移动支付和网购等被媒体列入中国的“新四大发明”。不过,有一批人到现在还没能用上新的支付技术。就算在都开通了的人与人之间,也存在着巨大的差别。
一些人长时间不换手机,无法更新到新版软件,有些安全漏洞就难以补上。至于NFC、指纹等验证方式,就更不是所有手机都能用了。人脸识别倒是能通过软件实现,但便宜的手机,拿张照片就能蒙混过关,你又果真敢用?
另一些人因为缺钱而不够信用记录,不具备开信用卡的资格,为强行贷款消费就陷入了校园贷和P2P等的陷阱。他们被排除在现代信用社会的门外。
所以,那些手机太旧的,安全意识太差的,或者根本就掏不起钱消费的人,他们怎样才能像其他人一样,用上安全、便捷、实惠的新支付技术呢?
敬请收看本期《走进科学》——啊呸,请跟随我们一起,去新加坡的万事达卡亚太区总部寻找答案。
用户是支付安全的最薄弱环节
本月中旬,在万事达卡亚太区总部,二十余位中国记者参观了万事达卡的创新实验室,和聆听高管介绍亚太战略布局。
万事达卡亚太区联席总裁凌海指出,支付安全是万事达卡关注的重中之重。在他看来,安全是银行信任和口碑的基石,银行如有安全隐患大规模曝光,对其形象和用户信心的损害是很大的。
“以后如果网络安全领域做得不好,比如说,你在报纸上看到某某银行欺诈风险达到20%,或者有300万账户被击破,那谁还会跟这家银行做生意,谁还会把自己的钱放在这家银行?”
但是很多时候,一次安全事故的背后,银行或大型机构的责任只有一点点,最容易攻破的地方,是那些疏于防范和不及时升级设备的最终用户。
凌海指出,政府和大企业内部的安保措施一般是足够的,但是当他们必须留接口,以接入到底下的小企业的时候,那些企业就会给这个安保体系留下漏洞,由此成为一道“马其诺防线”。
之前,美国有两家大型零售超市Home Depot和Target分别被黑客入侵,最后查出的原因就是他们的应收账款系统需要和底下的中小供应商进行连接,而供应商的系统存在漏洞。
另外,随着物联网的渐进式普及,很多家庭会出于尝鲜目的购买还不是特别完善的早期物联网电器,而且很久都不更新硬件甚至固件。这些连网的电器,有些只是用了很简单的电路或芯片存储和传输信息,其安全问题会更加显著。
例如,有儿童玩具可以对家中情况24小时录音并上传,也可能通过网络跟家里的恒温器等相连,黑客入侵后,甚至可以骗取孩子的信任开门。另外,黑客攻击没有修改出厂密码的网络摄像头也屡见不鲜。
用户对自身安全措施的忽视和冷淡,细说起来令人震惊。2017年初,SplashData 公司调查了北美和西欧地区过去一年泄露的500万个密码,其中最多的是“123456”和“password”这样的密码,其中最弱的25个密码竟占所有密码采样的10%。
《时代》杂志的报道甚至指出,希拉里·克林顿竞选美国总统时的竞选团队主席约翰·波德斯塔(John Podesta),个人邮箱的密码就是“password”,因此被黑客攻陷而导致竞选机密泄露到“维基解密”网站。
所以,一些重大的安全事故背后,有时真的不是银行等机构的锅。但原因并不重要,要把这些安全隐患扼杀在萌芽状态,就不得不直面现实——用户并不都是珍惜隐私和经常更换设备的“理性人”。
“放下手机”的身份验证机制
在采访中,我们始终很关心的就是新的支付科技是否一定要依赖新的硬件。例如,刷手机过地铁需要NFC;体验万事达卡的AR网购需要依赖iOS11的ARKit。至于人脸识别,也是在苹果FaceID中安全性更高,其他家的可能用一张纸就瞒天过海。
更多用户并不会只因为手机不支持 XX Pay 就去换台新的。众多沉淀下来的老旧设备(特别是旧手机),不仅难以升级,不适应新的安全需求,更成为支付链条中的最薄弱环节。
两大主流手机系统中,Android 碎片化严重,安全更新难以通过OTA方式推送给绝大部分的国产手机;而iOS产品的生命周期不超过三年,旧设备不提供官方固件升级。
