这篇文章一直想写，但是没有精力。今天忽然找到一个合适的组织方式。

熟悉支付宝的用户都应该知道。支付宝服务的安全策略实际上比较复杂，有关的概念有：

1. 登录密码
2. 支付密码
3. 手机短信验证码
4. 数字证书
5. 密码安全问题
6. 用户身份证件号码

上述的概念，不仅多，更严重的问题在于各种验证混杂在一起，容易让用户长生不必要的麻烦，不仅用户操作麻烦，体验差，而且还增加了不少的用户培训成本和公司的运营成本，比如短信。我建议如下：

先来看图

支付宝服务验证策略

设计的出发点有如下几个：

1. 确保核心用户和活跃用户资金帐户的安全，即时在遭到木马等攻击情况下，也能基本保证安全。
2. 尽量将不同的用户分级，不需要的安全措施，就不推荐给对应的用户，以免导致用户操作成本大幅增加。
3. 对于新用户，要尽量简单，成本要低。同时要考虑到服务成本。
4. 安全的核心应该是用户看不见的，所以除了图片上用户操作层面外，需要在业务数据层面加入一个实时的监控层，分析用户帐户资金流转的情况，实时的做出必要判断。这个东西最玄乎，但是做成了将是独一无二的，核心竞争力呢。

所以，我的建议：

• 新用户，只要部署登录密码和支付密码，当然，建议用户绑定手机，但是手机不用于控制资金，而是用于客户服务，比如用户密码丢失的时候。如果没有手机，将通过身份证件号码来提供服务，但是成本会高。
• 普通用户，建议在新用户的基础上，要求用户部署手机验证码，在大额支付的时候，比如单比超过500元，（具体规则值得细细探讨，搞点数据，8 2 法则应该可以起到作用），要求短信验证。这样可以有效的控制短信成本，我现在每次付款，超过一定额度的需要我验证两次短信，想到这里，就为支付宝的成本感到痛心啊。
• 活跃用户，建议用户部署文件证书，任何时候，进行帐户资金的操作，或者影响到资金的操作，都需要文件证书，但是建议这个时候文件证书能够代替支付密码。在用户可以登录帐户，并且有合法的文件证书的前提下，我个人觉得支付密码的验证是多余的。当然，在部署文件证书的时候，需要验证支付密码。这里还需要考虑一个问题，文件证书的注销怎么处理？我觉得现在的模式是可以接受的。
• 核心用户，建议用户部署硬件证书，这里包括企业用户，一方面硬件证书可以增加用户的安全感。另一方面，对于企业用户而言，硬件证书的部署可能用户培训成本要更低一些。同样建议，硬件证书应该可以代替支付密码。当然，也需要考虑一个问题就是证书的注销问题。

当然本文没有写完整，还有一个非常关键的点是：密码、手机等的忘记、注销问题。这个地方始终是一个比较大的状况，如何最有效的处理，我想通过支付宝客服来仔细分析一下，应该可以找到一些好的建议吧。具体我就不写了。实践出真知。现有的方案应该还是不错得的。

最近脑子思路不清晰，欢迎大家来讨论，特别是支付宝的兄弟们，我觉得我现在通过支付宝付款，输入密码，验证码都有点烦了。^_^

晚上Update：

又想到一些东西，补充一下：

在上述的服务验证策略下，在现在的产品情况下会遇到一个问题，就是外部支付宝服务接口。

现在这些接口在支付的时候，由于产品比较多样化，在界面上有的需要输入“支付密码”来验证，有的是通过输入“登录密码”来创建交易，然后再需要验证 “支付密码”这样还是比较麻烦的，也建议一并进行修改。我还是认为，先通过“登录密码”来验证帐户的所有权，然后用上述的策略，来觉得帐户资金划转的安全。

给用户一个统一的用户体验是非常关键的。

打印  |  相关话题：支付宝   |  类别：设计之外  |  源地址