1
garlics OP 话说我在做支付系统的时候,对接的银行限制小额免密单笔交易最多 2000 ,这也算一种限制?
|
2
lambdaq 2023-05-06 15:50:01 +08:00 13
纯理论探讨,人脸应该是 username ,而不是 password 。人脸一旦泄漏就是终身泄漏。拒绝任何人脸拿来做「认证」的流程
|
3
8355 2023-05-06 15:56:17 +08:00
你先开通下免费的防盗刷保险
|
4
NoOneNoBody 2023-05-06 16:17:11 +08:00
|
5
yulgang 2023-05-06 16:20:01 +08:00
小额支付的 app 开了,其他没开,我觉得没必要。
|
6
pursuer 2023-05-06 16:44:29 +08:00
给选项开关是最好的,像 windows 的 UAC 。像微信,QQ 邮箱这种无论如何都必须扫码的我觉得就不好
|
7
wjfz 2023-05-06 16:47:18 +08:00
信用卡不用据说,我的信用卡也没密码,没密码的情况下被盗刷银行会赔。
取快递、信用卡的例子也算作整个社会信用体系的一部分。我还是比较乐观的相信社会发展,坏人是少数的,并且相关服务提供者也都会有类似的保险。如果为了百万分之一的风险,就舍去百万的便利,我觉得还是不划算的。(就像很多政府部门为什么效率低下,就是为了明确责任,添加很多手续。)当然自己也会控制风险,免密支付是限额的、信用卡境外无卡付款关闭、境内付款可以添加时段限制。 而安全带安全帽的直接相关是生命安全,跟财产安全不一样。 |
8
nothingistrue 2023-05-06 16:47:57 +08:00 3
国外信用卡这个,还是要先说一下,不然会有重大基础理解偏差。信用卡是「见卡如见账户」的完整物理认证令牌,不是仅仅是账户的用户名,所有它的密码是非必须的,而有密码的时候因为能甩锅给密码反而更不安全。信用卡的安全,主要需要两方面:一是不可伪造 /复制,即要保证「见卡即见账户」,这是磁条卡不如芯片卡安全的主要原因。二是不可冒领,即「用卡的人是账户所有人」,国内用密码保证,国外用签名、账单地址信息对照等手段保证。关于第二点,表面上看起来是密码更安全,不用密码更方便,实际上全部相反。密码不安全现在已经是共识了,而被盗刷的责任全部在持卡人泄漏密码这里(不过实际上银行为了避免麻烦还是会主动去吃苦头),容易出错,出错了还是自己的责任,所以密码认证既不安全,也更方便(银行甩锅)。而国外这种签名、账单地址信息对照的手段,验证的责任方是卖家和银行,被盗刷的责任相应的也又卖家和银行承担,卖家为了避免盗刷会认真去验证签名甚至不惜砍单,银行这边简单粗暴点直接买保险。所以,国外这种无密码方式,反而是相对安全并且用起来既不方便的。
|
9
skull 2023-05-06 16:50:31 +08:00 via iPhone
安全和便利就是相悖的,只能在可接受的风险范围内做平衡
|
10
docx 2023-05-06 16:52:03 +08:00 via iPhone
从不用人脸支付和免密,就是觉得安全性大于便利性
|
11
ccc008 2023-05-06 16:52:15 +08:00
最离谱的是,这个闲鱼确认收货的漏洞,3 月份就有案例了。阿里系到现在还没修。
|
12
lakehylia 2023-05-06 16:53:40 +08:00
静态密码不安全,现在不都是用的 TOTP key 么?
|
13
sammeishi 2023-05-06 17:10:57 +08:00
你举出的这些所谓“漏洞“的例子才是发展方向。因为符合人类对效率的变态追求。
你大可以对支付加 100 层验证,但这只是你的一厢情愿罢了,你觉得用户会同意么?我买个口香糖要我输密码还要指纹还要人脸?? 至于漏洞会导致损失,这就更是娇柔想法罢了。。 出门还被车撞呢,哥。。 任何科技,任何产品,任何行为,甚至任何思想都会造成部分群体利益受损,但是这是发展必要的受损。 |
14
eudemonwind 2023-05-06 17:33:25 +08:00 via Android 1
@nothingistrue 简单概括就是,国外以人为本,顾客就是上帝,麻烦责任都留给卖家。国内,充分发扬人矿精神,麻烦责任都甩给顾客。
|
15
Ericality 2023-05-08 15:30:11 +08:00
私以为这本来就应该是这些支付公司应该做的事情
你推这个免密支付 甚至刷 XX 支付 无感支付 我都不反对 但是前提是如果出了问题 你全权负责所产生的一系列损失和追责 用户只负责关心自己的损失有没有得到赔付 而我说的上面的一系列 是(我认知中 国外信用卡的做法) 去掉后面 2 句 是国内公司的做法 所以我拒绝这些无感支付 |
16
iminto 2023-05-09 14:35:06 +08:00
|
17
liuidetmks 2023-05-09 20:08:31 +08:00
应该推广 eID ,但是公安部自己内部都玩不明白,又弄出个 ctid
|
19
icenine 2023-05-10 16:33:07 +08:00
安全-方便-廉价,这是网络安全的不可能三角,
用在日常个人资金人身安全上也基本合适 普通人脸识别支付是廉价又方便,想要安全又方便,就上贵的结构光组件 菜鸟廉价又方便,要想安全那就是多出钱请人分发监督,或者送上门 这些你看起来损失安全的其实是代价太小,可以用付出成本低廉来弥补 汽车强制系安全带、工地强制带安全帽,就是安全的代价太大,才牺牲了方便 所以,不用矫情,都是取舍而已 |