详解支付宝交易背后的安全策略

作为和钱打交道的工具，最最重要的事儿，就是保障账户资金安全。支付宝最近专门在总部组织了一次媒体沟通会，详细解释了支付宝背后的安全策略。

目前支付宝有8.5亿注册账号，每天3000万笔交易。支付宝负责安全的团队400人，1132台服务器支持，每天分析超过2.4亿账户行为。

据其提供的数据，支付宝支付出现资损的概率是1/10万，Paypal是0.3%，国际卡在线支付是1%。

通常在线上支付，风险主要包括以下几种：虚假仿冒网站64%，账户或密码被盗19%，木马及病毒11%，用户自身信息泄露8%。

而要保障一个支付行为安全，有五道门槛：

1、终端环境保护，即本身上网的环境是要安全的。电脑/手机没有中木马，没有钓鱼网站等等，这块需要和银行、安全厂商、浏览器厂商等共同联动，网民自身也要有良好的上网行为习惯。

之前曾出现过因为中木马引发账户资损的事件，支付宝第一时间将该木马提交给安全厂商，提醒网民进行查杀。

2、用户认证，通过和公安、银行联网，来进行用户身份的比对，确认账户确实是用户本人开设。

3、隐私保护，是指对用户账户和交易等隐私信息的保护。支付宝内部开设信息安全部，负责对用户隐私信息保护，包括信息分级、加密存储等。

4、账户保护，包括数字证书、动态口令等措施。

5、交易保护，在交易过程中，支付宝有一套实时风险监控系统，对每一笔交易进行过滤，异常行为会被拦截下来，要求用户做二次验证，甚至人工干预。

这套过滤会在150毫秒之内完成，如果是正常的交易，不会被用户感知到。

这里是重点，多说两句。什么样的交易会被判断为异常交易？这依赖于支付宝背后积累的用户交易行为数据，包括用户地点、IP、所购买商品、送货地址等等。

举个小例子，比如你的账户在北京登录，10分钟之后又在上海登录，按照常理，你个人不可能在10分钟之内从北京到上海（但也可能你把账户给朋友使用），所以该交易可能存在问题，需要用户再次进行身份验证来排除风险。当遇到高风险的交易时，支付宝也会通过电话等方式与用户直接沟通。

当然这种过滤也不可能做到100%零风险，也会有漏网之鱼，支付宝给出的最后一道措施是赔付，引入保险公司对有资金账户损失的用户进行全额赔付。

关于实时风险监控，具体可参见下面这张图。

————————

PS：动点科技微信公众账号，请扫描下面的二维码或搜索"动点科技"、"technode”。我们会每天精选创业文章与大家分享，也欢迎通过微信平台交流。

另，希望获得报道的团队，可邮件[email protected]，介绍你们的产品和团队，并留下联系方式，我们的编辑会尽快跟你们联系。对了，我们的报道不收费。