互聯(lián)網(wǎng)快捷支付的安全風(fēng)險(xiǎn)

電子商務(wù)離不開網(wǎng)上支付，在第三方支付出現(xiàn)以前，傳統(tǒng)網(wǎng)上支付業(yè)務(wù)一直是銀行提供的網(wǎng)上支付服務(wù)，非銀行金融結(jié)構(gòu)和非金融企業(yè)尚未介入。但隨著電子商務(wù)的進(jìn)展，幾家大的第三方支付企業(yè)均通過各種方式開展網(wǎng)上支付、快捷支付等服務(wù)，其中最主要的形式是“快捷支付”。

快捷支付是一種方便、快速的支付方式?？蛻艨赏ㄟ^將個(gè)人第三方支付賬戶關(guān)聯(lián)自己的儲蓄卡或者信用卡，每次付款時(shí)只需輸入第三方支付賬戶的支付密碼和手機(jī)校驗(yàn)碼即可完成付款，從而繞開了銀行支付網(wǎng)絡(luò)。目前，支付寶、財(cái)付通等主要支付公司都推出了這項(xiàng)服務(wù)。用戶使用廣泛，但對于快捷支付及其安全方面措施，很多人都會想到這樣一個(gè)問題，快捷支付會不會對自己銀行卡里的資金造成風(fēng)險(xiǎn)？

銀行的網(wǎng)上支付通常采納USB KEY等物理硬件設(shè)備來保障交易的安全性，我在早先的一篇文章中也討論過USB KEY的安全性，這種設(shè)備通過數(shù)字證書和認(rèn)證的方式來保障交易的安全性，用戶只要使用得當(dāng)，總的來說是較難破解的。

快捷支付的安全關(guān)鍵在于手機(jī)，要保證手機(jī)絕對安全，特別是保證短信安全，那才能保證快捷支付的安全。如果有人知道了用戶的支付寶或財(cái)付通帳號，同時(shí)又掌握了用戶的手機(jī)，那就意味著該用戶帳號里綁定銀行卡的資金就很容易被盜用，即使用戶修改了銀行卡的密碼也無法阻止。

隨著越來越多的中國用戶使用Android智能手機(jī)，“快捷支付”的風(fēng)險(xiǎn)就越來越明顯，因?yàn)锳ndroid手機(jī)上的惡意應(yīng)用非常多，黑客可以先將具有盜號功能的惡意應(yīng)用公布到各個(gè)應(yīng)用商店或論壇里，如果用戶使用Android手機(jī)下載并安裝這類惡意應(yīng)用（例如假冒的游戲應(yīng)用），那么惡意應(yīng)用就在后臺攔截用戶短信通訊，然后再偽裝一筆轉(zhuǎn)賬，通過截獲用戶短信來完成交易，這樣就完全避規(guī)了銀行的USB KEY等令牌系統(tǒng)，從而盜取用戶資金。

我覺得更安全的“快捷支付”是這樣的，提供一個(gè)“快捷支付”的客戶端，該客戶端提供一個(gè)每分鐘都變化的一次性密碼顯示，即“動態(tài)令牌”，在原有的短信基礎(chǔ)不變上，增加上這個(gè)動態(tài)令牌，這樣，惡意應(yīng)用即使攔截了用戶短信，因?yàn)闊o法攔截到手機(jī)動態(tài)密碼，所以竊取用戶資金會失敗。而動態(tài)令牌的解密，需要破解私鑰，并不容易。

這個(gè)方案解決了黑客通過惡意應(yīng)用盜取用戶銀行卡資金的方法，但如果用戶手機(jī)被偷的話，別人就可以在手機(jī)上看到這個(gè)“動態(tài)令牌”，因此用戶如果手機(jī)被盜，應(yīng)該及時(shí)上網(wǎng)修改動態(tài)令牌，并打電話給移動運(yùn)營商掛失SIM卡。