青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 海尔推出空气盒子的背后阳谋百度WordPress结构化数据插件上线 »

支付宝快捷支付和网银谁更安全

  最近一段时间,工、农、中、建四大行陆续对快捷业务调整了限额,四大行对支付宝快捷支付的单笔额度和单日累计基本限制在万元以下,最低的仅为5000元,每月累计也基本不超过5万元。

  针对“为何要限制快捷支付限额”,工商银行某处长回应称,快捷支付产生初衷是为了满足网购客户小额快捷支付资金的便利性,只需要通过手机发送的支付机构的动态验证码,就可以从银行账户划转资金进行支付。这种方式确实方便,但快捷支付安全性存在明显隐患,交易对手机的依赖性太高,一旦手机丢失、注册时信息泄露或者手机被植入木马病毒,绑定快捷支付手机号便容易被篡改,用户的资金很容易被盗。

  那么,快捷支付到底安全不安全呢?和网银相比,哪个更安全呢?

  在探讨快捷支付的安全性之前,我们需要先讨论一下支付宝和网银的安全性对比。

支付宝快捷支付和网银谁更安全

  支付宝和网银安全对比

  支付宝的安全主要依靠数字证书、支付盾(价格58元)、宝令(价格33元,已停止销售)、手机宝令。银行网银有些特殊,不同银行的网银使用不同的安全策略,但原理基本差不多,主要是USBKey动态密码锁

  从原理上看,USBKey相当于支付盾,动态密码锁相当于宝令,其安全性基本相当。数字证书相当于将USBKey里的私钥存储在电脑上,安全性不如USBKey,但使用起来更方便一些。

USB Key

  黑客对于USBKey的攻击大多使用木马病毒程序控制并攻击USBKey的驱动层,USBKey这种安全策略也并非万无一失,提高安全的方法是改造USBKey本身,我见过的一种比较好的改造方法是工行的USBKey,其在USBKey上增加了一个显示屏和确认按钮,交易的时候会显示金额在USBKey上,用户点USBKey的确认按钮后才能完成交易,这让基于电脑的木马病毒难以对交易进行篡改和攻击。

二代U盾

  值得一提的是,不同银行的网银安全性也不一样,有的银行网银具有较高的安全性,但有的银行网银会有一些非常低级的漏洞,媒体上也经常会有网银账户被盗的新闻报道,因此用户应该将资金放在安全性较好的银行里。

  而对于支付宝的攻击,大多是通过手机端,未绑定支付盾的支付宝,绝大多数安全验证依赖支付宝绑定的手机,黑客可以通过移动运营商的漏洞来掌控用户的手机,以此攻击支付宝账户,例如,如果黑客通过一定途径获得了某用户的身份证号码和手机号码,使用伪造的身份证就可以通过某些移动运营商成功申请到该手机的SIM卡,通过这个SIM卡和身份证号即可重置支付宝密码,还可以申请数字证书,好在支付宝的支付密码需要通过“安全保护问题+电子邮箱”的方式才能重置,从一定程度上缓解这种威胁。对于支付宝里存有大量金额的用户来说,还是启用支付盾更为安全。

  快捷支付安全吗?

  由上述分析可见,开通了支付盾的支付宝,其安全性并不必网银差,那么,支付宝的快捷支付是否也一样安全呢?

  快捷支付是一种方便、快速的支付方式。客户可通过将个人第三方支付账户关联自己的储蓄卡或者信用卡,每次付款时只需输入第三方支付账户的支付密码和手机校验码即可完成付款,从而绕开了银行支付网络,只要绑定了银行卡,用户无需银行卡密码就可以通过支付宝从银行卡里转账。我早先曾经在一篇文章中讨论过快捷支付的安全问题,总的来说,快捷支付的安全关键在于手机,要保证手机绝对安全,特别是保证短信安全,那才能保证快捷支付的安全。

  对于快捷支付的攻击方法就更多了,如果用户开通了小额支付免输密码,黑客只需安装先前介绍的伪造身份证SIM开的方法即可直接支付小额付款。不过要盗取大量资金,还需要用户的支付密码方可,这里黑客就采用各种方法攻击用户的支付密码即可。

  通常的攻击方法除了在电脑端的木马和钓鱼网站之外,还有通过手机APP应用的攻击方法,黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论坛里,如果用户使用Android手机下载并安装这类恶意应用(例如假冒的游戏应用),那么恶意应用就在后台拦截用户短信通讯,然后再伪装一笔转账,通过截获用户短信来完成交易,或者通过后台将用户引导到钓鱼网站来截获支付密码,这样就完全避规了银行的USBKEY等令牌系统,从而盗取用户资金。

