随着一批批移动金融App备案名单的发布，规范金融数据安全成为2020年上半年金融科技监管的主旋律，尤其是密码保护、个人信息安全等方面，是治理的重点。为了给金融app的治理提供进一步的参考，杜南金融合规课题组基于去年11月央行发布的《移动金融客户端应用软件安全管理规范》，从消费者角度出发，围绕身份认证、密码操作、个人金融信息展示等维度，对64款主流移动金融app进行实测，形成了《2020年金融半年报》移动金融app账户密码安全合规榜单。结果显示，近七成被测app在登录和交易页面存在密码安全风险。

杜南金融合规课题组参考《移动金融客户端应用软件安全管理规范》(以下简称《规范》)，设定了身份认证安全、密码操作安全、个人金融信息展示安全等3个一级维度、29个分项指标。通过下载、注册、实际使用等环节，对64款常用移动金融App进行了为期两周的专项评测，主要涉及互联网公司旗下22款互金App，金融科技公司旗下19款互金App，消费金融公司App 23款。

测试的移动金融 APP账户安全有近20%不合格。

从整体排名情况来看，80分以上和60分以下的互金App各占近两成。“相对优秀的学生”中，60%以上是App持牌金融机构的消费金融公司；在“相对后进生”中，近六成是互联网公司旗下的app。

百度的两个app“有钱花”和“杜小曼金融”高居榜首，支付宝排名第六。值得注意的是，部分在及格线以下的app也来自互联网巨头和头部金融科技公司，如新浪金融、新浪分期、新浪系三款测试app郎小华均垫底，其中360金融旗下的360信用生活、小米金融旗下的小米贷款、金山集团旗下的金山金融、众安科技。

七个构成被测 app的截屏密码

具体来说，严重的安全风险集中在用户认证时的信息泄露。根据《规范》要求，客户端应用软件应提前防止身份认证过程中的截屏和录屏。但实测显示，近70%的被测移动金融app在用户输入登录密码、登录验证码和交易密码，修改登录密码和交易密码时，没有截屏和录屏功能。

杜南金融合规课题组评估发现，在实名认证中，要求用户上传身份证图片，但不承诺收集敏感信息，存在身份证图片泄露出去的风险。近一半被测试的app要求用户上传身份证正反面图片，但没有“仅限认证”水印，页面上也没有安全提示或承诺。另有20%的测试应用虽然没有水印，但在上传页面做出了“仅平台审核”等安全承诺；只有支付宝、钱花、小满金融、微信卡卡贷、你我贷贷、还呗和小花钱包这7个app，在用户上传的身份证正反面图片上水印注明“仅供平台审核”。

顺丰理财App等可以显示用户信息

此外，守则要求客户应用软件在显示个人信息时屏蔽关键字段，但交易对账和转账收款人确认必须由用户确认的情况除外。从评测记录来看，测试的app在个人财务信息的屏蔽和显示方面做得不错，但也有部分app显示了全部用户名，如金山金融、顺丰金融、分期乐、拍拍贷、微信卡卡贷；而“即刻金融”和“小米贷款”显示的是用户的手机号，没有屏蔽；“翼支付”显示的是用户的身份证地址，没有屏蔽。

苏宁消费金融的支付密码可以设置为123456

除了身份认证信息的泄露，我们更需要关注的是密码操作的安全性。这里的“密码操作的安全性”包括登录App和在App内交易的认证要素和密码的安全性。

《规范》要求，用户认证后，客户端应用软件进入终端系统后台时，若超过设定时限后被唤醒切换到前台，应采取措施重新认证用户身份。杜南金融合规课题组的测评发现，在此次测评中，近一半被测移动金融app在后台运行后再次唤醒时处于默认登录状态，无需重新验证，其中包括“京东金融”和“苏宁金融”。不过，南都记者发现，上述app在其“安全设置”板块都可以进行个性化设置。设置完成后，可以添加指纹、手势、刷脸等认证方式。，但需要用户手动添加，而其他未检测到默认登录的app则主动引导用户重新认证。

杜南金融合规课题组还发现，部分App登录认证要素和方式过于单一。测试记录显示，四分之一的测试app引导用户使用“本地号码一键登录”功能。虽然看起来很方便，但这意味着任何拿到这款手机的人都可以在一个移动金融app上来去自如。值得一提的是，消费金融公司旗下的所有app都不允许使用“本地号一键登录”功能。《规范》要求移动金融App必须使用两个或两个以上要素对用户身份进行认证，而众安小贷只能提供“本地号一键登录”的登录验证方式，不能独立设置登录密码。

更突出的问题是，超10%的被测app缺乏密码复杂度验证功能，密码安全存在隐患。《规范》规定，App应采取有效措施提醒用户避免设置与常用软件、网站相同或相似的用户名和密码组合，并采取有效措施引导客户设置独立的支付密码。但在测评中发现，部分app，如新浪分期、永辉金融、小赢分期、中银消费金融、消费金融、苏宁消费金融等。，允许用户使用“123456”和“111111”等连续数字串作为登录密码或支付密码。携程金融的登录密码和支付密码相同，支付密码未独立设置；还有滴滴金融、金山金融等23款app，不限制修改后的登录密码与原密码相同。

[评估标准说明]

在本次测评中，设置了身份认证安全、密码操作安全、个人财务信息展示安全三个一级维度。满分100分，评分权重分别占50%、40%、10%。

在“身份认证安全”维度，有14项具体指标，如用户登录app时是否使用合适的认证要素，用户认证时是否有截屏和录音功能等。其中，杜南金融合规课题组重点研究了App要求用户上传身份证信息时，如何处理身份证图片等隐私信息。

在“密码操作安全”维度，涉及用户输入密码时是否有保护、修改登录密码、支付密码时如何验证用户等11项具体指标。

在“个人财务信息显示安全”维度，主要评估App未登录、已登录、认证失败时如何显示用户的个人信息，是否存在屏蔽显示银行账号、身份证号、手机号、姓名等四项具体指标。

监制:杜南财经报社

评价&:数据收集与分析:南都记者熊润淼实习生文齐齐

制图:杨