银行卡快捷支付的原理是什么？

类似的，亚马逊等特定平台可以在仅知道卡号但不知道 CVC 的情况下扣钱。

需要的话可以联系银行禁用卡的快捷支付能力。
这个特性最早只有招商银行提供，现在有更多的银行（建设银行，工商银行等）也支持禁用快捷支付了

所以你知道监管有多重要了么。所以你知道支付宝搞定了多少压力么。

楼主的推理在理论上可能是成立的，但这些支付企业理论上都是处于国家的严格审查，不敢这么搞。在 IT 界类似的是提供 ssl 签名的公司可以私下里伪造合法证书，但是我们还是选择信任它们。

这也太不安全了吧。 @kaneg 支付宝我当然信任， 主要是目前有些 P2P 理财 app 也是这么搞 ，那些感觉太不安全了。

@a379395979 理财这种担心的话，只能充值完后解绑。

我觉得其实相当于你是授权给支付宝 可以任支出限额内的交易，然后再由第三方来验证交易（指纹支付）

第三方支付需要牌照

说个更扯的，前年询问工商银行，银行告知无法查询哪些公司能够通过快捷支付扣我银行卡的资金，更别说关闭了。银行声称快捷支付的安全责任归第三方快捷支付公司，不归属银行。

不过现在好像能够从网银查询了。

看情况，快捷支付只需要银行卡卡号、身份证号外加电话号码，第三方就能够完成快捷支付，虽然有个短信验证，但是这个是第三方自己做的，理论可以不做。

这个不是技术原理的问题，支付宝这种三方支付公司，直接和银行签约的，有接口，不需要密码，直接可以从卡里扣钱，当然前提是验证这个账户是银行卡本人，这个可能需要短信验证码，但是有时候支付宝之类的已经确定你是银行卡的主人，就不需要验证码。
具体的都是看支付宝的安全审核策略

支付宝快捷支付刚出的那个时候，简直是谢天谢地啊，你知道原来付个东西都需要用 IE 这种垃圾去那些垃圾网银里操作，（还要装各种安全控件），那个 u 盘一样的数字证书，还需要安装驱动，反正是各种麻烦。

偶尔去网吧，需要付个钱，反正是各种折腾，弄 30 分钟都可能不一定搞的定。后来工行出了个密保卡，就是一个卡背面各种数字，稍微比 U 盾这种方便一些。再后来就是快捷支付了。彻底解放了。

@popok 题主的意思是假如支付宝作了恶

@a379395979
这些只能自己甄别了，说实话我们普通人要么远离这类第三方支付，要么只能信任，除此之外只能寄希望于国家监管了。否则还有其他更好的办法吗？

网络绑定的银行卡不要放太多钱就是了。用的时候存点。安全与快捷不可兼得。

快捷支付绑定就是你签署了一个协议，同意银行在一定额度内允许某个第三方直接从你的账户扣款，效果上和一些在线使用信用卡的方式类似

所以不要给不信任的第三方授权快捷支付...

@popok 然而快捷支付没有强制性的两步验证，是不可靠的

@gamexg 前年？很早就能网银查询签约的公司了啊，之前还有应对柜台预留手机号的手工签约流程... 3 年前就这么搞了，估计是你没找到入口

@skylancer #16 可能更早，当时在网银没找到，电话联系工行客服，告知无法查询，被通过快捷支付盗刷的责任在第三方公司，和工行没关系...

"快捷支付"这个概念是支付宝发明出来的，其实银行系统里面并没有这个业务；

银行里面对应的是“协议扣款”，早在支付宝之前早就存在的，当年的电话费水电费通过银行代扣都是这个原理；

根据已有法例，“协议扣款”的责任方是扣款方而不是银行，因此也不存在可靠不可靠了，只要有牌照、账户信息，即可任意扣款。

因此去年年底实行的虚拟账户制度， II / III 类虚拟账户用来绑定一些信任度较低的平台，算是一个保护措施；
另外银行现在也开放接口查询已有协议扣款，可以自助解除用不上的协议方；

你吧银行 和 支付宝 视为 同样的 东西就好了呗

在建行网银里是可以删除授权商户，其他银行应该有类似功能

工商银行的对应业务叫：委托代扣
http://www.icbc.com.cn/ICBC/%E4%B8%AA%E4%BA%BA%E9%87%91%E8%9E%8D/%E4%B8%AA%E4%BA%BA%E6%9C%8D%E5%8A%A1/%E4%BE%BF%E5%88%A9%E9%87%91%E8%9E%8D/%E5%A7%94%E6%89%98%E4%BB%A3%E6%89%A3/


另外校验手机、支付密码这些其实全都是支付平台自己在校验，你账户银行不做校验，只要扣款指令确认就完成了（有些渠道甚至不会触发你的银行账户的余额变动！）。

所以近年推动的金融监管都在规范化这一块，现在要求 p2p 这些通过银行托管资金，扣款指令由平台的合作银行发给账户的银行，信息校验由合作银行完成；减少“监守自盗”的可能性；

@akira #19 不可以视为同一种东西，银监会多次强调第三方支付禁止经营的业务。