  为了应对这种情况,支付宝还推出了一个手机宝令这样的动态令牌来加强手机支付的安全性,用户启用手机宝令后,即可看到一个每分钟都变化的一次性密码的“动态令牌”,在原有的短信基础不变上,增加上这个动态令牌,这样,恶意应用即使拦截了用户短信和一次性密码也没用,因为无法计算出下次支付所需要的动态密码,所以会使得窃取用户资金会失败。

  动态令牌这个方案解决了黑客通过恶意应用盗取用户银行卡资金的威胁,但如果用户手机被偷的话,别人就可以在手机上看到这个“动态令牌”,因此更为理想的方案是,快捷支付再绑定一个动态令牌硬件(非手机动态令牌应用),例如已经停售的宝令,动态令牌可以挂在钥匙链上,这样即使手机丢了,没有动态令牌也无法转账,动态令牌丢了,没有支付宝密码也一样无法转账。这样的方案就能够大幅提高快捷支付的安全性,并且技术上也很容易实现,无需驱动,这样用户就不用害怕自己的手机被盗而引起的资金财务风险了。

  总而言之,用户如果能保证自己的手机和短信的绝对安全,快捷支付就是安全的,否则就是不安全的。

  如何保证支付安全?

  如果用户的资金被盗,银行或支付宝是否会赔付呢?对于银行来说,如果黑客通过密码的方式窃取用户资金,通常银行不会给用户赔付。对于支付宝来说,赔付条件也基本类似,如果是由于用户的原因(例如主动告知他人、被诈骗、被钓鱼等)导致支付宝账户密码、支付宝账户登录及支付密码、校验码泄露的不予赔付。因此,用户为了自己账户内资金的安全,必须要养成良好的安全上网习惯。

  常见的安全措施包括:

  1、设置安全的支付密码,不要和登录密码相同。

  2、不要用手机号做为支付宝的登录帐号,支付宝密码和邮箱密码不要相同,确保邮箱帐号的安全性。

  3、开通手机宝令。

  4、使用未越狱的iPhone手机,安装iOS 7.1,开启锁屏密码或指纹解锁,开启“查找我的iPhone”,使用安全的Apple密码。(未越狱的iPhone一劳永逸地解决了短信安全问题,因为应用根本没有相关权限,有了锁屏密码或指纹解锁,手机被盗后也无法打开,甚至刷机后也无法打开。)

  5、Android手机不要ROOT,不要在第三方网站安装应用,只从Google Play等官方商店安装应用,需要注意的是,未ROOT的Android手机也给APP开放了短信接口,因此对于具有短信权限的应用应该格外小心。

  6、手机开通锁屏密码,如果手机被盗,应该及时上网修改动态令牌,并打电话给移动运营商挂失SIM卡,如果是iPhone手机则启用远程锁定功能。

  7、消费与存款分开,不要对外公布自己存款银行帐号,在外消费使用信用卡,根据自己的实际情况对信用卡的额度进行设置,不要超过一个月的最高消费水平。这样无论信用卡如何被盗刷,其损失总归有限,并且使用签名支付的信用卡还可以向银行主张赔付。申请信用卡的时候要申请有赔付的信用卡,不开通提现功能,卡被盗后24小时内挂失。

