10分钟让你明白快捷支付各种鉴权方式及风险

引言

快捷支付从出现到如今和日常息息相关，无论线下线上都已深深的融入我们的生活，小到零食饮料，大到理财都可以使用快捷支付完成，快捷支付方便快捷的特点让其应用越来越广泛。但是，站在一个互联网金融安全工作者的角度来看，快捷支付已经成为盗刷、薅羊毛等恶意攻击的重要手段之一，那么今天我们用3000多字一起来简单讨论下快捷支付的鉴权及其潜在的风险。

快捷支付

首先我们来看下快捷支付是什么，百度百科上的定义为：

“快捷支付指用户购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户手机号上，用户输入正确的手机动态口令，即可完成支付。”

提到快捷支付我们再看看和它很相似的另一种支付方式，那就是代扣，银行代扣接口是银行开放给第三方机构的接口，用户只要一次性签约，第三方机构就可以将资金从用户的签约银行账户里划走，对于接银行代扣接口的第三方机构的资质要求是非常高的，必须具备非常高的信用。一般这种接口会开放给水电公司，用于用户缴纳每个月的水费，电费，家庭网费等。

快捷支付和代扣实际上并不存在特别大的差异，要说差异就是对接的商户类型有差异，实际上都是客户、商户、银行三方的签约，签约成功之后商户可以从客户签约的银行中将钱划走。代扣是一次授权+免授权支付，快捷支付是一次授权+次次授权，这里的次次授权怎么理解呢？举个例子，用户在第三方支付平台绑定了某张银行卡，这是一次鉴权。进行支付时用户还是需要输入银行预留手机号（注意这里的手机号并非在第三方支付平台的注册手机号）收到的短信验证码，但是不需要输入个人以及银行卡信息，因为第三方支付平台后台已有用户相关信息，待第三方支付平台短信验证码验证通过之后，会将四要素上送到发卡行进行鉴权，鉴权通过之后进行支付，这是次次鉴权，用户无感知。

绑卡鉴权

好了，科普到此结束，回归我们今天的重点，至于上述科普是否正确，我们不要在意这些细节，我们只需要关注怎样才能发起快捷支付，完成快捷支付的鉴权方式具体风险有哪些就OK，从上述一段文字我们可以发现发起快捷支付只需提供银行卡卡号、姓名、身份证号、手机号、手机短信验证码即可。那么站在用户侧，我们用户体验的快捷支付是怎样的呢，我们拿一个常用的第三方支付产品来体验，看下发起快捷支付对于用户来说需要做什么。

如下图：