转贴 “签名？还是密码？”


密码和签名是xxx支付认证的两个基本手段，在我国近5亿张xxx中，95％以上都是以密码认证的借记卡和准贷记卡，没有任何一个国家象我国这样普及密码验证，而最近关于工商银行、招商银行的签名贷记卡，业界众说纷纭。围绕“该不该放弃密码认证？”“为什么要放弃密码认证？”这些问题，笔者走访了中国工商银行牡丹卡中心的彭建寅副总裁，就密码认证的利弊进行探讨，现将有关观点整理成文，供业界同仁参考。

密码真的安全吗？
什么是密码？一组数字只有在不为人知的情况下才是密码。换一句话说，密码之所以可以有保密的作用是因为既不可以到处说，也不可以到处写――不管以什么样的方式写。
密码借记卡（信用卡）要求持卡人在每一次支付时必须在密码键盘上输入自己的密码，来完成身份验证，而这种验证方法实际上就是在商店、餐馆、超市等各种公共场合“写”一次密码。“写”的次数越多，泄密的几率就越大。
在ATM(自动取款机)以及金融机构的储蓄柜台旁，“保持距离”是基本的行为规范，无论出于尊重他人隐私的礼节意识，还是保护自身隐私的安全意识。但商店的收银柜台就大不一样，这里既没有“保持距离”的物理空间，也没有“保持距离”的心理意识，在售货员和其他顾客的众目睽睽之下，输入你的个人确认数码，无异于公开书写一次密码，更有甚者，在酒店用餐完毕结账时，你把卡交给服务员以后，几分钟后，他（她）把POS的密码键盘拿到你跟前，请你输入密码。笔者曾经观察过，在酒店包房里用餐后结账，xxx离开持卡人的视线至少5－7分钟，最长达15分钟，在这么长的一个时段里，卡和使用卡的“密码”都交给一个素不相识的服务员，几个人有曾忧虑过其中的安全隐患！
在公共场合，使用密码的过程往往也就是泄密的过程，密码使用的频率越高，泄密的几率就越大。这就是“密码”不“密”的原因所在。

签名卡比密码卡xxx？
当然密码验证作为中国xxx的“独门暗器”，也不是一无所能，它能有效防止遗失卡的冒用风险。
在此我们大致估算一下xxx遗失后被人冒用的风险概率。
根据VISA对最近两年外卡收单市场欺诈率的实证统计，遗失xxx的平均概率为0.038％，即由于遗失卡而导致的欺诈损失率不到万分之四，如果遗失卡所有的消费都以密码认证为前提，那么该卡被盗用的概率接近于零。把不到万分之四的风险概率降低到零，这是密码验证的作用所在。
与此同时，在所有的支付终端上使用密码带来的失密风险也不可小觑。我国目前有28.6万台POS，4.8万台ATM，在数量上，前者是后者的6倍，假设每一台终端的失密概率是一样的，那么在所有的POS终端使用密码和只在ATM上使用密码相比，xxx密码被窃取的概率将提高6倍，更何况ATM属于银行可控制的终端，可以根据需要随时调整风险管理和监控措施，而大量分布在商户及其他消费场所的POS终端的风险管理则不在金融机构掌控之中，xxx密码信息被xx的概率大大高于ATM。
根据VISA的{zx1}实证统计，在所有xxx欺诈损失中，伪卡损失占68.94％，而遗失卡被盗用所造成的损失仅占9.57％ ，可见，滥用密码导致伪卡欺诈的概率成倍增长对整个xxx产业带来的潜在威胁远远大于遗失卡被盗用的损失。
因此，从某种意义上说，在一般性消费场所使用签名认证比使用密码认证更有利于降低xxx的总体欺诈风险。“签名卡比密码卡xxx！”

签名卡未必没有密码
所谓的“签名卡”只是持卡人在一般商户消费时，不用在POS终端输入个人密码，通过减少密码的使用频率降低失密风险，并体现对持卡人的信任和尊重，并不等于xxx本身没有设置密码，如果持卡人在银行柜台或ATM提现，还是需要通过密码认证的，在珠宝、首饰等销售易变现商品的商户，xx行通常都有高额消费授权制度，通过密码认证或其他措施来降低欺诈风险。
可见，签名卡和密码卡在安xx能方面各有利弊。选择签名认证还是选择密码认证是xx行自身的客户定位和产品定位问题。
笔者认为，签名卡和密码卡{zd0}的争议，说到底是如何保障持卡人的资金安全问题，有些xx机构选择了辅导持卡人如何保管卡和密码，而另一些xx机构则在系统设置上下功夫，通过严密的安全监控措施来{zd0}限度降低欺诈风险。这只是经营理念的差别，怎么选择都无可厚非。
--------------------------------------------------------------------
[quote]hq1997 于 2007-7-11 08:50 写道：
与此同时，在所有的支付终端上使用密码带来的失密风险也不可小觑。我国目前有28.6万台POS，4.8万台ATM，在数量上，前者是后者的6倍，假设每一台终端的失密概率是一样的，那么在所有的POS终端使用密码和只在ATM上使用密码相比，xxx密码被窃取的概率将提高6倍，更何况ATM属于银行可控制的终端，可以根据需要随时调整风险管理和监控措施，而大量分布在商户及其他消费场所的POS终端的风险管理则不在金融机构掌控之中，xxx密码信息被xx的概率大大高于ATM。[/quote]