然而,登录过支付应用、网银等的旧机器,又几乎永久地保留了个人数据的碎片,它们易于被破解,却难于被消除。除了拿榔头砸烂或送到正规的手机回收站,人们都不敢随意处置它们。
凌海和万事达卡创新实验室研发部副总裁黄东浩、万事达卡亚太区预付卡业务负责人杰森·蒂姆斯(Jason Tymms)等高管都认为,不仅需要教育用户提高安全意识,更多的还需要加强服务器端安全验证,通过中间层解决用户信任问题,将新技术快速部署到尽可能多的人群中。
首先是要尽力改善基础设施以适应新技术。蒂姆斯称,在澳大利亚,万事达卡通过与政府的合力,已经让91%的POS机支持了非接触式支付(即“闪付”)。
其次是针对用户手中的旧手机,不得不采取足够安全的过渡性方案,如适应性最强的二维码支付和人脸识别,确保其眼下可以正常使用。
蒂姆斯表示,万事达卡的二维码和人脸识别技术标准足够安全。例如其技术可以在人脸上标记数据点,用算法进行验证,哪怕使用像素很低的普通摄像头,也能保障识别的准确度。
但最重要的第三点,是尽量让用户放下手机,用人本身,而不是设备或密码作为验证主体。作为一家发卡机构,万事达卡的技术演示特意强调了不用实体信用卡,不用手机,不用密码,令人印象深刻。
黄东浩和实验室团队展示了基于微信、Facebook Messenger等聊天软件进行的对话式交易。对话可以通过文本及语音进行,所以还引入了谷歌助手,软银Pepper机器人等合作伙伴,将对话购物延伸到语音交互中。
持卡人通过绑定万事通(Masterpass)电子支付账号的手机,只需要在首次使用时与机器人或音箱进行一次非接触的配对,就能够实现在餐厅或家中,通过语音的方式点单。配对并非通过蓝牙或NFC,而是使用Wi-Fi以确保兼容性。
你甚至可以用自然语言向Pepper机器人询问菜品信息,如有多少卡路里(how many calories)。这种点餐机器人明年初会在新加坡的必胜客餐厅试点。
可能有人会问,在聊天中即可完成交易,如果这个时候手机被人拿走,背着我喊出“确认”怎么办?
在谷歌助手等较新的平台当中已有声纹识别的功能,可以识别具体是谁发出的声音。但是旧平台或单纯的文字聊天界面,并不存在这种识别机制。
传统的方法是让用户拿出手机进行确认,即使是只点一个按钮。但万事达卡希望尽可能减少用户体验中断,用户在一次绑卡之后,第二次不用掏出手机就能操作。
所以,他们采取了类似卡面上的四位数字安全码(PIN)的验证方式,跟用户事先约定暗号,例如一种喜欢的颜色,或喜欢的物品。然后,用户必须在口头发出交易指令后的很短时间内,就点击颜色或图标完成验证。
这种简单但有效的验证,确保了向下兼容,再老的设备也可以使用。基于此,万事达卡与通用汽车合作,将电子钱包放到了全美500万辆车里,将30%的车载系统绑卡量提升到70%-80%以上。仅需一次手机配对绑卡,司机便可寻找最近油站加油,全程无需掏出卡片、钱包或者手机。
面向还没有卡的那 80%
与手机的新旧相比,在手机背后的人更值得注意。
凌海说:
“把市场上的所有支付工具加起来,只占全球零售交易额的20%,(剩下)80%还是现金交易。很多人老是觉得这20%之中我们争来夺去,其实不是这样,我们一起开发那80%,对整个行业来说是更加有利的。”
自然,谁都知道要抢夺那80%。但这些甚至不用银行户头的现金交易,同时意味着没有完整的信用记录,对这些人的信息收集是一片空白,若向其开放额度,则还款根本没有保证。
有信用者不用支付宝”,该文尽管没有理解内地移动支付的一些基本概念,但其提出了一个真实的问题——芝麻信用、小贷平台等未接入或部分接入国家征信体系的“信用”机制,实际上是“不算数”的。
例如,芝麻信用分的计算不透明,除了真正算钱的“花呗”以外,还要加上人脉关系、学校、工作单位等证据。问题是,我认识很多有钱人,就一定意味着能按时还钱吗?这当中不存在必然的联系。
