本文共字，预计阅读时间。

最近针对消费金融的网络犯罪报道了很多，比如《盗刷帝国：黑产涌入消费金融，刀口舔血月入百万》、《京东白条多地频现盗刷 消费者遭催收公司“逼债”》、《警方破获网络犯罪团伙“午夜幽灵” 窃取资金20余万》等。

由于个人信息泄露严重，黑色产业链通过整合各个渠道泄露的用户信息，就像完成一幅拼图般，精心拼凑出个人完整信息，掌握姓名、身份证号、银行卡号、手机号等关键信息，然后通过招数百变地专营各种漏洞，配合新式设备，各种手段获得网络消费金融平台的密码和短信验证码，最终进行盗刷。盗刷后很多用户进行了申诉、在网络上组织了盗刷维权群、甚至到公安局报案、有些获得了派出所开具的立案通知书，但绝大部分公安局也找不到幕后真凶。网络消费金融平台也难以判断消费行为到底是被黑客盗刷还是用户自己消费了不认账。

所以，消费金融防盗刷及防抵赖，非常重要。

网络消费金融平台基本都是采用密码+短信验证码的方式。密码设置及使用都很方便，但有很大局限性，一是客户的风险意识不强，无意识地泄露了自己的账户信息和交易密码；二是此种方式容易被恶意偷窥、木马窃取等方式盗用；三是“拖库”， 入侵某些平台，从后台将整个用户信息数据库拖出来，通过收集各个平台的用户信息数据库，黑色产业链上已经形成很多“社工库”，轻易查询某账户曾经用过的其他密码，“人类设计密码是有缺陷的，大部分人最多只有4个常用密码，一旦超过4个，就经常记混”。短信验证码来验证是否为用户本人的操作，具有一定的防抵赖性，一般有两种攻击手段：一是修改“绑定的手机号”， 钻营各大平台的风控漏洞，不停试探修改手机号的底线；二是“劫持短信”，通过木马和伪基站，人民银行2016年3月正式下发《金融业信息安全风险提示》风险提示表明，提示手机验证码短信被黑客拦截的手段、风险和后果。

显然，目前环境下，网络消费金融平台凭密码+短信验证码的方式难以防盗刷，也难以防抵赖。

而安全性极高又能防抵赖的工具就在我们身边，很多人手里都不只一个：我们到各商业银行开通网银特别是专业版网银时，一般都会被推荐办理一个类似U盘的东西，不同银行对其的命名各异，如usbkey、Ukey、优K、K宝、U盾、网银盾等，可以统称为key。Key由两部分构成：一是具有密码验证功能、可靠高速的小型存储设备；二是数字证书。两部分互相配合使用，凭借只有用户掌握的密码才能使用key存储的数字证书进行签名，这部分安全性非常高，目前还没有被攻破的案例；用数字证书签名后，公钥可以验证，用户无法抵赖，适用于《中华人民共和国电子签名法》。

随处可见的银行ukey具有防盗刷防抵赖的能力，是否可以应用在网络消费金融平台？就这个问题，山东大学网络信息安全研究所孔凡玉副教授介绍表示：数字证书是在PKI体系框架下公钥的表现形式，可以公开，但私钥必须保密，银行、税务、政府部门等发放的key内私钥不能导出，我们只要获得相应的公钥，完全可以应用到别的行业，实现key共享。

银行key需要客户到各银行分支机构亲自办理，不支持代办，客户需要经过严格的身份认证资料审核、面签等过程，才能取得银行key。可见银行key发放过程非常严格，和身份是严格对应的，网络消费金融平台不必担心身份的真实性问题。

用户在网络消费金融平台注册时，在原来需要的身份证、银行卡等材料的基础上再增加一个银行key。用户消费时，特别是大额消费时，要连接本人银行key并输入只有其本人掌握的银行key密码才能获取数字签名，草船借箭式解决防盗刷及防抵赖问题。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。