无论使用浏览器还是使用手机上的APP, 手机上目前的安全措施都是比较脆弱的。就像电脑上如果不使用带显示的U盾支付,是不安全的一样。
为了解释为什么不安全,我们需要解释下U盾,动态口令卡,短信验证码等这些安全因素的由来:先看看我们常规的支付场景:
我们在超市里选好货物,到收银台,收银员点货结算,我们确认金额后从口袋里掏出钱,自己点一遍,然后递给收银员,收银员点后完成交易。现在我们到互联网了,看看我们的支付场景:逛淘宝店,选好货物后加入购物车,进入结算页面,进入支付宝页面,确认自己买的货后,通过用户密码告诉电脑,‘你付款给买家吧’。
我们对比两个流程,发现最大的区别就是,实体店花钱的时候是从个人的口袋里进出,自己把关,而在网上购物的时候,电脑好像我们的管家,负责和我们确认买的东西,以及保管钱,花钱。如果我们完全信任电脑这个管家,没问题。如果电脑这个管家变坏了,这个时候,可能将你的钱乱花了。
举个简单的例子,你想给张三转三万块钱,管家从你手里拿到了3万块钱的授权,转手转给了别人。就像在电脑支付的时候,显示的是给张三转钱,但木马控制了电脑,将钱转给了李四,我们还不知道。这就是电脑和手机用来支付(当管家)不安全的根源,简单讲,手机电脑是傻子,如果没有被植入恶意程序前,对你100%的忠诚,但被恶意软件控制后,就对控制着百依百顺了。为了看好管家,怎么办呢? 如果通过给电脑上安装各种安全软件,这就是个悖论,自己怎么监管自己呢?所以得找一个人看着管家。正是因为这个原因,出现了各种各样专门看“管家”的东西,动态口令卡,U盾,短信验证码等等。
现在您要问了,这些东西安全吗?动态口令卡:这个东西只能保证用户知道自己花钱了,但不能保证用户花的钱是自己想花的,因为电脑还是会篡改给你看的东西,显示器显示的,和提交给银行的信息不一样。为了解决这个问题,短信认证,不得不承认这是个好东西,你既可以保证每次都是自己付钱,而且从银行确认了花钱干啥,这时候电脑想骗你都不行,因为银行通过短信给你确认了。从实用角度讲,这种支付解决方案的成本最低,安全性还可以。但存在的问题,就是现在攻击手机太容易了,手机上装个木马,截获你的短信,不让手机告诉你你有支付行为。
这种攻击的难点是黑客要在你的电脑客户端拿到用户名和你手机对应关系,但目前这个攻击越来越容易了,因为你每天连着电脑给手机充电,这个链路很容易被黑客攻击注入木马,也越容易锁定你。现在手机如果直接支付,这步对应关系都省略,直接在手机上把所有的东西截获就可以了,所以在手机上通过短信验证支付,理论上讲和没有短信确认一样。
为了解决以上所有的问题,目前最为有用的就是带显示的U盾。每次花钱前,电脑(管家)都要和你申请张“签名的支票”,这个“支票”银行只认你的签字确认的用途。这是怎么做到呢?过程是这样的,你打算给张三转一万块钱,电脑(管家)首先准备好张“支票”,上面写了转给张三一万,这张票据交给你带显示的U盾,U盾将这张支票的内容通过它的显示屏让你确认,如果没有问题,U盾一般带个按钮,我们确认没有问题后,按下那个按钮,才能完成对这张给张三的支票的签名。然后管家带着这张“支票”去银行转账,这个时候,它只能转给张三,因为银行能够验证内容要是你签名确认过的。正是通过这种办法,阻止了管家的犯罪。
也许你还会接着问,那么U盾会不会骗我呢? 问题的终极答案是,U盾骗你的几率很小,因为U盾的设计原则是只会做固定的几件事,不容易学坏。最关键的是,如果是安全设计的U盾, 需要考虑如下:第一,U盾的代码不能更改; 第二,确认签名的过程是通过硬件实现的,也就是说,软件不能模拟你按键确认的动作。
安全没有止境,欢迎大家找到新的攻击方案,期待中….
温馨提示:答案为网友推荐,仅供参考