首页 > 代码库 > 手机第三方支付产品安全性

手机第三方支付产品安全性

前一阵《焦点访谈》播放关于手机第三方支付的问题,当时没有注意。

今天特意使用了一下手机的上的几个第三方的app,忽然感触良多啊。

目前手机上的第三方支付软件常用的主要有3个,支付宝、微信、易信(主要是本人手机上常用的这三个啊),下面就浅谈一下这几个安全性的问题。

首先拿本人自身说例吧,本人应该属于安全意识相对薄弱的,相信30%的人群应该和本人差不多的。

        本人特征如下:

                1.手机不设置密码(如4数密码和手势密码),感觉没有啥隐私可防的。

                2.手机、钱包(钱包中常年放置身份证)基本都是放到一起的。


下面,就拿本人可能遇到的一个绝非小概率事件的例子来说明。

如果本人的手机、钱包(钱包中装有身份证)丢了或者被偷了怎么办。鉴于丢了和被偷都有可能造成本人财产损失的情况,那就以被偷的情况论处,假设小偷拿到了本人的这3样东西(手机、钱包、身份证),那么会发生什么。


第一种:对于支付宝钱包App

       首先小偷要过的第一关是:手势破解,这个比较鸡肋,这个屏障不好突破。ok,假设小偷费了九牛二虎之力突破了。

       第二关:支付宝密码,小偷要拿到你支付宝或者银行卡的前的话,唯一要突破的,就是你的支付宝密码(没有密码,他只能看,不能转入和转出)。

好了,问题来了,阿里在“支付宝密码”这一块,曝露出了其真正的野心。阿里对支付宝密码的保护,使用了一个终极杀手锏,那就是实名认证。首先,可以排除的是小偷破解支付宝密码的可能,这个世界上应该没有几个人能做到。那么,唯一的途径就是修改支付包密码,那么问题来了,如果你经过了实名认证(上传了你本人的照片),那么要修改密码,就相当于你本人拿着你的证件到马云开的支付宝公司去修改密码,就像你要修改你的银行卡密码一样,得亲自到银行修改,只不过支付宝还是让这个过程在网上实现了,至于前后本人原始照片和现在的照片比对,是靠人工还是靠技术算法来实现,已经无关紧要了。至少,这种解决方案从理论上保证了支付宝密码只能被你本人修改。同时,可以看到,支付宝做到实名认证这一步,和银行已经没有本质区别了。

       所以,对于支付宝App,如果你做了实名认证,恭喜你,你成功了,但是如果你还没有做实名认证,那么,小心密码被熟人修改哦!!!


第二种:微信支付

      微信的火爆程度和支付宝的火爆程度基本差不多,可是或许由于社交网络的隐私问题,微信6.0到目前位置(2014年10月24日),还是没有进行实名认证。这就意味着,微信支付密码被修改的可能性极大。

      微信5.4版本,由于没有提供支付手势功能,在正常情况下,我们一般解锁手机,登录微信时,大家应该很少输入微信的帐号和密码,这样的话,我们很容易登录到微信中,进入到“微信钱包”功能,在5.4的版本中,我们很容易发现,支付功能没有提供手势加锁,但是我们要使用支付的时候,需要手机主人的支付密码(ok,还是那句话,密码破解,想都不要想),这个时候,我们想着可是尝试去修改密码,ok,试一试之后,你会神奇的发现,你尽然成功了。怎么弄,先解除绑定->然后利用你手中的3样利器(手机、身份证、银行卡)重新绑定,设置新密码,ok,密码设置成功了,那边,你就发现,小偷这个时候就可以为所欲为了。

不过,大腾讯还是有两把刷子的,很快推出了微信6.0版本,如果你设置了微信6.0版本中的”支付提供的手势加密“,那么,你微信钱包的钱基本可以高枕无忧了。要修改你的支付密码,都要突破你的加密手势或支付密码,相对还是有难度的。

       但是,感觉从原理上将,没有进行实名认证,还是很难做到只有你本人知道你的微信支付密码,只有你本人才能修改你的微信支付密码。

微信,为了方便大家使用,免去了每次登录都要输入帐号密码的屏障,同时为我们后面的安全支付带来了一种风险,所以,大家还是一定要注意啊。

       最后,想说的是,微信,一定要升级到6.0,设置支付-手势密码!!!财付通的实名认证也试试。


第三种:易信支付

       可能是由于易信是一个合资产品,网易在这一块投入的人力还是有限。感觉到目前为止(2014年10月24日凌晨4点),本人的米3手机上安装的易信一定的风险。

       刚开始,本人没有开启”隐私保护“功能,就是4字密码加密。那样,如果我的3样(手机、身份证、银行卡)同时落到小偷手上,那么,我一定会发生钱财丢失。小偷会很轻易的进入到我的银行卡支付——解除银行卡绑定——忘记密码——重新绑定(绑定信息基本都具备了)——设置密码,那样,我的钱财就轻易的丢失了。

       但是如果设置了”隐私保护“功能,那么,小偷一时半会突破不了”4字密码“,那么就进入不了易信,也就进入不了银行卡支付这一块。

       易信目前使用的是金融产品是网易宝,网易宝是有实名认证的,网易宝的实名没有试过,但是应该和支付宝实名认证一个道理。

       但是,这个易信App,做的实在是太烂,安全性和微信、支付宝钱包相比还是太差,尤其是那个”忘记密码“功能,做的实在是太烂。还是有待改进啊

       不过易信有个最大的好处,就是打电话免费啊,即使对方手机上没有安装易信,没有开启wifi或数据流量,也是可以打免费电话的,这个功能牛。算是给老东家打个广告啊。

        最后,像说的是,易信,一定要设置”隐私保护“,4字密码啊!!!,同时网易宝的实名认证也试试。


        ok,就说这么多吧。感觉电子支付这里面的门道,还是挺多的哈,大家看到了一定要注意啊!

        对了,现在的android机(4.4)版本之下的,还是最好给手机设置密码锁啊,不要像我,手机丢了,就麻烦大了,说不定艳照都给暴露了啊。哈哈。不过Android L版不存在安全性问题,不知道是啥意思哈哈。

手机第三方支付产品安全性