随着移动互联网的发展,各种新的支付方式不断推出,而每一种支付方式推出的时候,都说自己是安全的,可靠的,甚至支付宝、微信和360还推出了网购包赔的服务。对于最终消费者而言,安全始终还是选择支付方式最重要的参考因素,所以每种支付方式都必须从安全上进行周到地考虑,以解决用户的后顾之忧。
最近,一种新的观念在业内渐渐扩散开来,有一部分人认为当前的各种支付手段已经足够安全了,不需要额外再增加一颗SE(安全模块)来保障支付安全。而SE则是银行和银联等传统金融机构所坚持的基本支付安全保障方式。
我们邀请了移动支付领域的专家,帮大家分析一下当前的各种支付方式以及他们的安全措施存在的危险性。
一. 流行的几种新型支付方式
当前互联网上的支付方式大致包括以下几种:
1. 用户名密码支付。
这是最传统的支付方式,用户只需要在终端设备(PC或者手机)上输入个人的用户名和密码,即可完成支付。这种方式目前还在大多数的手机网银、第三方支付的支付平台的大众版上使用。这种支付方式的主要安全手段是数字证书、用户名密码、验证码、短信验证等。
2. 磁条卡刷卡器。
2012年,受Square刷卡器的刺激,国内磁条卡刷卡器着实火了一把,无数个刷卡器厂家如雨后春笋般地冒出来。用户将自己的银行 卡在磁条卡刷卡器刷一下,就可以实现远程支付。大多数磁条卡刷卡器由第三方支付公司发行并使用,在国内,磁条卡刷卡器不可以用于收单,只能用于个人远程支付。这种支付方式的主要安全手段是用户名密码、数字证书、验证码、短信验证、加密磁头等。
3. 近场配对支付。
这种支付方式是指通过近场通信的方式交换付款和收款信息,然后在远程完成付款和收款动作。近场配对的方式包括蓝牙、声波、NFC等等。声波支付是支付宝当面付业务的主要支付方式,而在11月20日MTK真8核发布会上,支付宝展示了新的近场配对方式,即使用MTK的HotKnot技术实现的以触屏为媒介的近场配对,两个手机屏幕贴一下,就可以实现数据传输。还有一种支付方式是使用类似微信摇一摇的功能,寻找附近的人,来实现近场配对,但基本的支付逻辑是一样的。近场配对支付的主要安全手段是用户名密码、数字证书、验证码、短信验证。
本文为《国际电子商情》原创,版权所有,谢绝转载
本文下一页:以上主要安全手段的隐患
相关阅读:
• NFC开启移动门禁管理新时代
• NFC与指纹识别技术,替代还是互补?
• 移动支付推动,NFC需求看涨9O2esmc
{pagination}
二. 以上主要安全手段的隐患
分析以上这些支付手段,虽然大家都有自己的一套安全体系,但所用到的安全手段无外乎以下几种:数字证书、用户名密码、验证码、OTP动态密码、短信验证等,以下分析各种安全手段的原理与隐患。
1. 数字证书技术。
在手机客户端上存储安全证书,在接入支付服务器时建立一个SSL连接,一方面保证不会被接入到钓鱼网站,另一方面通过会话密钥协商机制保证在互联网上传输的数据都是密文。这种技术主要解决的是网络上的中间人攻击,但无法解决驻扎在手机终端上的木马病毒对支付行为的监控和攻击以及对用户证书密钥的盗用。
2. 用户名密码。
用户名和密码是最为传统的身份识别方式,密码的设置既要求足够复杂又要求便于记忆,这给用户记忆和存放密码带来了很大的烦恼,最后往往是使用生日、电话这类信息作密码或者多个应用使用同一个密码。在当前的计算机技术条件下,暴力破解用户密码已经很容易了,另外,在手机终端上输入的密码还很容易被木马病毒窃取。因为密码复杂,所以每个应用都会提供一个密码找回机制,而这个机制反而成为攻击者攻击的重点对象,通过假冒身份进行用户密码的找回,很轻易地就能将用户的账户控制在自己的手中。
3. 验证码。
验证码是指在交易过程中输入随机产生的验证码来防止交易数据被重放攻击的一种安全手段,有时,这个验证码会参与交易活动,有时验证码仅仅能够起到给用户添加麻烦的功能。验证码最初设计是为了强制用户人工参与,从而防止木马病毒的后台操作,而随着图像识别技术的发展,现在的验证码已经不堪一击了!
4. OTP动态密码。
OTP(One Time Password)动态密码是一种一次一密的安全技术,每次交易都使用不同的密码。最早的OTP是一张刮刮卡,上面有很多预置的密码,每次按UI提示的坐标使用一个。后来出现了动态密码器,每次交易密码由动态密码器产生,并和服务器同步,有的动态密码器会要求输入一个挑战数,这个挑战数由交易数据产生,会参与到交易中。OTP技术主要是防范了密码被窃取的危险,但是却无法防范交易终端上的木马病毒对于交易数据的篡改。
5. 手机绑定,短信验证。
通过将用户的手机与账户绑定几乎成为当前所有的支付方式都会采用的安全手段。手机绑定可以实现以下几种功能:
A、交易信息短信提示,让用户尽快发现未授权交易,属于事后安全。
B、交易验证码短信,让用户手机参与到交易中,防止木马病毒的攻击。
C、密码找回短信,将找回密码的验证信息发送到手机,验证用户身份。
D、交易链接短信,将交易的地址直接发送到手机,防止用户进入钓鱼网站。从安全的角度来看,手机绑定方式属于第二通道技术,即假设攻击者不能对两个通道同时发起攻击,从而保证交易的安全。而将手机作为第二通道的前提,则是基于对服务提供方对手机持有者身份的信任,问题是:你真的信得过手机持有者的身份吗?
