近几年来,随着移动互联网的不断发展,以“共享经济”模式兴起的各种平台渐渐红火起来,其中如打车软件滴滴,Uber便是行业中的佼佼者,它们极大地改变了人们的出行方式。“共享经济”以互联网为媒介,通过合理配置和利用社会的闲置资源,实现利益的最大化。现在人们出门的第一件事情,就是拿起手机,点开滴滴叫车,享受专车服务,不用再担心打车难问题。
但问题也随之而来:移动支付是否安全?如何保证乘客(特别是女生)的人身安全?用户的隐私信息是否会泄露?
说起移动支付安全,本人最近就遇到了uber绑定的支付宝账号被盗刷的事。
2016年6月23日晚,手机突然收到了一条支付宝扣款信息:
看到这条信息时,心里一惊,我已经很久没用uber打车了,而且今天一直在公司加班,为什么会被扣款呢?很快,程序猿的本能告诉我:用户密码肯定给盗了。于是马上登录uber的官网,发现界面一直提示密码错误。重置密码,登录成功后发现,6月23号真的有一单叫车服务,行程图如下所示。
由图可看出,时间地点显示在2016年6月23日北京市,而本人最后一次乘坐的时间地点是2015年9月1日深圳市,很明显,该盗贼人在北京。
于是打电话给支付宝客服,沟通后得到了uber的客服邮箱support@uber.com。发了申诉邮件,过了几天,给盗号扣的款项也给退回来了。
以上便是本人uber账号给盗刷的详情。虽然扣款已经退回来了,但如果这次给盗刷的车款不是71.4元,而是71400元,那该怎么办?免密支付出现盗刷的概率一般很小,但它并不是一个程序的bug说改改就好,这会对用户的资金安全造成极大的损害。
那免密支付到底是什么?
所谓免密支付,从字面上理解就是不用密码就可以支付,其中过程只需点击支付按钮(或扫描二维码),系统就会自动完成扣款,用户不用再输入密码、指纹或者眼膜验证就可以完成交易。从结算到支付,只需花几秒钟时间,这大大地缩短交易的时间,也不用物理货币去交易。
那是否就是说,只要别人知道你的用户名和密码,就可以直接登录客户端,然后就可以打车支付了呢?
是的,现实就是这样,这确实存在很大的安全隐患。免密支付有利有弊,我们能做的,就是在这基础上,针对它的弊端,最大限度地去改进安全策略,提高支付安全性。
所以,我想给Uber提几点建议。
1、是否可以只开通小额免密支付?
免密支付的金额不能无限大,应设置限额。如免密支付的限额500元,即是费用小于500,免密支付;大于500,密码验证支付。这样即使账号给盗了,别人也不能一次支付超过500元的车款,减少损失,同时也给我们时间做一些补救工作。
2、针对不同登录方式,是否需要设备管理验证?
- 不同设备登录
使用不同的手机登录时,应使用邮箱,手机动态密码进行验证,绑定该手机到可支付设备列表中。
- 异地登录
手机不像PC一样通过IP地址定位,但可以通过卫星定位,一旦发现是异地登录,也要通过手机动态密码,邮箱重新登录验证。
3、密码输入是否可以提供自己的键盘控件?
针对盗号问题,可以像招商银行安全输入一样,提供自己的键盘控件,对输入的数字进行加密存储,防止手机病毒木马通过系统键盘获取账号信息。
同时应强迫用户的密码应该由数字、字母、大写和特殊字符构成,防止密码撞库和穷举。
4、是否可以完善支付流程?
我觉得滴滴打车的微信支付流程就非常棒,可以参考一下。流程图如下:
点击支付按钮→跳转微信app→确认支付→弹出支付卡片(信用卡,储蓄卡和零钱等)→指纹(支付密码)验证→支付成功→支付信息反馈。
随着技术的进步,指纹或者眼膜的验证水平会得到不断地提高,从而移动支付也会越来越安全。
5、是否可以很快通过uber客户端获取客服帮助?
出现盗刷问题时,我的第一反应就是打电话给支付宝,询问怎样才能联系上Uber。而Uber只提供一个客服邮箱(外国人的沟通方式?),着实让我感觉投诉无门,有种被骗的无奈感。而且客户端不能很好的找到客服热线,到处都只看到成为优步车主的广告,实在无语。滴滴客服就做的好一点,专门有一个客服通道,客服MM/GG都有头像,感觉好多了。
6、是否要入乡随俗?
uber是国外的公司,进入中国的市场,需要入乡随俗;无论原来的app做的多好多简洁,也要适应中国人的风俗习惯,提高用户体验。
例如中国的节日端午节,每个车的图标就可以变成龙舟船,让用户有一种uber也陪我过节的感觉,让节日的氛围更浓。
提供更多类型的客服帮助,让用户有路可投诉,享受售后服务。中国人受到委屈,很喜欢找人倾诉一番,他们希望得到他人的尊重和合理的解释,受伤的心灵才得以慰藉。
总之一句话,Uber想要在中国市场走的更远,需要时刻以用户为本,倾听用户的需求,注重用户体验!