首次綁卡和非首次綁卡

“首次綁卡”

承擔(dān)著驗(yàn)證用戶身份的功能，填寫敏感信息的步驟一般需要后置，雖然有用戶填錯(cuò)信息需要重新輸入的情況，但為保證信息安全，犧牲部分體驗(yàn)是必要的。

“再次綁卡”

針對(duì)的用戶主要是高級(jí)用戶，并且這一操作不再承擔(dān)驗(yàn)證身份的目的， 如果用戶已經(jīng)登錄，密碼輸入這一步可直接過(guò)掉。

先介紹比較簡(jiǎn)單的銀聯(lián)直聯(lián)綁卡。為了保證卡的安全，綁卡有這些前置需求:

1.用戶必須已經(jīng)綁定了手機(jī)號(hào)。該手機(jī)號(hào)用于修改支付密碼。
2.用戶需設(shè)置了支付密碼。支付密碼不同于登錄密碼。

針對(duì)用戶不同狀態(tài)，綁卡流程上有區(qū)別。當(dāng)然，綁卡是安全操作，要求用戶必須登錄到系統(tǒng)中。為了避免和服務(wù)器端的交互被劫持，所有操作必須在安全鏈接中進(jìn)行，即使用https。當(dāng)用戶開始綁卡時(shí)，執(zhí)行如下流程：

1.手機(jī)號(hào)

檢查用戶是否有手機(jī)號(hào)。沒有則進(jìn)入設(shè)置手機(jī)號(hào)流程。

2.支付密碼

檢查用戶是否設(shè)置支付密碼。如果已經(jīng)設(shè)置，則需要用戶輸入密碼。確認(rèn)后開始綁卡。否則，也是先進(jìn)去綁卡后設(shè)置密碼。

3.銀行卡號(hào)信息

用戶輸入卡號(hào)，系統(tǒng)根據(jù)卡號(hào)判斷卡的發(fā)卡行，并顯示給用戶。

4.銀行預(yù)留手機(jī)號(hào)

用戶輸入銀行預(yù)留手機(jī)。對(duì)于沒有綁過(guò)卡的用戶，需要用戶提供真實(shí)姓名和身份證號(hào)(即首次綁卡）。對(duì)于信用卡，還需要輸入cv碼和有效期。這一步，卡的信息都收集全了。

5.調(diào)用銀行綁卡驗(yàn)證接口進(jìn)行綁卡。

這里有一個(gè)四要素驗(yàn)證的概念。由于國(guó)內(nèi)要求實(shí)名制，所有銀行卡都是實(shí)名辦理的，所以銀行可以驗(yàn)證姓名，身份證號(hào)，銀行卡號(hào)和手機(jī)號(hào)是不是一致的，如果沒問(wèn)題，則會(huì)發(fā)短信到手機(jī)上。

實(shí)名認(rèn)證

綁卡操作有個(gè)不錯(cuò)的副產(chǎn)品，就是實(shí)名認(rèn)證。常說(shuō)的二要素，三要素，四要素認(rèn)證，可以通過(guò)這個(gè)操作完成。 二要素指姓名和身份證號(hào)，三要素加上銀行卡號(hào)，四要素則加上手機(jī)號(hào)?？雌饋?lái)，似乎銀行都應(yīng)該支持四要素驗(yàn)證，但大部分銀行接口僅支持三要素，畢竟手機(jī)號(hào)還是非常容易變。 當(dāng)然，實(shí)名認(rèn)證，也就是二要素認(rèn)證，是應(yīng)用最多的認(rèn)證了。國(guó)內(nèi)唯一的庫(kù)是在公安部這，由NCIIC負(fù)責(zé)對(duì)外提供接口。可以提供如下功能：

簡(jiǎn)項(xiàng)核查：返回“一致”“不一致”“庫(kù)中無(wú)此號(hào)”
返照核查：返回“一致+網(wǎng)紋照片”“不一致”“庫(kù)中無(wú)此號(hào)”
人像核查：返回“同一人”“不同人”“庫(kù)中無(wú)此號(hào)”