写的好！
加分！
--------------------------------------------------------------------
观念的转变需要时间，使用借记卡和准贷记卡的人还是有很多的。
加分！
--------------------------------------------------------------------


QUOTE:hq1997 于 2007-7-11 08:50 AM 写道：
密码和签名是xxx支付认证的两个基本手段，在我国近5亿张xxx中，95％以上都是以密码认证的借记卡和准贷记卡，没有任何一个国家象我国这样普及密码验证，而最近关于工商银行、招商银行的签名贷记卡，业界众说 ... 写得很好，加分！
　　不过我想风险概率好像不是这样算的。密码被盗只有在卡同时也被盗的时候才会出现风险（主要针对最普遍的商场用卡），而如果没有密码的话好像只要卡被盗风险就会出来了。
--------------------------------------------------------------------


QUOTE:淋风间 于 2007-7-11 09:33 写道：
写得很好，加分！
　　不过我想风险概率好像不是这样算的。密码被盗只有在卡同时也被盗的时候才会出现风险（主要针对最普遍的商场用卡），而如果没有密码的话好像只要卡被盗风险就会出来了。 但据说磁条卡的伪造是很容易的，此时密码卡和签名卡的责任就不同了：
银行章程合约里一般都规定凡是使用密码的交易都视同持卡人本人所为，言外之意银行就无需承担任何责任；即使法院不认可该免责条款，在最终责任认定方面也是各打五xx板，因为银行未能有效防范伪卡固然存在过错，持卡人丢失密码也不能说没有过错，损失则由双方共同担当。
签名卡伪卡损失在国外一般都是由银行承担，在法理上也理应如此，银行则通过保险将损失转嫁。国内的情况因不了解就不敢发言了，好像是缺乏相关规定，这时能否直接适用民法通则、合同法来确定责任归属值得探讨。
--------------------------------------------------------------------
银行其实没有密码卡和签名卡之分，而是商户和银行是凭密码还是凭签名受理而已。大部分情况下在受理时都要持卡人签字（国外有些自助无人终端不需签名），不过有的时候是在交易过程中必须输入密码来完成交易。
密码和签名只是银行在制定审核一笔信用卡交易正常完成的合法性的一个标准。由于卡的功能和产品不一样，银行的风险政策不一样而造成有的卡、有的行在交易是要使用密码，有的签名即可。
国外借记卡在POS和手工压单交易中也不必输密码，不同于国内借记卡，而国外的另外的产品比如PLUS卡只能用于取现，因此笔笔交易要输密码。
是否应该使用密码重说纷纭，毕竟和国内过分注重安全的国情分不开，广大用户的风险偏好不同选择必然不同。不过使用密码确实会加强交易的安全性，不论怎么讨论是否会出现丢失密码，密码的作用显而易见。但为什么国际上仍有不使用消费密码的信用卡呢？主要是使用密码对银行系统和国际组织系统的要求较高，而且造成操作比较复杂，对POS的要求也较高，持卡人忘记密码就无法消费等待，因此各个xx行都通过评估风险仍然发行不使用密码的信用卡。
但是，随着风险越来越高，假卡集团的手段越来越多，很多持卡人同流合污，为了进一步加强风险防范，国际组织已经着手推广芯片卡，亚太区在2007年1月1日起对亚太区的风险保护转向保护xx行。因此可见为了防范风险，各项尝试和各种手段都在不断的实验中，相信会有最经济和xxx的方法在不久的将来得到推广。
--------------------------------------------------------------------


QUOTE:sqh000 于 2007-7-11 10:31 写道：
银行其实没有密码卡和签名卡之分，而是商户和银行是凭密码还是凭签名受理而已。大部分情况下在受理时都要持卡人签字（国外有些自助无人终端不需签名），不过有的时候是在交易过程中必须输入密码来完成交易。
密码 ... 那是走入了将风险技术化的误区。