为什么支付宝与中国的网上银行使用用户体验欠佳的「安全控件」，而 PayPal 不使用？
按投票排序
从我们多年来从事外卡支付的经历来看，主要区别是：支付宝用户充值的主要是借记卡，大家都知道借记卡各家银行只验证网银登录名。登录密码、卡号、密码，如果他们出现泄漏，银行是不但任何责任的，用户一直处于劣势，银行对第三方支付公司也是限制禁止条款颇多。国内支付同行们必须采取各种方式各种概念宣扬他们的安全性，哪怕是不怎么靠谱的。而Paypal、Google Checkout用户主要充值采用信用卡，在国际上由于Visa、MasterCard为了扩大全球业务，联合各大卡组织、安全机构指定了很多严格的政策和条款，对收单机构要求非常严格，针对收单机构的PCI DSS认证就是其中之一，从硬件到软件，从流程到人员，从网络到应用环境都有非常细致的要求。另外国际信用卡对持卡人的保护力度远远高于国内银联和银行对持卡人的保障。 譬如：国际信用卡chargr back 是180天以内的都可以，而国内各家银行都变成90天另外chargr back的条件和处理流程也完全不一样，国际信用卡chargr back只要向发卡行申诉，发卡行会及时要求收单行调单处理，收单行要求支付机构及时处理，如果无法提供或者未提供相应证据，需要返还申请chargr back的消费金额。而国内各家银行的做法普遍是要求用户自行联系商家和支付机构协商解决，一般是不处理为chargr back的，持卡人权益无法得到保障。PS：就算是信用卡，国内发卡行也默认或者推荐你开通密码功能，之后出现被盗，责任就很方便推给持卡人了。写的比较乱，仅供参考。
不知道我是否适合回答这个问题...这问题说起来话长，简单的说几句吧。最大的差异来自：Paypal/Google CheckOut 以信用卡用户为主，国内支付网站用户以借记卡为主（所以必须有和银行通信的环节，而国内各家银行采用的方案几乎都是亲微软体系的...） 。借记卡没办法撤销，信用卡还有事后核实，对用户来说非常有利，所以国外用户承担的风险其实并不大，而国内就不是这样了，用户的风险偏大。安全控件的确有用，但没有用以侵犯用户隐私或是其它什么的，而是用来做智能（姑且这么说吧）行为分析，来帮助用户进行主动的防御。的确对大部分用户有价值（不只是FUD），但对一部分用户的体验造成了很大干扰。安全控件的选择，开始所用的技术体系的确犯下了错误，而且，这个方向不可扭转，将错就错。另外，竞争对手如果用了类似的方法，用以鼓吹其安全性，你也不得不跟进；国内国外的安全情况其实都很糟糕，国外犯罪手法以信用卡盗卡/欺诈为主，国内则是木马盗取网银密码...
这关键是信任体系和风控技术的差别。其他人说的都是为何「中国特色」下支付宝为何需要安全控件，我来告诉你为什么美国不需要安全控件吧。一个简单的案例能够解释清楚本质的区别：你在 PayPal 上支付了 $1000 买了一件东西，结果发现是假货，接着发现商家跑了。这时候你觉得会发生什么事情？跟你在支付宝上买了 ￥1000 假货的处理方式会有什么区别？站在你的角度来看，首先美国法律规定了当商业诈骗发生时个人最多承担 $50 的责任，$50 以外的责任由企业承担。那意味着无论如何 PayPal 必须给你退回至少 $950，如果 PayPal 好人一些的话会全额退款给你。美国法律如此保护你，使得你能够很安心地支付，不担心遇到诈骗时会产生显著的经济损失。站在 PayPal 的角度来看，那岂不意味着这一笔交易平白无事亏了 $950？（因为美国是信用社会，所以你支付的 $1000 会直接付款给商家，不会出现 PayPal 扣押款项的阶段。）对于单个个案来说，确实是这样的。但是我们也知道就算是银行签发信用卡也总会遇到不还钱的人，所以没有任何一家金融机构能够完全避免诈骗，能做的就是玩赢这个概率游戏，使得自己最终尽可能多的赚钱。这其实就是风险控制所做的事情，PayPal 拥有非常好的风控算法，能够尽可能地保护自己避免高风险交易发生。（如果 PayPal 一开始就判断一个交易是高风险的，它就会阻止这个交易进行。）所以说，在中国法律不保护你，支付宝也不会使用聪明的方法保护自己和保护你，所以只好选用笨办法，那就是安全控件。