一位网络安全人士指出,“刷卡支付只有安全程度之分,也就是风险的高低,没有绝对的安全不安全。”
9月14日晚,微信支付低调地在“钱包”模块中增加“刷卡”功能,支付方式由被叫停的主动扫码变为商户“反扫”模式。
技术不难,但便捷性和安全性二者间的平衡,将直接决定使用者对新支付方式的认同。
安全性是用户最大的要求,便捷性则要求使用场景的扩大,增加“刷卡”频率,进而培养用户习惯。
技术实现难度不大
在业内人士看来,“反扫模式的技术实现难度很低的,搭建成本也下来了。”
理财周报记者走进9家试点商户中的天虹商场,购买120元的生活用品,买单时也尝试了一把微信“刷卡”。
打开微信钱包,点击刷卡功能,出示条形码、二维码,收银员在扫码枪中输入120元,扫描向商户展示的二维码及条形码,快速扫描后,便从微信零钱包中扣去120元,整个过程相较现金或信用卡支付要更为快捷。
一次微信“刷卡”的成功完成,需要几个前提条件:一是微信版本的升级及刷卡功能的开通;二是商户拥有此功能及扫码枪的使用。
微信更新到5.4后用户即可开通刷卡功能,已经添加银行卡的用户在微信钱包中点击“刷卡”—确认“使用”—输入“支付密码”即可自行开通,未添加银行卡用户则需先添加银行卡才可使用。
微信用户开通刷卡功能后,目前在天虹商场、国大药房等九家合作商户中购物、支付时,打开微信进入“钱包”,点击“刷卡”出示条形码、二维码,商家使用带扫码功能的扫码枪扫描后,即可完成刷卡支付。
为了资金安全,条形码和二维码会每分钟自动更新一次,用户也可手动滑屏刷新,刷卡功能同时支持切换“零钱和已绑定的储蓄卡”进行支付,300元以下不需要输入支付密码,暂时不支持信用卡。
据腾讯内部技术人员透露,“商户要拥有此项服务,可以向微信申请支付接口自行完成开发,但除目前的9家合作商户外,暂时还未完全开放其他商户申请。”
微信刷卡适合满足超市、便利店小额支付需求,原有的扫码设备在完成升级,加入微信提供的接口后,能够识别出微信的二维码、条形码,实现支付。
“可能一段时间后,可以实现扫码后自动推荐关注商户的公众号,或许还可以像招行信用卡一样,支付完成后,商户公众号可以自动显示所购物品及此前的购物记录,还可以通过公众号实现对客户关系的管理,这些技术都不难。”上述技术人员这样说到。
安全是第一要素
可能是传统因素影响,消费者对一项新产品最关心的就是安全问题。
此前的主读模式被央行叫停,一方面原因是商品的二维码有嵌入手机病毒的可能,另一方面则是银行卡、识别设备结合在一部手机上的支付方式挑战了风控规则,被央行从风控角度叫停。
那此次“刷卡”功能安全性如何呢?
一位网络安全人士首先对理财周报记者指出,“刷卡支付只有安全程度之分,也就是风险的高低,没有绝对的安全不安全。”
任何一种支付方式都是有风险的,关键是看“有心者”获得收益能不能覆盖破解成本。
此前的主读支付,用户对于二维码的生成是不能辨别、干预的,这种支付方式就存在极大安全隐患,因为商户提供的二维码很容易被低成本植入病毒。
而现在的反扫模式,二维码及条形码由用户手机自行生成,每分钟自动更新一次,用户也可手动滑屏刷新,扫码设备也由微信提供升级,整体的风险可控性较此前好了很多。
对用户来说,现在主流的攻击方法主要有:钓鱼、木马、中间人攻击、盗号、重放攻击等等,前三种攻击在反扫模式下通过微信APP是很难实现的,前提是微信APP本身下载时未携带任何病毒。
盗号攻击更多的出现在手机丢失后被盗刷,微信也对此做出技术限定:每笔订单小于300元消费免密,但每天只有10次免密次数;若系统检测到交易存在风险,就需要输入支付密码验证,所以手机遗失后及时挂失手机卡并登录微信就可以减少损失。重放攻击则受二维码、条形码的频繁变动,增加了攻击难度。
而从商户端的安全来说,商户扫码后,用户所支付的钱还需要T+7个工作日才能离开财付通进入商户账户,一定程度上降低了风险。
“技术手段的安全性、业务流程的安全性都有一定保证。总体而言,这种反扫模式还是相对比较安全的。”该网络安全人士对理财周报记者总结道。
使用场景需要扩大
便捷和安全,是用户对支付手段的两个核心关注点,但这两者本质上是有冲突的,不可能两者都兼顾。
便捷一方面要求快捷,一方面还要求方便,也就是能够经常使用,如果单单是目前的9家合作商户,是不足以让用户消费行为习惯得到改变的。微信需要扩大使用场景,提高“刷卡”频率,进而培养用户习惯。
对于移动支付企业来说,谁能先改变用户习惯,并形成黏性,谁就可以占据更高的市场份额。
与支付宝钱包相比,微信天然缺乏电商基因,在商户管理体系的建立方面存在弱势。
所以微信首先需要开放微信刷卡接口的申请,商户能自行完成“刷卡”与原有支付系统的升级对接,此前微信已取消微信小店的2万元保证金,如果能配合及时、大面积的地推,微信刷卡支付或许可以开始普及。
其次,和支付宝钱包的线下推广类似,在推广阶段是不能盈利的,甚至还要倒贴,“先跑马圈地,再精耕细作”,一名支付宝内部员工这样总结。
第三,微信天然的社交基因能起到信息传播的作用,如果微信能够帮助商户通过公众号平台做线上推广,反过来将对微信在商户中的植入起到极大作用。
商户端的开发是国内移动支付行业的普遍性问题,微信有何妙招,值得期待。
国内某移动支付及安全领域解决方案提供商CEO对理财周报记者直言,“场景是很多支付公司可能会忽略或不太重视的,因为改造成本比较高,要让大家把习惯的现金结算、刷卡结算改变成微信刷卡支付,这种用户习惯的改变,还是很困难的。”
事实上,微信此次试点9家商户,也是为测试商户端及各方反应,后续再根据运营情况全面铺开。
对民众来说,这当然是一件好事,人们多了一种支付方式,商家也多了一种收款方式。但对微信来说,社交基因与电商基因的平衡必须要把控,毕竟微信的社交功能才是用户主要运用点。