金融App谁家账户密码安全有隐患？新浪分期和浪小花测评垫底( 二 )

【金融App谁家账户密码安全有隐患？新浪分期和浪小花测评垫底】
《规范》要求，在用户身份认证后，客户端应用软件进入终端系统后台时，如果超过设定时限后被唤醒切换到前台，应采取措施对用户身份重新认证。南都金融合规研究课题组测评发现，本次测评中，近半数被测移动金融App进入后台运行后再次唤醒时，处于默认登录状态，无需进行再次验证，其中包括“京东金融”、“苏宁金融”等。不过，南都采访人员发现，上述App可以在其“安全设置”板块内进行个性化设置，完成设置后，即可添加指纹、手势、刷脸等验证方式，但需要用户自主手动添加，而其他未检测出默认登录的App则主动引导用户进行重新认证。
南都金融合规研究课题组还发现，有部分App登录时的身份认证要素和方式太过单一。测试记录显示，有四分之一的被测App引导用户使用“本机号码一键登录”功能，虽然看起来比较方便，但这意味着任何一个拿到这台手机的人都可以在一款移动金融类App上来去自如。值得一提的是，消费金融公司旗下的所有App ，都不允许使用“本机号码一键登录”功能。《规范》要求，移动金融App须采用两种或两种以上的要素对用户身份进行认证，而“众安小贷”只能提供“本机号码一键登录”这一种登陆验证方式，无法自主设置登录密码。
更为突出的问题在于，有超10%的被测App缺乏密码复杂度校验功能，密码安全存在隐患。《规范》规定， App应有采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合，并采取有效措施引导客户设置独立的支付密码。但测评中发现，如“新浪分期”、“永辉金融”、“小赢分期”、“中银消费金融”、“消邦”、“苏宁消费金融”等App ，允许用户将“123456”、“111111”这类连续数字串作为登录密码或支付密码；“携程金融”的登录密码和支付密码一致，并未独立设置支付密码；还有“滴滴金融”、“金山金融”等23个App并未限制修改的登录密码不能与原密码相同。

【测评标准说明】
本次测评，设定了身份认证安全、密码操作安全和个人金融信息展示安全的3个一级维度。满分100分，计分权重分别占比50%、40%和10% 。
在“身份认证安全”维度中，涉及用户登录App时，是否采用适宜的验证要素、用户进行身份认证时是否有防截屏录屏功能等14个具体指标。其中，南都金融合规研究课题组重点考查了App在要求用户上传身份证信息时，具体如何处理身份证图片这类隐私信息。
在“密码操作安全”维度中，涉及用户输入密码时是否有防护、修改登录密码、支付密码时，对用户的验证措施如何等11个具体指标。
在“个人金融信息展示安全”维度中，主要测评了App在未登录、已登录、认证失败状态时，如何展示用户个人信息，是否有对银行账号、身份证号码、手机号码、姓名等进行屏蔽展示等4个具体指标。

出品：南都财经新闻部
测评&数据采集分析：南都采访人员熊润淼实习生温依雯陈琪琦
制图：杨晨悦
编辑：熊润淼