近期以来,盘点移动支付领域内的热门事件时,银联联手苹果三星发力移动支付肯定会名列前茅,无论是苹果抑或是三星,皆采用了NFC近场支付的解决方案,手机NFC在安全性上具备先天性优势,如采取SE芯片硬件加密和软件加密相结合的方式、不到0.1秒的时间就可以完成ID与密钥等数据的读取与传递,以及数据的传输距离需保持在10cm以内等,再加上两大巨头在安全性上的种种强化举措,应该说基于手机NFC技术的移动支付相较基于二维码技术的移动支付在安全性上占优,也正是这个原因,银联在与苹果三星的本次合作上也是大打安全牌,银联试图以安全性作为入口以达成在移动支付市场的重整旗鼓。
而扫描支付先天在安全性上的种种缺陷,再加上最近网络上流传的一些文章,如《微信绑定了银行卡的、一定要看,不然小心倾家荡产》、《你的银行卡绑定微信了吗?这里有血淋淋的教训》,这些文章的标题颇为耸人听闻,一时之间,扫码支付的安全性犹如洪水猛兽,用者人人自危。那么基于二维码支付技术的支付宝与微信的安全性真的如此不堪一击吗?事情绝非如此简单,下面小编便试着还原一下二者在安全性上的真相。
漏洞及应对之道
作为国内移动支付市场上的绝对大佬,支付宝与微信二者总计占据了国内移动支付85%以上的市场份额,因此,此时此刻对二者安全性的探讨具备最为普遍的意义,碰巧的是二者皆采用二维码扫描技术,这绝非偶然,二维码支付技术对手机几乎是零要求,只要是一款智能手机便可满足使用条件,而NFC在手机上的推广应用迟迟不上轨道,这个猪一样的对手硬是活生生地将自己的对手推上了神坛,从这个意义上来说,二维码支付的普及还真得感谢NFC了。
现在回到本文所要探讨的重点部分,那么二维码支付在安全性上的先天不足体现在哪些方面?该如何去应对?
我们在利用支付宝或者微信进行支付时,首先需要将自己的支付二维码提供给收款方进行扫描,此时支付二维码若被偷拍,那么很可能会面临被盗刷的风险,支付宝与微信都意识到了这个问题,二者对此的策略是每分一钟换一次二维码,事实上,一分钟足够完成整个盗刷过程,因此,用户在向商家亮出二维码时要分外小心,防止可疑分子偷拍二维码,一旦发现可疑情况,立即手动刷新支付二维码,此外,二维码还包含了用户的隐私信息,一旦被偷拍,用户亦面临隐私泄露的风险。
其次,从支付宝与微信的整个交易过程来看,用户在消费时只需出示二维码即可,商家对展示二维码的终端设备的合法性无法判断,这与传统的信用卡支付不同,信用卡可以通过签名或者密码来进行合法性判断,扫码支付则是凭借二维码及部分商户提供的信息创建线上订单,可能面临伪造线下交易场景的可能性,增加虚假交易风险的发生概率,而用户一旦发生支付账户被盗用时,事后的追讨将变得困难重重,因此,事前的多重密码防护与事后的及时补救举措此刻便显得十分必要了。
再者从整个支付过程来看,二维码支付的交易订单是在支付之后产生的,由于交易过程中无需密码,相当于持卡人先交出自己的银行卡(与支付宝与微信绑定的银行卡)再由商户端填写实际金额,从技术上而言,收款方对支付金额的修改是颇为方便的,比如支付机构经常开展的种种优惠活动即是如此,因此,交易过程中,用户可能面临商户以及二维码支付提供商非法篡改支付金额的风险,事实上,鉴于二维码支付的便捷性,商户同样面临员工私自收单的风险,即员工私下将本人的二维码提供给用户以完成交易,由此可见,用户在进行二维码支付时,交易后的及时对清账单是不可忽视的一环,此举可有效避免支付金额被非法篡改的风险。
一些必要的补充
此外,在软件层面上,无论是支付宝还是微信,皆有设置手势密码功能,这一功能最好也设置一下,增加一道安全性屏障,从这个方面来讲,微信的安全性要比支付宝稍好,支付宝是不需要手势密码就可以进行扫码支付的,而微信则需要手势密码才能完成交易,好在支付宝提供了安全险来防范已然。再者支付宝与财付通的登陆账号最好不要使用手机号,这样一旦手机丢失可减低风险,手机一旦丢失,及时解绑银行卡与支付宝或微信的关联则至关重要,当然支付密码的保护及定期更换亦是必要的。
最后,更为重要的是,无论是支付宝或是微信,要想实现支付功能,都必须绑定银行卡,因此每一个支付宝或者微信账户最好只绑定一张银行卡,做到专款专用当然更好,卡内金额亦勿需太多,满足日常支出即可,用完再转,甚至可以即用即转,相信只要做到以上这些方面,用户大可放心去享受支付宝与微信所带来的便捷与优惠的支付体验,二者的安全性是真真勿需担忧的!
(文/徐永红 rfid世界网独家稿件,转载请注明来源作者!)