再谈“银行卡”的保密

[摘要]文章较详细地介绍了“银行卡”的分类和密码的设置，着重叙述了“借记卡”和“贷记卡”存在的风险以及防范的措施。

[关键词]银行卡　风险　防范

当今社会是一个信息密布的社会。人们的工作、学习和生活与各种信息密不可分。通常，人们可以通过语言、形体、新闻媒体等方式来转播和获取所需要的信息，以达到信息的交流和社会进步的需要。人们把这些信息分为可以供大家共享的大众信息外，则把一些不让他人了解的重要的私密信息(如各种供个人使用的口令、密码等)保存在诸如银行和信息保管(如网站)等机构。需要时，通过相应的手段(如刷卡、输入密码等)去访问这些机构而获得自己所要的东西。各类信息给人们的生活、学习和工作带来了极大的方便，使人们获得了无尽的精神快乐和物质的享受。当然也因为多方面的原因而引起了部分持卡人(简称“卡主”)不必要的烦恼，有的甚至使财产受到巨大损失。如何保管好自己的财产尤其是“银行卡”而不被他人冒领冒用一直是“卡主”的心里负担。银行和“卡主”都采取了多种方法以确保银行卡的安全，但总有个别人通过非法手段来窃取“卡主”的合法利益。这种事情的发生多数是因为“密码”泄露而产生。把一些重要信息或资产通过如下的加“锁”(加密)方法以保证它的保密性和安全性。

通常，这里所采用的“锁”或“加密”是这指通过一定的技术来设置“密码”(有的也称为“口令”)。这里所指的技术可以是“数字签名和数字证明书”、“网络加密技术”、“基于口令的身份证技术”、“基于物理标志的认证技术(磁卡、IC卡和指纹识别技术)”和“基于公开密钥的认证技术”等。

对于个人所持的诸如是银行卡等，通常是采用较简单的设置数位“密码”的方式加以管理。以往所发生的持卡人的账户被非法交易或窃取的问题，多数是因其“密码”被泄露而造成。怎样加强如银行卡的“密码”管理?笔者在这里对银行卡的安全做一讨论。一、银行卡的分类在我国的金融系统中，银行卡通常可分为借记卡(俗称“储蓄卡”)、贷记卡、信用卡(实际上是贷记卡的一种，“卡主”可以进行一定额度透支的)。当前，银行为了区别对待不同客户，一般把借记卡按用户所存金额的数量分为普通卡、金卡、白金卡(俗称vIP卡)以给予不同级别的服务；而贷记卡则是根据“卡主”的社会知名度、职称(职务)和经济(资产)实力等因素来确定其每次交易的透支额度。通常，一个人的贷记卡透支额度可以从数千元到数十万元不等，也可以在急需时通过相应的程序临时增加透支额度或者获取现金，而透现要付较高的手续费。二、银行卡的保密通常，人们可以采用诸如数据加密、数字签名、数字证明书、网络加密和认证技术(又称为验证或鉴别)以及访问控制技术等对银行卡的信息进行交易和保护。其中认证技术通常有：基于口令的身份证技术、基于物理标志的认证技术(磁卡、IC卡和指纹识别技术)、基于公开密钥的认证技术(就是申请数据证书、在通信前必须先运行SSL握手协议，以完成身份认证、协商密码算法和加密密钥)。银行卡本身加密相对来讲较为简单，可以分为两方面来讲：

1　借记卡。通常是用户在银行开户时银行计算机系统就自动产生一个随机的6位数密码，这个密码称为原始密码，此以后用户如果要交易时，银行系统会告诉用户必须要修改原始密码才能进行交易。这种设置密码的方式是最容易被盗取的。平常银行卡失窃多数是因为密码泄露而使“卡主”受到损失。

