http://www.haomama.com/forum/posts/126.page Haomama RSS Generator 0.1 sc 刷卡消费，签名还是密码？（一）

刷卡消费－－签名与密码，哪个更合适？

与“没有密码”等卡友探讨——签名和密码，哪个更合适？－－５０Ｅ（卡友网超级版主）

-----------------------------------------------------

密码或者签字，哪种方式更安全？这个话题在各种场合被讨论过无数次了。我觉得，不能单纯地分析这两种方式的利弊，要结合目前国内的刷卡环境来看。

大家都注意到了，现在在国内刷卡的时候，大多数时候收银员并不认真核对签名——也就是说，把签名用作认证身份的最重要的一道“关口”实际上不起作用。

但是，如果不是本人签名的话，不是还可以提出争议并拒付的吗？事实上这个在国内实现起来也有不少障碍的。

由于中国人签名的特点，很多人的中文签名比较容易摹仿。另一方面，作为收银员，他们在核对签名时的义务仅限于“形式”上的基本核查——如果卡片上的名字是“张三”，签字也是“张三”这两个字，而不是“李四”或者“王五”，同时签名的字体“没有明显差异”，收银员就会认可这个签名。因为收银员本身不具备笔迹鉴定的专业技能，也就没有这样的义务。这一点在国内若干信用卡盗用的案件审理过程中已经得到了司法机关的确认。即使通过一些法规”规定“收银员必须仔细核对签名，依然无法彻底解决这个问题。

再有，如果卡片丢失，有些商家就会声称“卡片丢失，无法确认POS单上的签名是否与卡片背后的签名不符”，从而拒绝持卡人拒付的要求。这样的事情也曾经实际发生过。

当然，持卡人还有最后一招：调取POS签购单，要求公安机关进行笔迹鉴定，以确认并非本人签名。然后持卡人在以这个鉴定结果为依据要求银行或者商家赔偿损失。

这个过程耗时、费力，大家相比可以想象。关键是，结果不一定理想。很多实际发生的案例，法院最后的判决大多是将持卡人和商家“各打五十大板”。典型的判决如下：

“原告作为持卡人有妥善保管和正确使用银行信用卡的义务，其不慎遗失了信用卡，未尽作为持卡人应尽的安全妥善保管义务，因此对于自己财产遭受损失存在过错要承担相应的责任。... ... 本案中盗用人在持卡消费时，如果被告的收银员尽到了仔细审核义务，完全可以识别与信用卡背面所记载的真实签名不相符。据此，法院判决原告与被告各自承担损失的一半。”

如果卡片丢失，在法庭上无论如何也不能避免“未尽安全妥善保管义务”一条的，所以很难指望商家或者银行会承担盗用的所有损失。

很多人都说信用卡凭密码消费是“国际惯例”，事实上美国等发达国家之所以通行信用卡凭密码消费的方式，是和当地信用体系发达、法律对持卡人保护得力（比如美国法律规定，持卡人卡片丢失，只要打一个电话报失就可以了，无论被盗刷多少，持卡人最多只需要承担50美元）。在中国目前显然没有这样完善的法律保障，所以单纯的“与国际接轨”不一定合适。而且，目前欧洲等发达国家也已经开始了向EMV芯片卡的迁移。我在欧洲出差的时候注意到，当地人使用信用卡几乎都是凭密码消费的，而不是签字（甚至不需要签字）。

现在国内的招行等一些银行推出了“失卡保障”服务，在一定条件下可以承担持卡人在卡片挂失前48小时内的盗刷损失。这个当然是一个进步。然而，并不能简单地认为有了“失卡保障”就可以“高枕无忧”了。

