支付寶快捷支付和網銀誰更安全!
西安鼎興自控工程有限公司推薦:支付寶快捷支付和網銀誰更安全!
最近一段時間,工、農、中、建四大行陸續對快捷業務調整了限額,四大行對支付寶快捷支付的單筆額度和單日累計基本限制在萬元以下,最低的僅為5000元,每月累計也基本不超過5萬元。
針對“為何要限制快捷支付限額”,工商銀行某處長回應稱,快捷支付產生初衷是為了滿足網購客戶小額快捷支付資金的便利性,只需要通過手機發送的支付機構的動態驗證碼,就可以從銀行賬戶劃轉資金進行支付。這種方式確實方便,但快捷支付安全性存在明顯隱患,交易對手機的依賴性太高,一旦手機丟失、注冊時信息泄露或者手機被植入木馬病毒,綁定快捷支付手機號便容易被篡改,用戶的資金很容易被盜。
那么,快捷支付到底安全不安全呢?和網銀相比,哪個更安全呢?在探討快捷支付的安全性之前,我們需要先討論一下支付寶和網銀的安全性對比。
支付寶的安全主要依靠數字證書、支付盾(價格58元)、寶令(價格33元,已停止銷售)、手機寶令。銀行網銀有些特殊,不同銀行的網銀使用不同的安全策略,但原理基本差不多,主要是USBKey和動態密碼鎖。
從原理上看,USBKey相當于支付盾,動態密碼鎖相當于寶令,其安全性基本相當。數字證書相當于將USBKey里的私鑰存儲在電腦上,安全性不如USBKey,但使用起來更方便一些。
黑客對于USBKey的攻擊大多使用木馬病毒程序控制并攻擊USBKey的驅動層,USBKey這種安全策略也并非萬無一失,提高安全的方法是改造USBKey本身,我見過的一種比較好的改造方法是工行的USBKey,其在USBKey上增加了一個顯示屏和確認按鈕,交易的時候會顯示金額在USBKey上,用戶點USBKey的確認按鈕后才能完成交易,這讓基于電腦的木馬病毒難以對交易進行篡改和攻擊。
值得一提的是,不同銀行的網銀安全性也不一樣,有的銀行網銀具有較高的安全性,但有的銀行網銀會有一些非常低級的漏洞,媒體上也經常會有網銀賬戶被盜的新聞報道,因此用戶應該將資金放在安全性較好的銀行里。
而對于支付寶的攻擊,大多是通過手機端,未綁定支付盾的支付寶,絕大多數安全驗證依賴支付寶綁定的手機,黑客可以通過移動運營商的漏洞來掌控用戶的手機,以此攻擊支付寶賬戶,例如,如果黑客通過一定途徑獲得了某用戶的身份證號碼和手機號碼,使用偽造的身份證就可以通過某些移動運營商成功申請到該手機的SIM卡,通過這個SIM卡和身份證號即可重置支付寶密碼,還可以申請數字證書,好在支付寶的支付密碼需要通過“安全保護問題+電子郵箱”的方式才能重置,從一定程度上緩解這種威脅。對于支付寶里存有大量金額的用戶來說,還是啟用支付盾更為安全。
由上述分析可見,開通了支付盾的支付寶,其安全性并不必網銀差,那么,支付寶的快捷支付是否也一樣安全呢?
