網(wǎng)銀安全嗎����? 網(wǎng)銀快捷支付安全嗎?首先了解下什么是快捷支付�?快捷支付指用戶購買商品時(shí)���,不需開通網(wǎng)銀,只需提供銀行卡卡號(hào)�����、戶名�����、手機(jī)號(hào)碼等信息�����,銀行驗(yàn)證手機(jī)號(hào)碼正確性后����,第三方支付發(fā)送手機(jī)動(dòng)態(tài)口令到用戶手機(jī)號(hào)上,用戶輸入正確的手機(jī)動(dòng)態(tài)口令�����,即可完成支付���。
快捷支付和網(wǎng)銀相比���,哪個(gè)更安全呢
支付寶和網(wǎng)銀安全對(duì)比
支付寶的安全主要依靠數(shù)字證書�����、支付盾(價(jià)格58元)�、寶令(價(jià)格33元�,已停止銷售)、手機(jī)寶令����。銀行網(wǎng)銀有些特殊��,不同銀行的網(wǎng)銀使用不同的安全策略���,但原理基本差不多��,主要是USBKey和動(dòng)態(tài)密碼鎖��。
從原理上看�,USBKey相當(dāng)于支付盾����,動(dòng)態(tài)密碼鎖相當(dāng)于寶令����,其安全性基本相當(dāng)�����。數(shù)字證書相當(dāng)于將USBKey里的私鑰存儲(chǔ)在電腦上����,安全性不如USBKey,但使用起來更方便一些�。
黑客對(duì)于USBKey的攻擊大多使用木馬病毒程序控制并攻擊USBKey的驅(qū)動(dòng)層,USBKey這種安全策略也并非萬無一失��,提高安全的方法是改造USBKey本身�,我見過的一種比較好的改造方法是工行的USBKey,其在USBKey上增加了一個(gè)顯示屏和確認(rèn)按鈕����,交易的時(shí)候會(huì)顯示金額在USBKey上,用戶點(diǎn)USBKey的確認(rèn)按鈕后才能完成交易�����,這讓基于電腦的木馬病毒難以對(duì)交易進(jìn)行篡改和攻擊。
值得一提的是����,不同銀行的網(wǎng)銀安全性也不一樣,有的銀行網(wǎng)銀具有較高的安全性���,但有的銀行網(wǎng)銀會(huì)有一些非常低級(jí)的漏洞���,媒體上也經(jīng)常會(huì)有網(wǎng)銀賬戶被盜的新聞報(bào)道,因此用戶應(yīng)該將資金放在安全性較好的銀行里�����。
而對(duì)于支付寶的攻擊�,大多是通過手機(jī)端���,未綁定支付盾的支付寶���,絕大多數(shù)安全驗(yàn)證依賴支付寶綁定的手機(jī),黑客可以通過移動(dòng)運(yùn)營商的漏洞來掌控用戶的手機(jī)�����,以此攻擊支付寶賬戶,例如���,如果黑客通過一定途徑獲得了某用戶的身份證號(hào)碼和手機(jī)號(hào)碼�����,使用偽造的身份證就可以通過某些移動(dòng)運(yùn)營商成功申請(qǐng)到該手機(jī)的SIM卡�����,通過這個(gè)SIM卡和身份證號(hào)即可重置支付寶密碼���,還可以申請(qǐng)數(shù)字證書,好在支付寶的支付密碼需要通過“安全保護(hù)問題+電子郵箱”的方式才能重置����,從一定程度上緩解這種威脅。對(duì)于支付寶里存有大量金額的用戶來說�,還是啟用支付盾更為安全。
快捷支付安全嗎
由上述分析可見����,開通了支付盾的支付寶,其安全性并不必網(wǎng)銀差���,那么�,支付寶的快捷支付是否也一樣安全呢?