短信和身份驗(yàn)證

一般綁卡操作第五步需要銀行下發(fā)短信驗(yàn)證碼。 短信驗(yàn)證的接口，不同銀行還不一樣。有些銀行是短信和身份驗(yàn)證一起做了；有些銀行是可以配置身份驗(yàn)證是否同時(shí)發(fā)短信。還有些比較奇葩的機(jī)構(gòu)，比如某聯(lián)，接口中讓你傳身份信息，但實(shí)際上沒傳也是可以的，也不驗(yàn)證身份信息到底對(duì)不對(duì)。

此類接口一般包含如下內(nèi)容：
版本號(hào)：當(dāng)前接口的版本號(hào)；
編碼方式： 默認(rèn)都是UTF-8，指?jìng)鬏數(shù)膬?nèi)容的編碼方式；
簽名和簽名方法： 生成報(bào)文的簽名。 不是所有的字段都需要放到簽名中，文檔中會(huì)說(shuō)明哪些字段需要簽名；
簽名算法：生成簽名的算法，RSA, RSA128， MD5等。
商戶代碼：在渠道側(cè)注冊(cè)的商戶號(hào)。
商戶訂單號(hào)：即發(fā)送給渠道的訂單號(hào)；
發(fā)送時(shí)間：該請(qǐng)求送出的時(shí)間。
賬號(hào)和賬號(hào)類型： 銀行卡、存折、IC卡等支持的賬號(hào)類型以及對(duì)應(yīng)的賬號(hào)；
卡的加密信息：如信用卡的CVN2，有效期等。
開戶行信息：開戶行所在地以及名稱；大部分是不需要的。
身份證件類型和身份證號(hào)： 可以用于實(shí)名驗(yàn)證的證件，指 身份證、軍官證、護(hù)照、回鄉(xiāng)證、臺(tái)胞證、警官證、士兵證等。不同銀行可以支持的證件類型不一樣，這也不是問(wèn)題。大部分就是身份證了。
姓名：真實(shí)姓名，必須和身份證一致；
手機(jī)號(hào)：在所在銀行注冊(cè)的手機(jī)號(hào)。

系統(tǒng)會(huì)返回上述數(shù)據(jù)的驗(yàn)證結(jié)果。如果驗(yàn)證通過(guò)，則會(huì)發(fā)短信。但這不是所有的渠道都是這樣。哪些字段會(huì)參與驗(yàn)證、需不需要發(fā)短信，需要注意看接口文檔。

6.綁卡簽約流程

用戶輸入短信驗(yàn)證碼并確認(rèn)綁卡，服務(wù)器端將用戶實(shí)名信息以及短信驗(yàn)證碼組合形成報(bào)文，發(fā)送給銀行，執(zhí)行簽約操作。銀行側(cè)簽約成功后，返回簽約號(hào)給商戶。

綁卡接口

綁卡接口和發(fā)短信接口類似，還需要將用戶的卡號(hào)，身份證等信息傳遞過(guò)去。在綁卡成功后，會(huì)返回一個(gè)簽約號(hào)。這個(gè)簽約號(hào)是后續(xù)調(diào)用支付，解約等接口所必須的。 這里有個(gè)問(wèn)題，已經(jīng)綁卡的用戶，再綁一次，會(huì)出現(xiàn)什么情況？目前銀行都會(huì)返回已綁卡的信息，也就是不支持重復(fù)綁卡。

3.互聯(lián)網(wǎng)金融平臺(tái)常見綁卡鑒權(quán)方式

好了，科普到此結(jié)束，回歸我們今天的重點(diǎn)，目前從市場(chǎng)上來(lái)看，不同的平臺(tái)封裝出了不同的快捷支付鑒權(quán)方式，這些鑒權(quán)方式各有優(yōu)劣，我們收集了部分常見的鑒權(quán)方式，一起來(lái)看看各自有什么特點(diǎn)，下面將從綁卡鑒權(quán)方式，鑒權(quán)要素，安全系數(shù)三個(gè)維度進(jìn)行分析常見的綁卡鑒權(quán)對(duì)比

3.1全渠道鑒權(quán)