快捷支付是一種方便、快速的支付方式。客戶可通過將個人第三方支付賬戶關聯自己的儲蓄卡或者信用卡,每次付款時只需輸入第三方支付賬戶的支付密碼和手機校驗碼即可完成付款,從而繞開了銀行支付網絡,只要綁定了銀行卡,用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉賬。我早先曾經在一篇文章中討論過快捷支付的安全問題,總的來說,快捷支付的安全關鍵在于手機,要保證手機絕對安全,特別是保證短信安全,那才能保證快捷支付的安全。
對于快捷支付的攻擊方法就更多了,如果用戶開通了小額支付免輸密碼,黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金,還需要用戶的支付密碼方可,這里黑客就采用各種方法攻擊用戶的支付密碼即可。
通常的攻擊方法除了在電腦端的木馬和釣魚網站之外,還有通過手機APP應用的攻擊方法,黑客可以先將具有盜號功能的惡意應用發布到各個應用商店或論壇里,如果用戶使用Android手機下載并安裝這類惡意應用(例如假冒的游戲應用),那么惡意應用就在后臺攔截用戶短信通訊,然后再偽裝一筆轉賬,通過截獲用戶短信來完成交易,或者通過后臺將用戶引導到釣魚網站來截獲支付密碼,這樣就完全避規了銀行的USBKEY等令牌系統,從而盜取用戶資金。
為了應對這種情況,支付寶還推出了一個手機寶令這樣的動態令牌來加強手機支付的安全性,用戶啟用手機寶令后,即可看到一個每分鐘都變化的一次性密碼的“動態令牌”,在原有的短信基礎不變上,增加上這個動態令牌,這樣,惡意應用即使攔截了用戶短信和一次性密碼也沒用,因為無法計算出下次支付所需要的動態密碼,所以會使得竊取用戶資金會失敗。
動態令牌這個方案解決了黑客通過惡意應用盜取用戶銀行卡資金的威脅,但如果用戶手機被偷的話,別人就可以在手機上看到這個“動態令牌”,因此更為理想的方案是,快捷支付再綁定一個動態令牌硬件(非手機動態令牌應用),例如已經停售的寶令,動態令牌可以掛在鑰匙鏈上,這樣即使手機丟了,沒有動態令牌也無法轉賬,動態令牌丟了,沒有支付寶密碼也一樣無法轉賬。這樣的方案就能夠大幅提高快捷支付的安全性,并且技術上也很容易實現,無需驅動,這樣用戶就不用害怕自己的手機被盜而引起的資金財務風險了。
總而言之,用戶如果能保證自己的手機和短信的絕對安全,快捷支付就是安全的,否則就是不安全的。
如果用戶的資金被盜,銀行或支付寶是否會賠付呢?對于銀行來說,如果黑客通過密碼的方式竊取用戶資金,通過銀行不會給用戶賠付。對于支付寶來說,賠付條件也基本類似,如果是由于用戶的原因(例如主動告知他人、被詐騙、被釣魚等)導致支付寶賬戶密碼、支付寶賬戶登錄及支付密碼、校驗碼泄露的不予賠付。因此,用戶為了自己賬戶內資金的安全,必須要養成良好的安全上網習慣。
常見的安全措施包括:
1、設置安全的支付密碼,不要和登錄密碼相同。
2、不要用手機號做為支付寶的登錄帳號,支付寶密碼和郵箱密碼不要相同,確保郵箱帳號的安全性。
3、開通手機寶令。
4、使用未越獄的iPhone手機,安裝iOS 7.1,開啟鎖屏密碼或指紋解鎖,開啟“查找我的iPhone”,使用安全的Apple密碼。(未越獄的iPhone一勞永逸地解決了短信安全問題,因為應用根本沒有相關權限,有了鎖屏密碼或指紋解鎖,手機被盜后也無法打開,甚至刷機后也無法打開。)
5、Android手機不要ROOT,不要在第三方網站安裝應用,只從Google Play等官方商店安裝應用,需要注意的是,未ROOT的Android手機也給APP開放了短信接口,因此對于具有短信權限的應用應該格外小心。
6、手機開通鎖屏密碼,如果手機被盜,應該及時上網修改動態令牌,并打電話給移動運營商掛失SIM卡,如果是iPhone手機則啟用遠程鎖定功能。
7、消費與存款分開,不要對外公布自己存款銀行帳號,在外消費使用信用卡,根據自己的實際情況對信用卡的額度進行設置,不要超過一個月的最高消費水平。這樣無論信用卡如何被盜刷,其損失總歸有限。并且可以向銀行和支付寶主張賠償。信用卡使用有賠付的信用卡,不開通提現功能,卡被盜后24小時內掛失。
8、帳號內有大量資金最好啟用物理硬件安全設備如USBKEY等。
總之,支付寶或網銀的安全,關鍵在于使用者的問題,如果使用者有良好的安全習慣,那么無論用網銀還是支付寶都是安全的,對于快捷支付來說,如果用戶無法保證手機的安全,無法正確辨認釣魚網站,那么還是不要使用快捷支付更好一些,USBKey更適合這種用戶。
- 上一篇:水位控制器的液位開關及其工作原理! 2014/3/28
- 下一篇:供暖及給水系統中為什么常用E121霍尼韋爾自動排氣閥 2012/11/10
陜公網安備 61010402000001號