身份确认是网上支付安全的薄弱环节

　　网上支付已经成为重要的支付手段之一。以网上银行为例，几年来网上支付取得了飞速的发展。 2005年工商银行网上的数据，企业交易额是206870亿元，网上笔数是3486万笔，个人网上支付交易额已经突破了2351亿元，个人交易笔数比企业还多，半年是3683万笔。比较而言，网上银行发展速度非常快。

　　安全第一

　　中国金融认证中心联合各商业银行进行了“2005CFCA网上银行调查”，调查结果把所有个人分为三个不同的对象：一个是不可能用户（一年之内不会使用网上支付），二是现有用户（正在使用），三是潜在用户（在未来一年中想用）。目前现有用户是 19.4 ％，潜在用户是 35.7 ％，不可能用户是 44.8 ％。

　　据调查，个人用户使用网上银行业务集中在网上支付的占 71 ％。潜在用户（在一年之内选择网上银行）考虑最主要的因素是安全，高达 68.7 ％的用户表示考虑安全性，其次是考虑服务、信誉、操作性。不可能用户 75.4 ％的人认为未来一年或者更长的时间不用是因为网上安全问题。网络支付的公司要吸引更多的客户，一定要告诉客户让他放心，让他感觉到用这个渠道是安全的。

　　现有用户和潜在用户比较，主要考虑的因素是操作的方便性，现有用户有 85.1 ％很关心；对安全性问题，潜在用户有91.1 ％很关心。

　　网上支付是安全的，也可以说是不安全的。现有的理论和实践都证明现有技术手段完全可以保证网上支付的信息安全。基于数字证书的安全在理论上是非常安全的，实践上，在工行 2250 万亿元的交易中，银行没有发生一例问题，国际上也同样，到目前为止，没有因为安全机制出问题而发生安全的问题。当然，网上支付还存在着大量安全问题，各类事件时有发生，比如说钓鱼、木马程序盗取密码的问题。

　　网上支付认证手段分析表明，身份确认是信息安全的薄弱环节，银行的数据表明支付否认是发生交易争议的主要原因。通常认证手段有几种，一是用户名和密码，用户名和密码是不安全的，特别是在网上非常容易出安全故障的。二是动态密码，一种有源动态密码，本身在客户手里随机动态产生获得身份认证码或者叫交易授权，有一种无源动态码，动态密码只是一种认证的辅助手段，没有丝毫身份信息，同时动态密码、有源动态密码价格比较昂贵，一般个人用得很少。无源动态密码现在越来越多地开始用起来，在电子商务网站或者游戏网站都用。无源动态密码最早是在欧洲开始用的，欧洲银行用得比较多，无源动态密码TAN叫个人身份码或者交易授权码，这种机构对钓鱼攻击是没有防范能力的。第三，多因子的认证。第四，证书认证。最安全是证书认证，而且也是很方便的。

　　数字证书应由权威、公正的第三方机构颁发，这是国家相关法律法规要求和倡导的。只有独立于银行、用户的“第三方”，才能保证交易的公证性，更好地维护大众的权益。金融领域唯一一家获得国家法律认可的第三方数字证书发放机构就是中国金融认证中心，简称CFCA。目前国内30多家银行都采用了CFCA的数字证书。同时，CFCA也是唯一一家向网上银行用户提供赔付承诺的认证机构。如果由于CFCA数字证书的原因给用户带来损失，CFCA承诺提供人民币2万～80万元的赔偿。

　　标准的统一

　　网上支付信息安全环节很多，基本的模式是在网站进行选择，通过重定向技术和支付机构做一个安全通道的相连。商户要在网上做电子商务业务，用户要在网上进行电子支付，通过这个支付平台和多家银行相连，每一家银行的平台都不一样，网上银行支付平台最好标准化、规范化。国家监管部门已经注意到规范支付平台标准化、规范化商务问题。

　　如果说要在三四年内完全实现安全网上支付，国外的经验可以借鉴。美国的 VISA 卡商户可以不必考虑信用卡是哪个银行发行的，只要统一使用一个插件，就可以进行网上支付。在我国，目前的情况是，网络支付需要让几十个银行提供插件，或者与几十个银行相连。目前，国家银联也在做这方面的工作，将来有望让网上支付的网民、网上电子商城、网上电子商务有一个统一的平台，以推动网上支付的发展。