对于一般发卡机构和银行来说,衡量信用只有“消费——还钱”一种方式,不能同真正的金钱往来挂钩的“信用”都是不能当真的。
因此在香港等地,专门用来“欺骗”银行的所谓“卡数一笔清”类贷款遍地横行。在国内,则体现为校园贷等不规范的信用体系外借贷,但“拆东墙补西墙”是它们共同的本质。
要想解决贫困人口累计信用的问题,不妨从最为赤贫的接受援助者开始。万事达卡提供的慈善援助系统“万事达卡援助网络”,是由新加坡实验室团队全程开发,并且公司由此入选《财富》杂志“改变世界的50大公司”。
这种援助系统不使用现金券,转账,或实物作为交换介质。慈善机构采购智能卡,分发到每一个需要援助的人手上,并在物资分配点设立终端。随后为每张智能卡分配点数,受益人持卡在指定商户“刷卡”就可以取货。
这相当于建设了一个只有慈善组织内部流通的小型“银行”。就算是在没有电信基础设施的情况下,这个网络也能实现人道主义援助的分配。官方数据显示,“万事达卡援助网络”在全球发行11万多张智能卡,有将近55万人受益。
如上所述,贫困人士没有足够的钱消费,找不到合适的个人信用场景。而以“万事达卡援助网络”为代表的系统,则体现出为这些人积累信用的主要办法——即使不涉及金钱,任何社会活动也都必须数字化记录。其好处显而易见:降低了慈善机构人为记账和分发当中的失误,并且提升了公益的透明度。
无限延伸的“卡片”
实现“普惠金融”是万事达卡的社会责任的一部分,但也同时为它的其他业务带来了解决思路。在机构内部建立“虚拟银行”,通过“发卡”的隐喻来润滑企业内部记账流程,就是万事达卡的另一项商业化产品。
万事达卡为企业提供一套 B2B 贸易支付系统,其中可将发票和相关票据数码化,并动态管理,减少纸质发票和供应商资料的存储成本。在电子发票和票据数码化之后,随即根据每个事项分发一张“虚拟卡”,任何该事项产生的票据都会“粘贴”在“虚拟卡”上,直到入账流程完全结束。
实体的塑料卡片未来会用到的机会越来越少,但万事达卡的“卡片”概念,却通过各方面的应用和无限延伸而存留下来。所以,尽管因为牌照久拖不决,万事达卡迟迟未能在中国大陆全面开展业务,凌海对在华业务的未来还是充满信心。
凌海表示,万事达卡已在与中国的银行和第三方支付工具合作,主要针对解决支付场景的“痛点”,并且有专门的团队为入华做准备。
凌海表示很有信心面对阿里和腾讯占主导的中国移动支付市场。他认为,万事达卡要成功就必须推出对中国用户来说,就像iPhone、Netflix一样具有颠覆性体验的产品。另外,作为发卡机构,万事达卡只靠自己一家的力量是不够的,一定要坚持和银行、第三方平台的合作。
一个实际情况是,虽然支付宝和微信支付当前在国内的地位很稳固,但是到了国际市场上,两者的优势实在不是特别明显,其覆盖甚至难以跟银联卡相比。
虽然我几乎每天都能在邮箱收到支付宝勤勤恳恳攻城拔寨的新闻稿,说今天又拿下了国外某大超市,可是加装二维码识别,比让POS机多支持一种卡片,还是困难得多。
在全球范围来看,万事达卡能提供的覆盖,更像支付宝和微信在国内能做到的。一旦全面入华,万事达卡在世界所有其他地方推广的新科技,都可以在中国的商户享受到,而且不需要持卡人进行操作习惯上的更改。
所以,凌海提出,“我相信现在在全球来讲,还没有一家公司是有万事达卡那样(全面)的对支付场景的覆盖,不管是线上、线下的,还是国内、国外的。”此时在台下的记者中,并没有人感到惊讶。
可以相信的是,万事达卡如果在中国获准全面开展业务,自然会首先稳定住中国当下的已有持卡人群,和将要成为持卡用户的,国际化、高信用的新兴中产阶级,这将是他们最大的基本盘。
而在国外提供不输给国内移动支付般的便捷应用,将会成为征服基本盘的最好武器。
【媒体作者:lishuhang,新浪微博 @lishuhang ,微信搜索:航通社】