月光博客 » 软件应用 » 快捷支付的安全风险

快捷支付的安全风险

  电子商务离不开网上支付,在第三方支付出现以前,传统网上支付业务一直是银行提供的网上支付服务,非银行金融结构和非金融企业尚未介入。但随着电子商务的发展,几家大的第三方支付企业均通过各种方式开展网上支付、快捷支付等服务,其中最主要的形式是“快捷支付”。

  快捷支付是一种方便、快速的支付方式。客户可通过将个人第三方支付账户关联自己的储蓄卡或者信用卡,每次付款时只需输入第三方支付账户的支付密码和手机校验码即可完成付款,从而绕开了银行支付网络。目前,支付宝、财付通等主要支付公司都推出了这项服务。用户使用广泛,但对于快捷支付及其安全方面措施,很多人都会想到这样一个问题,快捷支付会不会对自己银行卡里的资金造成风险?

  银行的网上支付通常采用USB KEY等物理硬件设备来保障交易的安全性,我在早先的一篇文章中也讨论过USB KEY的安全性,这种设备通过数字证书和认证的方式来保障交易的安全性,用户只要使用得当,总的来说是较难破解的。

  快捷支付的安全关键在于手机,要保证手机绝对安全,特别是保证短信安全,那才能保证快捷支付的安全。如果有人知道了用户的支付宝或财付通帐号,同时又掌握了用户的手机,那就意味着该用户帐号里绑定银行卡的资金就很容易被盗用,即使用户修改了银行卡的密码也无法阻止。

快捷支付的安全风险

  随着越来越多的中国用户使用Android智能手机,“快捷支付”的风险就越来越明显,因为Android手机上的恶意应用非常多,黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论坛里,如果用户使用Android手机下载并安装这类恶意应用(例如假冒的游戏应用),那么恶意应用就在后台拦截用户短信通讯,然后再伪装一笔转账,通过截获用户短信来完成交易,或者通过后台将用户引导到钓鱼网站来截获支付密码,这样就完全避规了银行的USB KEY等令牌系统,从而盗取用户资金。

  我觉得更安全的“快捷支付”是这样的,提供一个“快捷支付”的客户端,该客户端提供一个每分钟都变化的一次性密码显示,即“动态令牌”,在原有的短信基础不变上,增加上这个动态令牌,这样,恶意应用即使拦截了用户短信,因为无法拦截到手机动态密码,所以窃取用户资金会失败。而动态令牌的解密,需要破解私钥,并不容易。

  这个方案解决了黑客通过恶意应用盗取用户银行卡资金的方法,但如果用户手机被偷的话,别人就可以在手机上看到这个“动态令牌”,因此用户如果手机被盗,应该及时上网修改动态令牌,并打电话给移动运营商挂失SIM卡。

快捷支付的安全风险

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    PetryZhao   说道:
    现在快捷支付有支付宝证书,支付宝密码验证!
    支持(24反对(8回复
  1. 2
    Youmu_Linux   说道:
    不用快捷支付飘过
    支持(16反对(6回复
  1. 3
    miss蜜橘   说道:
    所以我就说android的安全性好低……
    支持(19反对(9回复
  1. 4
    itswonderful   说道:
    91啊,安智啊,之类的市场,就像小商品市场一样,便宜却充满山寨。
    支持(20反对(10回复
  1. 5
    YouCanCc   说道:
    现在有些应用可以直接读取发来的短信内容
    支持(14反对(5回复
  1. 6
    哈哈   说道:
    你是说用类似于google 身份验证 的动态密码吗?
    可是问题来了,既然智能手机的恶意程序可以盗取短信,怎么就不能盗取智能手机的上的动态验证码呢...
    支持(18反对(9回复
  1. 7
    東經--北緯   说道:
    太有才了,这也能想到。。
    支持(14反对(6回复
  1. 8
    你这是病你知道吗   说道:
    这种功能好像很早就走了,网易的将军令,qq的动态密码
    支持(14反对(7回复
  1. 9
    额不会   说道:
    一个手机装应用,另一个手机收短信
    支持(21反对(14回复
  1. 10
    Hayes_   说道:
    现在很多网站都把手机作为验证身份的重要工具,如果手机黑客泛滥起来,很多用户都会损失惨重,包括网银用户.
    支持(17反对(10回复

发表留言