快捷支付是一種方便��、快速的支付方式�����??蛻艨赏ㄟ^將個(gè)人第三方支付賬戶關(guān)聯(lián)自己的儲(chǔ)蓄卡或者信用卡,每次付款時(shí)只需輸入第三方支付賬戶的支付密碼和手機(jī)校驗(yàn)碼即可完成付款��,從而繞開了銀行支付網(wǎng)絡(luò)��,只要綁定了銀行卡�����,用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉(zhuǎn)賬��。我早先曾經(jīng)在一篇文章中討論過快捷支付的安全問題�,總的來說�����,快捷支付的安全關(guān)鍵在于手機(jī),要保證手機(jī)絕對(duì)安全����,特別是保證短信安全,那才能保證快捷支付的安全����。
對(duì)于快捷支付的攻擊方法就更多了,如果用戶開通了小額支付免輸密碼�,黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金���,還需要用戶的支付密碼方可�,這里黑客就采用各種方法攻擊用戶的支付密碼即可���。
通常的攻擊方法除了在電腦端的木馬和釣魚網(wǎng)站之外����,還有通過手機(jī)APP應(yīng)用的攻擊方法����,黑客可以先將具有盜號(hào)功能的惡意應(yīng)用發(fā)布到各個(gè)應(yīng)用商店或論壇里,如果用戶使用Android手機(jī)下載并安裝這類惡意應(yīng)用(例如假冒的游戲應(yīng)用)��,那么惡意應(yīng)用就在后臺(tái)攔截用戶短信通訊,然后再偽裝一筆轉(zhuǎn)賬�����,通過截獲用戶短信來完成交易�����,或者通過后臺(tái)將用戶引導(dǎo)到釣魚網(wǎng)站來截獲支付密碼��,這樣就完全避規(guī)了銀行的USBKEY等令牌系統(tǒng)��,從而盜取用戶資金����。
為了應(yīng)對(duì)這種情況,支付寶還推出了一個(gè)手機(jī)寶令這樣的動(dòng)態(tài)令牌來加強(qiáng)手機(jī)支付的安全性����,用戶啟用手機(jī)寶令后,即可看到一個(gè)每分鐘都變化的一次性密碼的“動(dòng)態(tài)令牌”����,在原有的短信基礎(chǔ)不變上�,增加上這個(gè)動(dòng)態(tài)令牌�����,這樣��,惡意應(yīng)用即使攔截了用戶短信和一次性密碼也沒用��,因?yàn)闊o法計(jì)算出下次支付所需要的動(dòng)態(tài)密碼��,所以會(huì)使得竊取用戶資金會(huì)失敗�����。
動(dòng)態(tài)令牌這個(gè)方案解決了黑客通過惡意應(yīng)用盜取用戶銀行卡資金的威脅����,但如果用戶手機(jī)被偷的話����,別人就可以在手機(jī)上看到這個(gè)“動(dòng)態(tài)令牌”,因此更為理想的方案是�,快捷支付再綁定一個(gè)動(dòng)態(tài)令牌硬件(非手機(jī)動(dòng)態(tài)令牌應(yīng)用),例如已經(jīng)停售的寶令����,動(dòng)態(tài)令牌可以掛在鑰匙鏈上�����,這樣即使手機(jī)丟了�����,沒有動(dòng)態(tài)令牌也無法轉(zhuǎn)賬��,動(dòng)態(tài)令牌丟了��,沒有支付寶密碼也一樣無法轉(zhuǎn)賬��。這樣的方案就能夠大幅提高快捷支付的安全性�,并且技術(shù)上也很容易實(shí)現(xiàn)����,無需驅(qū)動(dòng),這樣用戶就不用害怕自己的手機(jī)被盜而引起的資金財(cái)務(wù)風(fēng)險(xiǎn)了���。
總而言之�����,用戶如果能保證自己的手機(jī)和短信的絕對(duì)安全�,快捷支付就是安全的,否則就是不安全的��。
如何保證支付安全
如果用戶的資金被盜����,銀行或支付寶是否會(huì)賠付呢���?對(duì)于銀行來說����,如果黑客通過密碼的方式竊取用戶資金�����,通常銀行不會(huì)給用戶賠付���。對(duì)于支付寶來說����,賠付條件也基本類似�,如果是由于用戶的原因(例如主動(dòng)告知他人、被詐騙、被釣魚等)導(dǎo)致支付寶賬戶密碼����、支付寶賬戶登錄及支付密碼、校驗(yàn)碼泄露的不予賠付���。因此���,用戶為了自己賬戶內(nèi)資金的安全,必須要養(yǎng)成良好的安全上網(wǎng)習(xí)慣����。
