科技猎支付宝和微信的二维码『刷卡』支付服务够不够安全,有何隐患 ?
支付宝 和微信的二维码『刷卡』支付服务够不够安全
每当点击进入刷卡功能,屏幕上会分别出现一个可供扫描的二维码和条形码。也就是说,经过微信支付认证的商户,可以直接通过线下的扫码设备扫描这两个码,来向顾客收费。这个功能直接与“微信支付”相连接,用户可以选择使用钱包里的“零钱”或绑定的银行卡和信用卡进行支付。
支付类的安全主要是两个方面:
- 技术手段的安全性;
- 业务流程的安全性。
目前看, 微信 新的扫码支付安全性,相当于刷一个小额无密信用卡的安全级别。
一、技术上的安全性
本身二维码只是一段索引信息,真正的数据在生成二维码系统的后台,所以二维码本身是安全的。
二维码的风险主要体现在两个方面:
1、二维码生成者不安全。 即钓鱼风险,这也是传统二维码模式最大的风险点,也是”技术无法规避的风险“。欺骗者生成一个二维码,通过种种手段骗你去扫,扫完后欺骗你做一笔支付。这类风险主要发生在主扫式,即商户生成订单,客户扫描订单二维码。
2、二维码被复制。
二维码被复制的成本非常低,但复制能够产生的收益也极低。这类风险主要发生在被扫式,即客户生成二维码,商户扫描。
其他如被劫持替换等,都和以往的WEB安全没有本质区别。
这次微信相当于生成一张实体卡的“影子”,如果在1分钟内,二维码被其他人复制使用,理论上是有风险的,但我估计生成时加入了时间戳+机器设备标识,所以微信通过时间+单点登录+设备识别解决了这个问题。
也就是说,哪怕我可以仿制出所有卡片的信息,但如果我没办法在同样的设备上,在被访者没有登录的情况下使用,也是没有意义的。
二、业务流程的安全性
这个就非常复杂了。现在的支付风险也主要体现于此。简单的跨站、SQL注入经过扫描和渗透测试都可被发现,但业务流程风险就全靠人琢磨了。
客户的安全
和二维码支付相关的业务流程有:
1、微信支付的开通 ;需要验证身份证,手机号,如果是信用卡则要验有效期等,必须和银行预留的一致;如果你的卡相关信息在银行预留的没有问题,手机号不是别人的(我不理解很多人在银行留别人手机号这么危险的行为)等,就保证了开通的安全,当然如果有人知道你的全部信息这个就没安全性可言了。
2、支付时的安全: 第一次需要输入微信支付密码,以后每次重登录后需要输入微信支付密码,允许在其他机器登出。
微信这次的做法很聪明: 客户生成二维码,也就是实体卡的“影子”,商户借助微信POS扫描二维码;信息合法性和双方的身份认证都由微信的后台系统来保证,基本规避了业务流程安全。
他的安全手段主要依靠“微信密码+微信支付密码”, 当你更换设备或者不更换但重登录后,都会要求重新验证“微信密码+微信支付密码”,所以这两个不丢,就基本保证了客户的安全。
当然如果手机丢了,没有及时登出微信;或者微信被盗号,被人破解了微信登录密码+支付密码,也会有风险;但此类风险就和你丢失了一张无密信用卡,没有及时向银行挂失是一样的。况且,额度和交易次数限制的极低(10笔,300元)。
而商户端的安全如何保证呢?商户也会被骗刷。但被骗刷在微信里几乎很难行的通。因为必须在微信后台找到对应的实体卡,所以即使破解了二维码生成算法,生成一张可以刷过的二维码,在后台也是一样要找到对应的实体卡才可以,所以意义不大。
而配套的后台风控:如可疑交易筛查,可疑用户筛查,可疑商户筛查等等,以及投保,都保证了风险发生后,把风险损失降到最低。
所以说,有风险,但风险是完全可接受的。 但一旦未来微信添加一些其他业务,大概就要重新考虑了。
所以说,二维码支付总体而言是足够安全的。
扩展阅读:
转载请注明: SOSEO博客 » 支付宝和微信的二维码『刷卡』支付服务够不够安全,有何隐患?