  8、帐号内有大量资金最好启用物理硬件安全设备如USBKEY等。

  总之,支付宝或网银的安全,关键在于使用者的问题,如果使用者有良好的安全习惯,都使用了USBKey,那么无论用网银还是支付宝都是安全的。对于快捷支付来说,如果用户无法保证手机的安全,无法正确辨认钓鱼网站,那么还是不要使用快捷支付更好一些,USBKey更适合这种用户。而目前支付宝存在的问题是,大部分支付宝用户都没有使用USBKey(支付盾),大部分快捷支付用户都没有技术能力保证自己手机的“绝对安全”,这也就是四大行对支付宝快捷支付进行额度限制的关键性因素。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3803.html
  • 文章排行:
  • 1.XXXXXXXXX
  • 起码出事支付宝全额退款,银行肯吗
  • 2014/3/30 17:14:27   支持(23)反对(9) 回复
  • 2.黑眼_SeaSalt
  • 时代的车轮是要淘汰这小小的钥匙链,快捷支付等是在推动社会进步,不安全的话要做到是改变方式,但绝不能倒退。
  • 2014/3/28 9:48:24   支持(17)反对(8) 回复
  • 4.风雨_断肠人
  • 智能手环,智能戒指……各种可穿戴设备
  • 2014/3/28 8:57:21   支持(11)反对(6) 回复
  • 5.admin2root
  • 单纯指望技术手段也不行,你会,我会,我们父母就不会,我觉得支付安全还包括管理上的安全,如支付宝请平安做保险,这就是很大的保障,目前没听说哪家银行有类似的保证。
  • 2014/3/28 11:27:13   支持(15)反对(10) 回复
  • 6.木子小鱼
  • 这篇文章一看就是纯粹的程序员写,过度强调技术上的安全,而没有讨论到管理上的安全,而国家政策多次强调的管理和流程上的风险把控,我是一个银行从业人员,之前就曾有客户前来银行反映说有人通过支付宝将钱划走的,所以从客户资金安全的角度来讲客户首次使用快捷支付需要到银行签约验证是很有必要的,但是呢,作为各银行抢夺的大客户支付宝凭其傲气,在这个问题上不肯妥协,纯粹为了客户的用户体验而忽视了流程上的风险。
  • 2014/3/28 21:19:42   支持(16)反对(14) 回复
  • 8.基因小王子
  • 非常不喜欢这种类似移动U盾的东西,技术会带来改变的。
  • 2014/3/28 9:33:23   支持(11)反对(10) 回复
  • 9.蓝海宏图
  • 非常不喜欢这种类似移动U盾的东西...
  • 2014/3/30 14:06:47   支持(11)反对(10) 回复
  • 10.alibaba
  • 这种方式确实方便,但快捷支付安全性存在明显隐患,(htt p://liuyuexue. net)交易对手机的依赖性太高,一旦手机丢失、注册时信息泄露或者手机被植入木马病毒,绑定快捷支付手机号便容易被篡改,用户的资金很容易被盗。
  • 2014/9/20 21:55:56   支持(7)反对(6) 回复
  • 11.而且
  • 我的快捷支付就第一次有过验证码,后面就没发过验证码照样支付,结果担心安全,第二天就解绑了
  • 2014/3/28 2:00:51   支持(8)反对(8) 回复
  • 13.傻了叭唧大萝卜
  • 工行这纯粹抢生意,这一点到没有错。错就错在偏要说人家违法经营。简直一副强盗逻辑。而且工行的快捷支付真的没支付宝好用。逼着我把钱转账到支付宝的节奏啊。
  • 2014/3/28 9:29:23   支持(16)反对(16) 回复
  • 14.JieHao-Li
  • 快捷支付推出之前忽视了两个问题,一个是一般客户是否明白快捷支付的原理?一个是客户在银行的预留号码是否真的是自己的?绝大多数被骗的客户,都是计算机水平相对较低的,很多都不明白为什么可以支付。如果强制客户必须亲临银行签署协议,并实行手机实名制,那么被骗事件将大大减少。
  • 2014/3/28 9:45:24   支持(12)反对(12) 回复
  • 15.heiyutian
  • 安卓必须root,然后控制各个软件的权限就可以防止一切,前提是不乱给别的应用root权限
  • 2014/3/29 19:23:58   支持(10)反对(10) 回复
  • 16.胖肚子HJ
  • 有些东西是应该用信用来解决的 不是不停地增加麻烦的...
  • 2014/3/28 9:22:23   支持(9)反对(10) 回复
  • 17.本尊已放弃治疗
  • 广发银行的电子密码器,手机银行单笔转账超过200块就得使用动态密码+取款密码。免费领取…
  • 2014/3/28 9:41:24   支持(9)反对(10) 回复
  • 18.哆啦比猫
  • 博主觉得 Pay*Pal 安全性如何?
  • 2014/3/28 12:25:36   支持(6)反对(7) 回复
  • 19.真人娱乐
  • 应该是支付宝安全点吧,快捷支付的话
  • 2014/5/13 10:49:58   支持(6)反对(7) 回复
  • 20.郑州Bear
  • 工行已经在推广他的小计算器了。支付宝我感觉也确实不是非常安全。安全和便利成反比的,不可能两者兼得。
  • 2014/3/28 9:38:23   支持(7)反对(9) 回复
  • 22.mmm
  • 快捷支付真的不够安全,上次用信用卡,竟然回复一条短信Y就可以支付了。。。
  • 2014/3/28 17:39:39   支持(7)反对(10) 回复
  • 23.徐阶微博
  • 这是一种倒退,令牌的携带和管理成本丝毫不亚于手机
  • 2014/3/28 8:54:21   支持(6)反对(11) 回复
  • 24.圆月博客
  • 应该是支付宝安全点吧,快捷支付的话
  • 2014/3/28 9:26:13   支持(5)反对(10) 回复
  • 25.呵呵
  •   5、Android手机不要ROOT,不要在第三方网站安装应用,只从Google Play等官方商店安装应用: 看到这条,只能说国人没这个条件有好习惯了!
  • 2014/4/2 7:38:26   支持(6)反对(11) 回复
  • 26.广东苏军
  • 只需要将手机屏幕锁+SIM PIN打开,另外把支付宝手机号登陆关闭,安全级别就基本够了。当然丢失了及时挂失手机号及补卡也很重要。
    gtdhd 于 2016/3/21 21:52:59 回复
    骗子太多,傻子明显不够用
  • 2014/3/28 9:09:22   支持(9)反对(15) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.