在美国，法律保护你，PayPal 使用聪明的方法保护自己，所以你放心支付就是了。--如果你还不相信美国法律对你的保护有多强大，可以再提供两个例子：1. 如果你的信用卡被盗了，别人拿去消费了 $100,000，最终你需要偿还的额度还是 $50。谁亏了？商家和银行亏了。如果你去美国旅行，你发现当你出示你的境外信用卡时商家有较高的概率要你出示护（通过护照照片和名字核对你的持卡人身份），这其实就是商家自我保护的措施。因为涉及境外信用卡的诈骗比较多，所以商家比较担心你并非真正的卡主，如果卡主有一天报诈骗案，那么你在商家这里买的东西都相当于它白送给你的。2. Kevin Mitnick 在自传 Ghost in the Wires 里面说到，他克隆别人的 SIM 卡信息然后盗用别人的账号打电话上网觉得没什么负罪感，因为只要 SIM 卡真正的持卡人在收到巨额账单后指出这是被盗用，他最多只需要支付 $50 额外的话费，亏本的只是运营商。考虑到 Kevin Mitnick 一直在黑运营商，所以他当然觉得运营商亏本没所谓。
非常赞成Fenng的回答，我简单补几句：1、如果只是网银支付，其实连密码都不需要，因为银行会去做安全的校验。但支付宝有余额支付、支付宝卡通支付，还有个担保交易的“确认收货”，这些环节的安全确认都是只能依靠支付宝来做的。2、国内安全环境糟糕，用户安全意识薄弱，木马猖獗。在付款确认环节做干预，用控件分析用户行为，当时当景(包括现在)最合适的办法。3、事实上，手机确认是个不错的选择。可一旦手机丢失，风险就全部得支付宝来承担了，所以手机这条路走起来也很难步伐太大。目前看来，无控件的登录密码 + 手机确认付款，会是比较良好的解决方案。4、安全控件的具体技术方案应该是当时的最优选择，而且选了就是条不归路。走到今天，痛苦蛮多。但为了大多数用户的资金安全，必须咬牙抗住。一边告诉飞行，一边想办法修换零件。ps：keso一直说支付宝应该大力发展信用卡业务。从安全和便捷的角度来看，这个思路是有道理的。信用卡也是未来银行在个人业务上的利润大头。（以上仅代表个人观点。我不负责支付宝的安全业务，所以仅从一个从业者的角度做如上分析。不欢迎转载、引用）
技术上，安全控件对增强安全性并没有很多好处。HTTPS可以保证敏感信息在传输过程中不被监听，因此安全控件在传输过程中起到的加密作用就可有可无。另一块风险在于键盘监听。但即使安装了安全控件，也无法保证客户端的键盘输入一定不会被监听。保护客户端的安全方面，还是360之类的更拿手。所以相比安全控件带来的极大不便，它带来安全性的提升甚至可以忽略。但是安全控件在风控方面有很大作用。安全控件可以读到机器网卡mac地址、机器名等信息，这些对风控和证据保留是极大臂助。抛开技术不谈，其实安全控件的流行不能怪支付宝。当初商业银行都推安全控件，导致安全控件几乎是“必须品”。我05年开始用支付宝（支付宝04年底才推出，我算是很早的用户了），那时根本没有安全控件、数字证书。突然有一天用上了安全控件，于是Firefox就没法用支付宝了，那时我还郁闷了很久。再说到政策，大家也知道如今非金融机构做支付业务需要申请牌照了。央行科技司的检测标准里面，如果没有安全控件和数字证书，会被当作一个“问题”来记录。其实那制定标准的老爷们，和大多数初级用户一样，只需要“看起来很安全”。
1. 国内外环境差别较大，这就决定了什么到了中国都必须结合实际情况，就连资本主义路线也不例外，现在走的应称为社会资本主义。国内用户在城信及法律意识方面较欠缺，与国外比，不是几十年能培养得起来的。社会文化差别是根本原因。2. 在支付领域最关键的，也是最基本的就是安全。用户一分钱不对，都会投诉。如果不能解决资金安全问题，就over。3. 风控(风险控制)是目前国内支付领域一大难题。长期性的，可持续的，会发展的。就技术架构的优先级来说应为：安全性、可靠性、扩展性(主要是分布事务)、性能。4. 从技术方案上来说还是有改进空间，白鸦说的很对，边造飞机边改零件。