本文为《国际电子商情》原创,版权所有,谢绝转载
本文下一页:移动运营商不会为你的安全负责
相关阅读:
• NFC开启移动门禁管理新时代
• NFC与指纹识别技术,替代还是互补?
• 移动支付推动,NFC需求看涨9O2esmc
{pagination}
三. 移动运营商不会为你的安全负责
随着移动互联网的发展,手机上的病毒和木马正在恣意蔓延,任何手机上的输入、输出都会被截获,手机上存储的证书、密钥都会被盗用,交易数据会被篡改,即使是加密磁头输入的数据,也可以被用于重放攻击,因为加密磁头的密钥是静态不变的。在手机终端的操作系统普遍不可信的形势下,手机短信已经成为几乎所有交易方式的最后一道防火墙。每次当我们谈到某种支付方式不安全,存在被攻击的漏洞时,一定会有人说:不要紧,我们再搞个短信认证。但是短信认证真的可信吗?短信通道至少具有以下漏洞:
A、手机SIM卡很容易被复制;
B、用户短信收发是可以在空中被截获的;
C、短信发送号码可以伪造;
D、申请手机号码或者补卡可以使用身份证复印件。
E、超小型伪基站可作中间人攻击。
最近关于短信漏洞造成的支付安全事故层出不穷,案例很多,这里就不一一描述了。
从根本上来讲,任何应用的安全基础都要建立在可信的安全要素上,尤其是支付类的安全,更应该严格控制安全要素的可信度,所以大多数银行和支付机构都会建立自己的密钥体系或者使用银联、人民银行的密钥体系,不会轻易信任其它的安全要素。手机绑定机制所依赖的安全要素来源于手机实名制,可信的基础包括:移动运营商为大型国有企业,信用可靠;移动运营商会严格审查用户的身份信息;移动运营商的网络通道是专有的;用户的手机号码是独一无二的等等。但实际上,如上文所提到的,移动运营的平台还是有很多漏洞的,所以,绑定手机其实是一种不可信的安全方案,手机号码是一种不可信的安全要素,更何况,移动运营商并不承诺为你提供安全认证服务,所以不会对基于手机绑定产生的安全问题承担任何责任。把最后的安全屏障交给一个不对你的安全负责的人,后果可想而知。
本文为《国际电子商情》原创,版权所有,谢绝转载
本文下一页:移动支付需要SE才安全
相关阅读:
• NFC开启移动门禁管理新时代
• NFC与指纹识别技术,替代还是互补?
• 移动支付推动,NFC需求看涨9O2esmc
{pagination}
四. 移动支付需要SE才安全
受访专家指出,任何安全都应该是一个系统化的方案,它包括密钥安全、算法安全、逻辑安全、管理安全。密钥安全是指存放密钥的位置是安全的,密钥和安全要素不可以被非法获取;算法安全是指用来做加解密的算法是高强度的,即使算法公开,但在没有密钥的情况下,不易被破解;逻辑安全是指设计的各种应用逻辑应该是安全的,充分考虑了各种攻击的可能性;管理安全是指对组织的管理应该是科学有效的,组织内各人的行为是可控的。
正因为密钥安全如此之重要,所以大多数安全级别高的系统都会要求使用SE来存储用户密钥和终端密钥。SE具有很多特殊的安全机制防止安全要素如密码、密钥、证书、安全ID等等数据被非法窃取,SE还可以提供加密解密的功能,从而有效防止木马病毒对交易数据的篡改。
随着NFC的普及,移动支付越来越近了,而对于移动支付来讲,最重要的已经不是如何进行近场通信了,而是如何将我们的安全要素放到可信的地方,即SE里面。目前移动终端的SE有三种形式,一种是SIM卡形式,这种方式基本在移动运营商的把控之下;另外一种SD卡形式,因为成本高企目前使用者极少;还有一种是eSE的形式,是指将智能卡进行DFN或者QFN封装,直接放到手机主板上,目前大多数内置NFC功能的手机也内置了eSE。在近几年的移动支付标准之争中,各方争夺的焦点一直在通信方式、SE的存在形式以及SE的控制权上,从来没有任何一方想过要抛开SE来做移动支付,因为如果没有SE,安全就毫无保障。
中国三大运营商今年已经全部完成了SWP-SIM卡的测试,2014年SWP-SIM卡的发卡量将有望超过6000万,EuroSmart调查数据显示2013年全球NFC设备上的安全芯片出货量将超过2.65亿片,其中SIM卡有8000万,不足30%,其余的全部是eSE。预计2014年全球NFC设备上的安全芯片出货量预计将增长到4.5亿片。
本文为《国际电子商情》原创,版权所有,谢绝转载
相关阅读:
• NFC开启移动门禁管理新时代
• NFC与指纹识别技术,替代还是互补?
• 移动支付推动,NFC需求看涨9O2esmc
责编:Rain
扫码分享到好友