• 特點(diǎn)：

我們較常見且較方便的鑒權(quán)方式為全渠道鑒權(quán)，即銀行卡四要素鑒權(quán)，提供姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)四要素綁卡成功之后，后續(xù)只需要在商戶輸入交易密碼（短信驗(yàn)證碼）即可進(jìn)行支付。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)

• 安全性：1

目前最快捷的綁卡方式，最早應(yīng)用于支付寶等第三方支付平臺(tái)的銀行卡鑒權(quán)，經(jīng)多年驗(yàn)證，安全級(jí)別較高。但這種綁卡方式依賴于用戶的銀行預(yù)留手機(jī)號(hào)的短信驗(yàn)證碼，因此對(duì)短信運(yùn)營(yíng)商的安全措施和用戶的手機(jī)信息安全要求都很高。
但是事實(shí)證明，短信驗(yàn)證碼很容易泄露。此前有過(guò)騙子通過(guò)移動(dòng)運(yùn)營(yíng)商的“短信保管箱”業(yè)務(wù)盜取用戶驗(yàn)證碼進(jìn)行盜刷的情況;同時(shí)騙子還可以通過(guò)偽基站、病毒鏈接、病毒二維碼等植入手機(jī)木馬攔截短信，以及通過(guò)社交工具偽裝熟人騙取短信驗(yàn)證碼。

3.2第三方支付平臺(tái)鑒權(quán)

• 特點(diǎn)：

第三方支付平臺(tái)鑒權(quán)，即開戶時(shí)需要對(duì)接第三方支付進(jìn)行鑒權(quán)，例如易寶支付、快錢等，有些對(duì)用戶無(wú)感知的，有些是用戶可感知的，無(wú)感知的即不會(huì)跳轉(zhuǎn)到第三方支付平臺(tái)，后臺(tái)幫用戶隱形開戶，有感知的是跳轉(zhuǎn)到第三方平臺(tái)頁(yè)面，讓用戶自己提供信息進(jìn)行開戶，鑒權(quán)綁卡成功之后同樣是只需要輸入交易密碼（短信驗(yàn)證碼）即可進(jìn)行支付。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)

• 安全性：1

3.3人行小額鑒權(quán)

• 特點(diǎn)：

人行小額鑒權(quán)和全渠道鑒權(quán)相比多了一個(gè)銀行卡類型的判斷（注：銀行賬戶分為Ⅰ類戶、Ⅱ類戶、Ⅲ類戶），這個(gè)參數(shù)在一些場(chǎng)景還是比較有用的，例如綁卡的時(shí)候用來(lái)識(shí)別卡為一類戶還是二類戶，對(duì)防范薅羊毛等相關(guān)行為有一定作用，其他的和全渠道沒什么區(qū)別。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)、卡類型

• 安全性：2

3.4銀聯(lián)消費(fèi)鑒權(quán)

• 特點(diǎn)：

銀聯(lián)是個(gè)比較特殊的第三方支付平臺(tái)，可進(jìn)行類似全渠道銀行卡四要素鑒權(quán)，也可進(jìn)行四要素+取款密碼的方式，這由發(fā)卡行決定。與全渠道鑒權(quán)和第三方支付平臺(tái)鑒權(quán)相比，不同的點(diǎn)在于銀聯(lián)鑒權(quán)允許用戶在其網(wǎng)關(guān)頁(yè)面輸入銀行卡的交易密碼進(jìn)行驗(yàn)證，如下兩圖所示，兩個(gè)不同的發(fā)卡行需要的鑒權(quán)要素不一致，這由發(fā)行卡決定。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)、密碼（可選）

• 安全性：3

3.5銀聯(lián)網(wǎng)關(guān)鑒權(quán)

• 特點(diǎn)：

銀聯(lián)網(wǎng)關(guān)鑒權(quán)，在提供了綁卡四要素以外還需要跳轉(zhuǎn)到發(fā)卡行（或者銀聯(lián)）的網(wǎng)關(guān)頁(yè)面輸入銀行卡的取款密碼進(jìn)行校驗(yàn)，校驗(yàn)通過(guò)后才能綁卡成功。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)、密碼