首先，“失卡保障”是有一定条件的。比如“盗刷”、“盗用”的定义——如果卡片不是被窃，而是被“抢走”，然后刷卡消费的，就不属于“盗刷”，无法获得“失卡保障”。

其次，“失卡保障”是有限额的。招行规定，金卡持卡人一年之内最多15000元，普卡持卡人最多10000元。这个限额对于高额度的信用卡来说是远远不够的。

上面说了这么多，总结一下就是：在中国目前的刷卡环境（包括卡片受理环境和有关的法律法规）之下，信用卡单纯凭签字消费是不够安全的。

那么，完全用密码是不是就安全了呢？当然也不是这么简单。最近几年各种涉及银行卡的诈骗活动曾出不穷，很多持卡人都因为卡片密码泄漏而遭受损失。而“泄漏”的方式包括被人偷看、被人骗取、有意无意告诉其他人、使用容易被“猜到”的密码等等。密码泄漏，自然也就没有任何安全性可言了。要使用密码保证用卡安全，首先要保证密码本身的安全。钥匙给了人，再结实的锁也没有用。

如何避免密码泄漏呢？其实说起来也容易：决不把密码透露给任何人，不要使用容易被“猜到”的密码，不访问可疑的网站，不在可疑或者不安全的地方交易，不要在EMAIL、网站等地方使用和信用卡相同的密码，经常更换密码等等。

现在一些银行（比如工行）推出了“限额以上交易需要密码，限额以下交易只需要签名”的服务，这种方式比单纯的使用密码交易或者签名都要好，实际上是二者的结合和“平衡”。这种方式我认为是目前最好的方式了。优点有三：

第一，平时的小额交易无需密码，简化了交易过程；

第二，减少了在公共场合输入密码的次数，客观上减少了密码被“偷窥”的机会；

第三，即使卡片被盗，也可以在一定程度上限制盗刷的金额，减少损失。

除了密码，消费短信提醒功能也非常有用，有助于持卡人尽快发现卡片被盗的情况，及时挂失。我个人建议每个持卡人都开通这一项服务，并把短信通知的限额设置为“0”（或者尽可能低），以便在最大程度上保护自己的利益。

刷卡消费，签名还是密码？（二）

先从一则新闻说起．．．

信用卡安全保障何在 密码成摆设随便数字就能刷
2008年01月07日 10:18 黎金龙

“这怎么可能？信用卡随便输个密码就可以交易。”肖女士说自己还是头回遇到这等怪事，昨天下午，她在长沙一家大型商场购物时，收银员顺手替她按了6个“0”的密码，居然交易成功，“这样一来，我的信用卡还有什么安全保障可言？”

昨天下午，肖女士在商场买了一双鞋，准备用交通银行的信用卡付款。当收银员要她输入密码时，她想起身上还有一些现金，于是要求改用现金支付。“已经无法取消了，请输入密码。”收银员徐小姐说。肖女士感觉对方在有意为难自己，于是赌气说忘了密码。

这时，让肖女士惊讶的事情发生了，徐小姐拿起键盘，按下了6个“0”，“嗒！嗒！嗒！”一张交易成功的凭条打印出来。“这不是我的密码，为什么可以交易？”肖女士拿着那张凭条十分惊讶。

交易成功后，徐小姐立即叫来商场主管，准备将交易做退回处理。她解释说，信用卡交易进行到输入密码阶段便无法取消，自己就随手帮肖女士输入了一串密码，至于为什么交易成功，她也不清楚。随后记者从交通银行信用卡客服中心了解到，肖女士的信用卡只设置了查询密码，没有设置交易密码。但肖女士坚持说自己曾设置了交易密码，“我有一次在平和堂购物输错了密码，交易被退回了，怎么没有设置交易密码呢？”肖女士说自己还将咨询交通银行长沙分行，一定要弄个明白。(红网)





在某门户信用卡论坛，不少网友对这则新闻的评价是：

肯定是肖女士的错误！...／...肯定没设密码，自己忘记了...／...女人一贯比较糊涂，尤其是结婚或怀孕阶段...

／...文中的当事人显然对信用卡没有足够的认识.......................