控件、安全问题我不懂。只是最近恰好看到过一些PayPal的资料，应该可以补充一下前面提及关于风险控制的问题。其实PayPal在早期也面临严重的商业欺诈。2000年时候，PayPal每个月都有大量损失资金，最严重时由于商业欺诈平均每月的损失在1000万美元以上。这使得PayPal不得不动用大量的人力、物力想办法，他们最终开发出一整套工具来识别商业欺诈，并雇了1000多人专门对付网络欺诈。但是这个反欺诈工具并没有公开申请专利，但是始终被PayPal视作是其商业秘密。据PayPal自己说，使用PayPal 服务的商家因诈骗造成的损失只有其收入的0.17%，而在网络采用信用卡方式的商家因诈骗造成的损失为其收入的1.8%。PayPal的创始人Max Levchin很早就将公司定义为：“一家表面上看是金融服务公司的安全公司。”因此，准确地说，PayPal的核心竞争力就是判断风险。
银监会或国内政府部门要求银行网上银行系统，必须安装安全控件。支付宝涉及到银行转账，所以根据规定。也要安装安全控件。
我也补充一点，就是国内外的用户习惯很不一样，国外尤其欧美用户是强烈抵制用控件，隐私问题对他们而言很重要，从一开始就决定了在国外这套玩不转
风控机制不同吧。国内的信用卡支付发展还有很长的路要走，而且国内的风控部门大多掌握在支付方式手里，而国外很多都是B2C网站自有的风控部门。
貌似这个是技术类问题...恰巧得很,我不懂技术...抛开身份,从支付宝重度用户和PayPal重度用户来讲,我谈谈我的观点.国内自从有了3721后就冒了很多的"安全控件",最常见的就是金融机构,以前用的多的是IE版本,要用不同的网上银行基本上每家都会有自己的插件存在,一个控件要升级一次就需要重启一次浏览器,不然输入不了密码.除了金融机构的控件,我接触的第一家国内支付公司应该是快钱(有可能是环迅),记得不是特别的清楚了.想不到他们也用安全控件,这让我很郁闷.心想支付公司也需要插件?除了金融机构的控件,我接触的第一家国内支付公司应该是快钱(有可能是环迅),记得不是特别的清楚了.想不到他们也用安全控件,这让我很郁闷.心想支付公司也需要插件?而在当时,基本上是没有公司采用https的浏览器安全协议方式.后来有一次不知是要登录hotmail还是哪个国外的网站才知道了https开头的网站,刚开始以为是中病毒了,(原谅我当时幼稚的想法吧...)赶紧把网站关闭掉了.生怕自己电脑中毒.再后来支付宝出来了,但是当时安装支付宝的安全控件用户体验很差,彼时,浏览器市场混战,我也很喜欢尝鲜,只要我换一个浏览器就需要安装一个插件,很多时候支付一个订单麻烦的时候需要30分钟以上才可以搞定.所以那个时候我有想砸键盘的感脚.直到前一两年,火狐和Chrome的兴起,我才渐渐的打开支付宝界面发现没有那么多插件了,支付比较顺畅,甚至只需要输入密码就可以在几分钟之内完成支付.但是仍然会有一些所谓的安全证书在各种威胁性语言和吓人的安全等级下被迫强制的安装在我的电脑上.这个原因的基础是中国诚信环境的缺失,各种安全控件更多的是为了安慰网上环境的安全性.而忽略掉了网上环境最根本最需要的风险控制.国内支付公司的支付理论假设是买卖双方是互不信任的,缺乏契约精神,所以需要中介第三方担保,这一点在支付宝初期宣传尤为突出.这属于前端风险控制,买家付钱给第三方担保,卖家发货,发现货物不对,直接可以从担保公司拿走钱,好像没有直接去面对卖家,胆量也增加了不少,不然不敢下订单,因为害怕报复.而国外的支付环境的理论假设是买卖双方是相互信任的,我给你付钱,你给我同等的等价物,买家收到货物之后发现不符合,才会跟卖家协商沟通,这是后端风险控制,更多的是买卖双方之间在进行协商.支付公司只是在交易过程中担当的是渠道功能.支付宝的功能在某些程度有点像法官角色.道高一尺魔高一丈,有经济利益就一定会有欺诈,PayPal的最大优势还真是风险控制这一块儿.创始人之一有专门负责风险控制模型,属于商业机密,也斥巨资收购过的以色列的安全公司专门用于反欺诈.可以看的出来的趋势是国内的支付公司在逐渐的摒弃安全控件,(虽然仍有不少金融机构和支付公司还在使用),采用https的浏览器安全协议传输数据.加强风险控制,提高用户体验.所有支付公司有一个共同的目的,就是保护用户的数据安全,信息安全,资金安全.安全第一.技术问题可以参见来自丁香园CTO Fenny及楼上的知友.