• 安全性：3

在驗(yàn)證了四要素信息及銀行預(yù)留手機(jī)號(hào)驗(yàn)證碼后，附加銀行卡取款密碼。這也是目前銀聯(lián)等推行的更安全的驗(yàn)證方式。但是讓用戶在互聯(lián)網(wǎng)平臺(tái)上輸入銀行卡取款密碼需要很強(qiáng)的信任感，同時(shí)取款密碼的輸入也依賴各類插件或者SDK等，對(duì)平臺(tái)的集成難度加大，也影響平臺(tái)體驗(yàn)的統(tǒng)一，因此目前使用此類方式綁卡的平臺(tái)不多。同時(shí)這種綁卡方式也不是無(wú)限可擊，雖然多了一層密碼保護(hù)，增加了騙子盜取的難度，但是目前密碼泄露非常嚴(yán)重，更何況很多人的密碼其實(shí)和他們的個(gè)人信息相關(guān)。因此這種綁卡方式雖然安全性有所提高，但是使用率也不高。

3.6小額打款驗(yàn)證鑒權(quán)

• 特點(diǎn)：

一種相對(duì)簡(jiǎn)陋的綁卡方式，平臺(tái)通過(guò)用戶帳戶、姓名給用戶打入一筆小金額，用戶正確提交入賬金額給平臺(tái)，由此確定用戶對(duì)卡的所有權(quán)，完成綁卡。但是由于在銀行的安全體系里，賬戶的查詢權(quán)限比支付權(quán)限要低很多，渠道相對(duì)便捷，詐騙團(tuán)伙通過(guò)簡(jiǎn)化版網(wǎng)銀或通過(guò)銀行客服電話等查詢余額，完成銀行卡所有權(quán)的認(rèn)證之后，就可以將卡的查詢權(quán)限提升為支付權(quán)限，隱患很大。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)

• 安全性：2

3.7小額轉(zhuǎn)賬驗(yàn)證鑒權(quán)

• 特點(diǎn)：

商戶會(huì)進(jìn)行姓名、身份證號(hào)、銀行卡號(hào)三要素鑒權(quán)，三要素通過(guò)之后商戶還會(huì)要求用戶使用將要綁定的銀行卡向商戶的對(duì)公戶轉(zhuǎn)入指定金額，用戶需要登錄網(wǎng)銀向商戶的對(duì)公賬號(hào)轉(zhuǎn)入對(duì)應(yīng)金額，商戶會(huì)校驗(yàn)金額是否正確，核對(duì)賬戶名稱、銀行賬號(hào)是否一致，驗(yàn)證成功后綁定銀行卡。

• 鑒權(quán)要素：姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)、密碼

• 安全性：3

與小額打款綁卡類似，把平臺(tái)轉(zhuǎn)賬給用戶變成了用戶轉(zhuǎn)賬給平臺(tái)，因此需要用戶擁有銀行卡的轉(zhuǎn)賬權(quán)限。由于能夠最大限度保證持卡人的賬戶安全，因此，雖然操作轉(zhuǎn)賬相對(duì)麻煩導(dǎo)致用戶體驗(yàn)上會(huì)打折扣，這種方式在互聯(lián)網(wǎng)金融平臺(tái)中接受度較高。但是，由于目前銀行在做各種體驗(yàn)升級(jí)，每個(gè)銀行的安全級(jí)別不盡相同，有些銀行做創(chuàng)新業(yè)務(wù)嘗試，很可能小金額的轉(zhuǎn)賬需要的授權(quán)級(jí)別比較低，如果被騙子突破用于綁卡，即可在平臺(tái)實(shí)現(xiàn)大金額的投資交易。

以上為比較常見的鑒權(quán)方式，當(dāng)然還存在其他的封裝模式，不一一列舉，那么上面的幾種方式安全性以及用戶體驗(yàn)孰優(yōu)孰劣相信大家已經(jīng)有個(gè)大概了。