为了减少此类事件的发生，笔者认为银行方面可以在现运行的银行业务处理程序中加入相关的语句来减少用户因密码问题而被他人盗取的事件发生。这些语句应该具备如下功能：(1)用户在开户时除设置密码外，还可以设置是否容许别人代用借记卡来办理业务(例如1――容许、2――不容许)的条件来防止非“卡主”利用该卡交易；(2)接下来设置容许几人(银行可根据情况而定)，如果发生非持卡人去柜台交易时，银行工作人员可以通过验证“密码”、“是否允许他人持交易”等条件来防止非法交易。这样，如果非“卡主”交易时，所输入的信息除了密码外还有多项，可减少失窃的概率。(3)设置多于6位数的密码，而密码可以是任意字符(数字、字母等)组成。(4)对于大额或巨大额度的现金(或刷卡)交易必须有更严格的密码审核条件(如预留印件、身份证、本人正面免冠照片等)，也可以讲现在的磁记录卡(简称“磁卡”)改为“IC卡”。(5)借记卡每天在交易次数应该有限定，这样可以防止非“卡主”通过多ATM盗取。

2　贷记卡。当前人们非常流行和习惯使用贷记卡进行消费，虽然我国多数银行均为信用卡提供了密码功能，但大多数“卡主”却不知道设置“密码”这一关键要素。由于境外的银行基本上不采用“密码”而采用“签名”的方式，我国境内的信用卡“密码”一旦出境，密码即失效。在境内也可能持卡人在非银联线路的设备上交易，“密码”也不能起到应该有的作用，形同虚设。

实际上，手中卡安不安全，与有否安全保障措施关系更大。国内用户认为加密更安全。信用卡消费设不设密码，虽是老生常谈，但争论一直存在。不设密码，不少人担心风险太大。“信用卡消费不设密码”是欧美国家通用原则。但为了迎合国人“密码”比“签名消费”更安全的心理，多数境内银行提供了密码和签名两种选择。信用卡“不加密”，风险究竟有多大?支持“加密”者认为，“国际惯例”不适用中国，我国信用体系还不够完善，一旦发生盗刷，对商场还是对盗刷者都没有严厉的惩戒制度，理赔难度大。商家也很少仔细核对，这给信用卡盗刷留下了空间。

笔者认为，“签名”和“密码”应该同时并举，这样可以解决国内商家在刷卡交易时不重示仔细辩认持卡人的签名笔迹等现象，也可以给卡主一个心理安慰。“签名”其实是重要的保护措施，按照有关协议，商家收银员必须核对签名，只有笔迹相同才能消费。如有人冒用签名，银行会根据信用卡盗刷争议系统，要求商户承担责任。支持“加密”者反驳，境内认真核对签名的商户少之又少，盗刷争议规则又不尽相同，结果往往是“由于“卡主”保管不当，造成卡片丢失后被盗刷，“卡主”负主要责任“为防”卡主”和银行受损，可以采用对异常交易监控系统、反欺诈系统、短信提醒等。但信用卡加密，仍是最流行和有效的防盗手段。保障措施不断升级。然而凭密码消费毕竟属于“中国特色”，“加密”刷卡同样存在弱点。业内人士指出，如果“卡主”设定了信用卡凭密码消费，万一密码被识破导致信用卡被盗刷，银行将不承担任何责任，同时，失卡保障功能将自动失效。怎样才能让“卡主”不担心盗刷呢?随着竞争不断升级，用卡安全保障机制越来越完善。如某商业银行近日推出信用卡“五重安全”新概念：签名或密码保护；短信消费提醒；“24小时异常消费监测”服务；消费明细E-marl告知；失卡万全保障。建立了反欺诈系统，随时监控异动消费，以提升安全保障度。最近我国不少的商业银行尤其是中、小银行在对信用卡交易的安全措施方面，采取了多项举措(如“挂失前72小时失卡保障”计划，规定“卡主”无论凭“密码”还是“签名消费”，均可获“失卡保障”，保障额为“卡主”的固定信用额度)，手段新颖，使信用卡的交易环境得到了改善。在我国这种刷卡消费的环境里，应该是采用设“密码”和“签名”同时并举，“卡主”只有输入密码正确后，才可以签名确认交易凭证。随着“银行卡”和“电子货币”的广泛应用，银行卡的非法交易发生概率不会杜绝，如何保护好自己的银行卡而不被他人非法窃取则是一个长期话题，只有加大法律法规的打击力度，银行、“卡主”和社会共同努力，把“银行卡”的犯罪概率降到最低以保证社会的稳定和良好的用卡环境。