支付安全的本質(zhì)

支付安全的本質(zhì)，是要體現(xiàn)賬戶擁有者的真實(shí)意圖。

如何突破支付安全

根據(jù)支付安全的定義，有這么幾種方式可以突破支付安全：

1，偽裝成賬戶擁有者，發(fā)出偽造的支付意圖

2，誤導(dǎo)賬戶擁有者，讓用戶在誤導(dǎo)下發(fā)出錯(cuò)誤的意圖

3，攔截篡改支付行為，用戶發(fā)出了意圖A，壞人在半路改成意圖B

如何防范支付安全

1，體現(xiàn)為反盜號(hào)

2，體現(xiàn)為反釣魚

3，體現(xiàn)為通訊安全機(jī)制，比如SSL；也體現(xiàn)為防篡改，比如頁面上做一些復(fù)雜校驗(yàn)。

木馬程序可以同時(shí)影響2和3，既可以誤導(dǎo)，又可以攔截篡改。

支付額度控制之類的算一般性措施，這個(gè)措施有其局限性。

所謂風(fēng)控模型，首先要定義風(fēng)控實(shí)體，這個(gè)實(shí)體是一系列信息的組合，通常是為了定義一個(gè)支付用戶，然后要定義風(fēng)控策略，比如什么情況下允許多少額度。木馬如果長(zhǎng)時(shí)間偽造成賬戶擁有者，模型必定是要失效的。

手機(jī)支付面臨的風(fēng)險(xiǎn)

反盜號(hào)、反釣魚、通訊安全、防篡改、反木馬這是各個(gè)支付渠道都要考慮的問題。

手機(jī)支付的缺點(diǎn)在于短信驗(yàn)證的功能可能會(huì)失效，使得反盜號(hào)的力度下降。因?yàn)槭謾C(jī)如果作為單一渠道，可能完全被木馬接管了。

作為單一渠道，完全僅靠手機(jī)目前已經(jīng)可以進(jìn)行較大額度的支付操作了，因此防范手機(jī)支付風(fēng)險(xiǎn)是有意義的。目前的支付額度控制是不夠嚴(yán)格的，特別是木馬劫持行為持續(xù)時(shí)間比較長(zhǎng)的話（短信被劫持，你甚至都不知道自己被偷偷進(jìn)行了支付）。

PC支付的時(shí)候，即使電腦被木馬完全接管了，因?yàn)榇箢~支付需要手機(jī)驗(yàn)證，損失可以控制到很低。（這里引申出一個(gè)議題，支付賬號(hào)與手機(jī)號(hào)碼的綁定關(guān)系，是非常敏感的信息，劫持了你PC的木馬可能會(huì)嘗試劫持你的手機(jī)，以此打通支付鏈條。劫持方法可能是給你的手機(jī)號(hào)碼發(fā)送釣魚短信，引誘你點(diǎn)擊危險(xiǎn)的鏈接。）

手機(jī)支付應(yīng)采取的安全策略

手機(jī)支付使得短信驗(yàn)證變得不可靠。

如果手機(jī)被木馬完全劫持，則曾經(jīng)輸入過的密碼也會(huì)被木馬記住。

風(fēng)控模型可能會(huì)采集更多的信息來建立風(fēng)控實(shí)體，使得盜號(hào)變得更困難。但是如果手機(jī)是被完全控制的單一渠道，則邏輯上是可突破的，只是增加了木馬的設(shè)計(jì)難度而已。

因此，在手機(jī)上，最好一次都不要輸入你的支付賬號(hào)密碼，以此進(jìn)行信息隔離。確保木馬完全控制手機(jī)之后，仍然無法接觸到支付賬號(hào)和密碼信息。

PS：

我僅是根據(jù)我調(diào)研到的信息進(jìn)行分析，有可能手機(jī)上還存在我尚不了解的安全機(jī)制。如果存在那樣的機(jī)制，則我得到的結(jié)論可能要進(jìn)行修改。

轉(zhuǎn)載于:https://www.cnblogs.com/hehe520/p/6330344.html

與50位技術(shù)專家面對(duì)面20年技術(shù)見證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的对手机支付安全机制的思考的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。