补充一点：从安全角度，黑客学习的成本和激励比普通用户高得多，只有你把门槛提的足够高，才能防范大部分的风险。但同时，学习动力不同的用户，就会觉得不方便……性价比的博弈啊
安全控件可以有，但是要保证兼容性。像中国银行的网银（忍不住吐槽下），在firefox下直接导致浏览器进程停止响应，在IE10下即使开兼容模式也没用（Windows 7 x64），无奈用Firefox的IETab强制IE8兼容模式。Ubuntu下就别想用了。每次付款都要让我妈折腾一个小时。支付宝相对做的比较好，至少在firefox和chrome下都没有出过什么问题。
一方面有金融和信用体系方面的，paypal等有银行和保险公司来分担，自己主要控制风险率。 其实paypal的那一套体系并不能说很神秘，主要就是通过模型来控制风险率，并由人去确认那部分风险，所以其风控团队人数也比较多。至于国内，如果支付宝也能有交易2%的费率的话，这样控制风险率并赔付也是可能的！要知道支付宝的交易总额超过了payapl，如果支付宝2011年超过1万亿，万分之一的风险就是1个亿啊，民营公司本就不像国企那样挣钱，所以各种手段都得上，少点风险是一点。还有一个问题就是，欺诈这个产业链非常庞大，而我们的公安是不大管的，除非是很大金额的要案他们才出手。同时异地办案麻烦啊！
我真的没有觉得支付宝安全控件的体验很差 相反 我觉得工商银行真的不该存活在这个世界上
我自己用的网银是浦发的手机密码
二身边朋友用的是工商的优盾
那个什么控件和优盾简直让我想砸了电脑
Paypal和Checkout是靠金融体制和信用机制来进行风险事后控制.
一旦出现安全事故, 会首先由银行承担, 最后由保险公司承担.而支付宝是靠IT技术进行事前控制的, 因为在中国的金融体制和信用机制现状下, 一旦出现问题, 只能消费者个人承担. 在这样的情况下, 支付宝不得不在安全上做到万无一失.PS: 我不是专业人员, 只是从零散得知的一些信息做判断
作为在PAYPAL 工作的员工来讲，同时也是支付宝的用户，对于这两款产品，各有各的优点吧，都是在不同的法律环境下运行来的，楼上很多分享的都很到位，具体的我也不方便明说
仅从技术方面剖析：1、https本质上是在Browser和WebServer之间建立加密的通信链路，以确保所有的信息都是加密传输的。如果SSL证书是verisign等内置在IE浏览器内的信任证书企业所签发的，那么表示该网站可信，防止钓鱼。2、https可以对客户的身份进行认证码？默认是不可以的，但可以通过给客户端配置软证书（.pfx,p12）来实现对客户身份的认证功能，但是由于软证书、难维护易拷贝等缺点，在实际中很少使用。3、U盾中有什么？智能芯片+COS，所谓只能芯片就是进行密码运算、保存密钥的芯片，COS就是管理这些资源的操作系统，简单来讲就是个文件系统。可以在U盾中生成非对称密钥对（一般为RSA），通过第三方CA机构签发数字证书并导入到U盾中，私钥+证书对就代表了客户的身份。4、由于浏览器的安全限制，浏览器本身是不能访问本地资源的，为了访问到U盾，所以只能依靠安全控件，同时安全控件也提供一些自保护的功能。5、安全控件都做了哪些操作？主要是用来读取U盾中的信息以及调用U盾来进行密码运算，主要有两方面的功能：
a)身份认证；
b)数字签名，为操作留有电子证据；
国外对买家的保护不是国内能比的， 说个实例。以前运营海外游戏的时候，有天突然发现paypal少了几千刀， 一查才知道某个信用卡用户申请退款，理由是未成年人使用信用卡，而这些消费大部分是产生在4,5个月前。以前我们也碰到过退款，都直接认了，没有烦过paypal。这次实在感觉冤啊，就求助电客服，但对方说也没办法，因为是电子商品，没有物流信息，所以还是只能认了。想想半年前收到的货款还要吐出去， 那感觉真是难受。paypal信用卡买家有180天的退款期，而卖家其实更像是弱势群体，除了经常碰到信用卡退款外，还经常被封帐号。我们在国内这么多年，用了这么多平台，从没碰到一起退款事件。相比国内， 国外的买家真尼玛是生活在温室里，给保护的实在太好了，谁还想安装那些丑陋的安全控件！