事实上，即使排除持卡人的疏忽大意，这种情况也是有可能发生的！！！



这种情形，一种比较常见的解释是：

（问）：

.我的信用卡选择的是“凭密码”消费，但怎么有时输错密码或者没有输入密码也能消费成功呢？


（答）：

＂凭密码消费只限在银联线路的POS上有效，VISA和MASTER线路是不校验密码的，以方便在境外的消费。所以，当在境内刷卡时，如果商户POS错走了MASTERCARD或VISA线路时，是无需验证密码的，所以会出现输错密码或没有输入密码也能消费成功的情况。 ＂－－（摘自中信银行信用卡网站.）



但是，这样的解释是没有多少说服力的！

首先，因为国内主要是银联网络，这种＂误走＂Ｖ或Ｍ线路的情况概率是极其低微的．

其次，我曾经用一家银行的银联单币信用卡测试过，同样遇到这种情形．

可见，这种解释没有什么说服力．因为银联单币信用卡是根本走不了外卡线路的．



对于这个问题，米奇曾经在各大门户信用卡论坛与众多资深卡友和部分业内人士交流过．有如下结果：

１．信用卡密码＂失效＂的问题在不止一家银行发生过．

２．招行信用卡俱乐部资深卡友＂白痴天才＂表示：

＂我的POS机就出现了好几次别人输错密码照样过了的情况,还有一次更夸张的,直接就没要求输密码,输完金额就直接过了.客户当时就傻眼了.搞不清楚到底是为什么会出现这些情况.＂

３．在＂中国信用卡之窗＂，有卡友表示：

＂......有的POS机设置参数时设置了金额超过多少才输密码，不到参数值直接跳过，而无论是否设置凭密，同理亦然，这就是有的POS机消费时必须输密码，没密码随便输6个数字也行的原因.....＂

４．据招行信用卡俱乐部论坛一位资深卡友介绍：

＂密码问题其实就是授权问题，在发卡行和国际信用卡组织之间，一般都有授权协议，比如，低于500元的，有时可以不经发卡行授权，直接由国际组织授权，交易就可以成功，换句话说，在发卡行不完全核对、确认卡片信息的前提下，“刷卡”也可以正常进行。所以，刷卡密码会有时（交易繁忙时）出现无需密码验证的情况，大家无论是否选用密码，都需要保护好自己的财产。＂

５．据＂我爱卡＂超级版主 fogdragon 介绍：

＂跟POS的程序有关，现在发行POS的各银行可以自己发，银联也可以发，各行银联的POS可能在密码问题上的设置不一样，有些银行因为信用卡不用密码，就没有密码限制，有些银行可能更新过程序，就有密码限制。

......老式的POS仍然存在这类问题。所以需要有布POS的部门，逐一更新发出去的POS，就跟ATM机升级一个道理．

......我不是银行人士，但是做过POS上的程序开发，根据过去的经验推测的，不过这个推测没官方依据，因为我没接触过银行的POS通讯标准，只是拿供应商的POS刷卡程序改了一下。这个供应商据说是跟某银行合作的－依稀记得是**银行。所以各银行的各种标准可以肯定不是统一的，在刷卡密码上更是各行其道也就是很正常。＂

６．据＂卡友网＂首席顾问何海涛先生介绍：



＂根据发卡机构与持卡人的约定，结合终端对密码输入的支持情况验证52域，具体如下：




2008-3-28 17:43

银联信用卡可选密码验证与VISA、万事达卡的差异是：在持卡人选择密码验证后，发卡行是强制验证密码还是根据受理终端有条件验证密码。即在情况2和3下，银联信用卡发卡行还是会验证密码。

但最新情况是，中国银联推出了免验密码网络：即经中国银联允许，该网络商户中不支持信用卡密码输入功能的终端可以不联机上送密码。对不同受理网络上送的交易，银联通过对32域（经银联批准的免验密码受理机构代码）和52域（密码域）存在与否联机检查，在交易信息中填写相应标志代码进行区别。

对银联转发的受理交易，发卡机构根据受理网络类型、持卡人账户性质决定是否采用免验密码的处理方式，并在系统处理完成后给予相应交易应答。如果发卡机构采用免验密码方式，那么通过银联网络转接的免验密码网受理的信用卡POS交易，无论持卡人是否选择密码验证，发卡机构应不再将交易密码作为验证内容。



另外也注意到了有朋友提出可能是代授权的原因，即限额下采用免密方式。这种方式，国际卡组织确实支持，而且很流行。但是中国银联网络，目前并不施行。＂
]]> http://www.haomama.com/forum/posts/7912#20433.page http://www.haomama.com/forum/posts/7912#20433.page