4.互聯(lián)網(wǎng)金融平臺(tái)綁卡潛在漏洞及應(yīng)對(duì)措施

短信驗(yàn)證碼容易泄漏

雖然說(shuō)這些鑒權(quán)方式都是比較安全的，但是盜開、盜刷、薅羊毛等因?yàn)殍b權(quán)導(dǎo)致的安全事件還是頻繁出現(xiàn)，說(shuō)明鑒權(quán)的風(fēng)險(xiǎn)還是存在的，主要因?yàn)樯鲜鲋星皫最愯b權(quán)都是提供銀行卡四要素，這對(duì)于現(xiàn)在大數(shù)據(jù)時(shí)代（或者說(shuō)黑灰產(chǎn)）來(lái)說(shuō)，唯一相對(duì)保密的就是手機(jī)動(dòng)態(tài)驗(yàn)證碼，然而這并不能難倒黑灰產(chǎn)人員，黑灰產(chǎn)人員可以對(duì)普通用戶發(fā)送釣魚短信，短信中包含惡意鏈接，點(diǎn)擊則會(huì)安裝惡意APP，從而導(dǎo)致手機(jī)短信驗(yàn)證碼被盜取，造成盜開盜刷等安全事件。我們對(duì)曾經(jīng)捕獲的惡意APP樣本進(jìn)行分析，進(jìn)入木馬收件箱可看見大量被盜取的手機(jī)驗(yàn)證碼。

互聯(lián)網(wǎng)金融平臺(tái)該如何應(yīng)對(duì)

1.同卡進(jìn)出

即資金與銀行卡完全綁定，確保從哪里投資回哪里去，實(shí)現(xiàn)資金的閉環(huán)，典型的案例如券商的銀證賬戶。

同卡進(jìn)出可以最大限度保障資金安全，即使發(fā)生盜刷，資金最終還是只能在同一張銀行卡內(nèi)流轉(zhuǎn)，騙子無(wú)法取走。因此，當(dāng)前券商、基金、保險(xiǎn)的用戶資金幾乎都是同卡進(jìn)出，互聯(lián)網(wǎng)金融平臺(tái)也越來(lái)越多的采用同卡進(jìn)出的方案，這是平臺(tái)確?？蛻糍Y金安全的一把金鎖。

2.提醒和教育用戶

雖然平臺(tái)可以通過(guò)“同卡進(jìn)出”掐斷提現(xiàn)，但是騙子的騙術(shù)層出不窮，總能找到突破口。平臺(tái)還是有提醒和教育用戶的責(zé)任和義務(wù)。比如可以提醒用戶注意防范騙子偽裝成熟人、警察，不要相信所謂“安全賬戶”、不要泄露短信驗(yàn)證碼、不要點(diǎn)擊陌生鏈接、不要隨意輸入銀行卡密碼等個(gè)人信息等。

3.遠(yuǎn)期風(fēng)控措施

遠(yuǎn)期來(lái)看，互聯(lián)網(wǎng)金融平臺(tái)還可以嘗試一些更有效更有力的風(fēng)控措施，增加驗(yàn)證手段，提高信息盜取的難度，例如將四要素認(rèn)證升級(jí)為卡密認(rèn)證，以及增加視頻認(rèn)證等，大大增加詐騙行為的實(shí)施難度。
　　與此同時(shí)，互聯(lián)網(wǎng)金融平臺(tái)可以利用行業(yè)內(nèi)的風(fēng)險(xiǎn)數(shù)據(jù)的黑名單庫(kù)，通過(guò)接入一些第三方平臺(tái)可以進(jìn)行匹配查詢，進(jìn)而識(shí)別風(fēng)險(xiǎn)用戶。
　　此外，還可以加強(qiáng)行為分析風(fēng)控。通過(guò)行為分析、關(guān)系網(wǎng)分析等對(duì)風(fēng)險(xiǎn)行為進(jìn)行識(shí)別，進(jìn)而及時(shí)制止。還可以通過(guò)機(jī)器學(xué)習(xí)逐步建立和完善風(fēng)險(xiǎn)識(shí)別模型。

參考資料：http://blog.lixf.cn/essay/2016/10/12/account-3-bank/