一路把所有回答都看下来，没有一个完全满意的答案。这个问题如果从纯技术角度来谈，是谈不通的。在个人认知领域，国内外面对的用户使用习惯和支付环境差异较大。尤其是对盗刷行为的认定上，金融机构所承担的角色天差地别。针对回答和回复中所有对网银的吐槽说几点：1、针对以上用户所谈的所有支付环境，针对ukey环节都是有相应解决方案的，只是分银行意愿；2、便利和安全是相对的，国内外都是如此，国外可能靠着更好的个人使用电脑习惯，更好的诚信管理体制，更好的风险控制，可以把便利提到更高。但是绝对不是在技术上有相应程度的安全；3、对于强安全弱便利的网络环境，ukey的作用是无可替代的，即使otp也不行；4、手机验证码已经不安全了；5、以上所有言论都是基于借贷卡，就是钱是你的，而不是签单，至于信用卡这种情况，国内国外的对盗刷的处理我只了解皮毛；您还未登陆，请登录后操作！
里修改银行卡有效期的界面是在哪？
账户后在我的支付宝--账户信息管理--银行账号管理中更换银行账号，此处登记的银行账号用于账户提现，如果是因为账户充值或者支付交易需要更换银行账户的话，可以直接使用新的银行账户，不用对账户信息做出修改。认证登记的银行账户在认证通过后不能修改，不过不会影响账户的其它操作的~
您的举报已经提交成功，我们将尽快处理，谢谢！
钱到支付宝了
如果你是刚才才退款的话，那您稍等一会儿，一会就显示了。如果还是不显示的话，建议你联系一下客服，望采纳。
大家还关注
如何找版主申请删除帖子？ 如何找版主申请...第一次使用支付宝，关于支付宝的安全问题！_百度知道
第一次使用支付宝，关于支付宝的安全问题！
就是我注册了支付宝，然后实名认证绑定了银行卡，给支付宝充值的时候没有经过网银认证只要支付宝密码就冲上了，感觉很不供哗垛狙艹缴讹斜番铆安全啊，我也申请了数字证书什么的。但是总感觉那不是别人盗了我的支付宝密码就随时能把我银行卡里的钱转走了？我已经被搅晕了……
其实意思就是说银行卡给支付宝充值不需要U盾啥的认证，如果别人知道我支付宝的密码，他就可以把我银行卡的钱全冲我支付宝上，然后再转他的支供哗垛狙艹缴讹斜番铆付宝上，我朋友说支付宝转账不需要手机验证啥的……
你说的这种规范的名称叫“支付宝快捷支付”是使用银行卡绑定支付宝使用的，安全性较差，如果未申请数字证书，那么很容易供哗垛狙艹缴讹斜番铆被盗，但是你申请了数字证书就非常安全了，因为充值转帐或购物付款全部要在这台有数字证书的电脑上才能操作的。 当然，另外还有有U盾的，和其它类型的支付形式，安全但操作较复杂。。。 安全性和易用性总是矛盾的，看你喜欢哪一种了，祝愉快！
其他类似问题
99人觉得有用
为您推荐：
其他4条回答
那当然了，要是别人盗了你的银行卡密码还不是一样把你银行里面的钱拿走了~~ 你也可以办理U供哗垛狙艹缴讹斜番铆盾之类安全一点的网银呀！！支付宝好像可以开通余额变动提醒，不过即使知道了也来不及了，转出去一般很难拿回，就像银行卡里面的钱转出去是一个道理。 保证电脑安全，经常杀毒，不要轻信购物网站就是了，我支付宝使用了3年，开了3年淘宝店，还没发现过被盗现象= =！
没有数字证书理论上是不可能被盗的，而且数字证书没有密码盗了也没用。不过最保险的方法是取消快捷支付，你现在就是开通了快捷支付才这样的。在支付宝页面查找。而且以后再付款的时候看清楚了，网银直接付款在下面，默认是同时开通快捷支付的，流氓行为啊
可以设置成短信验证后才能支付的，这样就安全多了
你可以去安全设置里设置，设置成转账要短信验证，付款要短信验证
您可能关注的推广
支付宝的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}