互聯(lián)網(wǎng)快捷支付的安全風(fēng)險

電子商務(wù)離不開網(wǎng)上支付，在第三方支付出現(xiàn)以前，傳統(tǒng)網(wǎng)上支付業(yè)務(wù)一直是銀行提供的網(wǎng)上支付服務(wù)，非銀行金融結(jié)構(gòu)和非金融企業(yè)尚未介入。但隨著電子商務(wù)的進展，幾家大的第三方支付企業(yè)均通過各種方式開展網(wǎng)上支付、快捷支付等服務(wù)，其中最主要的形式是“快捷支付”。

快捷支付是一種方便、快速的支付方式?？蛻艨赏ㄟ^將個人第三方支付賬戶關(guān)聯(lián)自己的儲蓄卡或者信用卡，每次付款時只需輸入第三方支付賬戶的支付密碼和手機校驗碼即可完成付款，從而繞開了銀行支付網(wǎng)絡(luò)。目前，支付寶、財付通等主要支付公司都推出了這項服務(wù)。用戶使用廣泛，但對于快捷支付及其安全方面措施，很多人都會想到這樣一個問題，快捷支付會不會對自己銀行卡里的資金造成風(fēng)險？

銀行的網(wǎng)上支付通常采納USB KEY等物理硬件設(shè)備來保障交易的安全性，我在早先的一篇文章中也討論過USB KEY的安全性，這種設(shè)備通過數(shù)字證書和認證的方式來保障交易的安全性，用戶只要使用得當，總的來說是較難破解的。

快捷支付的安全關(guān)鍵在于手機，要保證手機絕對安全，特別是保證短信安全，那才能保證快捷支付的安全。如果有人知道了用戶的支付寶或財付通帳號，同時又掌握了用戶的手機，那就意味著該用戶帳號里綁定銀行卡的資金就很容易被盜用，即使用戶修改了銀行卡的密碼也無法阻止。

隨著越來越多的中國用戶使用Android智能手機，“快捷支付”的風(fēng)險就越來越明顯，因為Android手機上的惡意應(yīng)用非常多，黑客可以先將具有盜號功能的惡意應(yīng)用公布到各個應(yīng)用商店或論壇里，如果用戶使用Android手機下載并安裝這類惡意應(yīng)用（例如假冒的游戲應(yīng)用），那么惡意應(yīng)用就在后臺攔截用戶短信通訊，然后再偽裝一筆轉(zhuǎn)賬，通過截獲用戶短信來完成交易，這樣就完全避規(guī)了銀行的USB KEY等令牌系統(tǒng)，從而盜取用戶資金。

我覺得更安全的“快捷支付”是這樣的，提供一個“快捷支付”的客戶端，該客戶端提供一個每分鐘都變化的一次性密碼顯示，即“動態(tài)令牌”，在原有的短信基礎(chǔ)不變上，增加上這個動態(tài)令牌，這樣，惡意應(yīng)用即使攔截了用戶短信，因為無法攔截到手機動態(tài)密碼，所以竊取用戶資金會失敗。而動態(tài)令牌的解密，需要破解私鑰，并不容易。

這個方案解決了黑客通過惡意應(yīng)用盜取用戶銀行卡資金的方法，但如果用戶手機被偷的話，別人就可以在手機上看到這個“動態(tài)令牌”，因此用戶如果手機被盜，應(yīng)該及時上網(wǎng)修改動態(tài)令牌，并打電話給移動運營商掛失SIM卡。