网站首页 > 产业安全> 文章内容

金融知识万里行”——移动支付的安全问题

※发布时间:2018-9-12 7:20:43   ※发布作者:habao   ※出自何处: 

  随着智能手机的普及,手机已经成为 “人体”的一部分, 随之而来的是移动支付的广泛应用。 所谓移动支付,是指消费者使用移动电子设备通过移动运营商向约定银行提供的计算机网络系统发出支付指令,由银行通过计算机网络将货币支付给商业机构的一种消费支付方式。移动支付将智能终端设备、互联网、应用提供商和金融机构相融合,为用户提供货币支付、缴费等服务。

  随着智能手机的普及,手机已经成为 “人体”的一部分, 随之而来的是移动支付的广泛应用。 所谓移动支付,是指消费者使用移动电子设备通过移动运营商向约定银行提供的计算机网络系统发出支付指令,由银行通过计算机网络将货币支付给商业机构的一种消费支付方式。移动支付将智能终端设备、互联网、应用提供商和金融机构相融合,为用户提供货币支付、缴费等服务。

  目前,移动支付已经非常普及,包括国外的PayPal、Venmo, 国内的支付宝、微信支付等。不论移动支付采用何种技术来实现,其安全性都是影响支付业务能否持续发展的关键因素。移动支付的安全性涉及用户信息的保密、用户资金和支付信息的安全等问题,其面临的安全风险主要来自于无线链、服务网络和终端。移动支付可能存在的安全问题大致包括以下几个方面。

  一般来说,用户在使用手机进行支付时,由于手机本身未采用加密等安全措施进行,所以黑客们通过钓鱼网站或木马程序就可以窃取用户信息,对移动支付功能进行非法复制,造成用户重要信息的泄露。

  在用户个人的重要信息无法得到安全保障的前提下,对参与移动支付交易各方的身份识别问题就更加凸显出来。用户的账户信息、身份信息甚至密码信息等均可能已经在外,恶意可以冒用用户的信息和身份来实施消费或转账等操作。因此,移动支付须解决的一大问题就是商家、金融机构和消费者身份的确认问题。

  手机丢失会给移动支付用户带来巨大的损失。广泛使用的智能手机难以避免的一个情况就是手机的丢失问题,由于使用了移动支付功能的手机通常已经是手机卡与银行卡、信用卡相关联,现在的支付方式越来越趋近于操作便捷,对应的安全措施略显薄弱,由此可能造成用户在丢失手机后自己的移动支付帐户被他人冒用的风险。

  在移动支付的过程中,是最简单的获取非加密网络信息的形式,尤其是对于无线网络而言,由于无线网络本身的性,以及短消息等数据一般都是传输等原因,恶意通过无线空中接口进行便成为了可能。通过有可能了解支付流程,获取用户的隐私信息,甚至破解支付协议中的秘密信息。

  如果恶意截获了传输中的交易信息,并把交易信息多次传送给服务网络,则被多次重复传送的信息就有可能给支付方或接收方带来损失。如果恶意设法使用户和服务提供商之间的通信变成由者转发,那么该中间人就可以完全控制移动支付的过程,并从中非法牟利。从另一个角度分析,由于存在中间人冒用用户信息进行交易的情况,移动支付还可能存在交易行为,用户可能对发出的支付行为进行否认,也可能对花费的费用和业务资料来源进行否认。随着移动支付程度的加强,来自服务提供商的的可能性也会有所增加。

  通信过程中可能存在的另一个安全问题就是服务。恶意可以通过移动支付服务网络,使得系统服务功能,影响移动支付的正常运行,用户发起或接受相关的支付行为。

  近年来,社会上普遍发生的电信诈骗案件大多数都是围绕 “验证码” 这个关键词, 现行的很多移动支付手段都是通过用户的验证码来加强交易的安全强度,以及增加支付过程中口令的随机性和时效性。但是,验证码本身的安全性就存在隐患。支付系统在向用户发送交易验证码时大多以传输至用户手机,但由于存在上述讨论的通信过程中的安全问题,因此验证码易被窃取;由于验证码本身大多数情况是6位数字且有效期大多为1min,因此破解难度较小;此外,恶意还可以通过其他手段来获取用户的验证码信息。

  弱口令问题是另一个制约移动支付安全的关键因素,由于银行卡的交易密码大部分都为简单的 6位数字,因此破解容易,网银或支付APP的交易密码虽然使用弱口令,但是其要求的密码强度基本上也是通过增加密码的位数和复杂度来实现的,在现阶段计算机的计算能力下,破解这类的交易密码并非难事。

  随着智能手机的发展,大多数智能手机都已具备指纹识别功能,相应地移动支付应用 APP 也随之增加了指纹支付的功能。使用指纹这一生物特征作为交易口令在一定程度上提高了复杂度,但是指纹支付并不是绝对安全的,国外一些黑客组织试图破解指纹解锁,最终成功。具体的做法为:首先,获得一张足够清晰的指纹图片;然后,经过复杂的工艺,将指纹通过模仿人类皮肤的方法弄到一种材料上,就可以成功地解锁指纹密码。但是,这种方法的操作难度大且针对性强,因此,采用指纹技术进行移动支付还是相对安全的。

  经过前面的安全分析可知,指纹支付是相对而言较安全的一种方法,如果用户使用的智能手机具有内置指纹文章马伊琾度假传感器,同时支付应用又支持指纹验证的话,那么这项功能可以在一定程度上提高移动支付的安全性;如果不支持则需要设置锁屏密码。另外,就是注重手机的安全设置问题,用户通过设置手机的隐私及其相关访问功能的禁用或,保障应用程序访问权限的合。

  移动支付存在的安全隐患可能来自于非验证的应用,这一问题对于使用系统的智能手机的用户尤其突出。例如:用户从任意非应用商店下载安装的支付APP,都可能存在携带可盗取用户信息的恶意代码,用户使用这样未知安全性的应用程序就存在重要信息泄露的风险,进而增加移动支付的安全风险。

  如果用户在公共区域进行移动支付,则不要连接使用公共WiFi. 因为一些恶意往往喜欢潜伏于此,通过侵入并安全性较低的公共无线网络来获取用户的信息。在这种情况下,即便用户的支付信息是加密的,也有可能被恶意破解,从而造成用户的支付账户、卡号和密码等重要信息被泄漏。

  移动支付系统与用户之间的通信如果采用端到端的安全模式则可以大大地提高移动支付的安全性。 在移户终端与移动支付系统之间直接建立安全传输层协议 (TLS: Transport Layer Security)的安全连接,交易事务链的两端进行数据加密处理,中间环节不解密,全部传输过程为密文传送,即便传输的信息被恶意截获,其破解的难度和成本也会较高。

  从移动支付系统安全的角度分析,为了移动支付的交易过程中数据在网络传输中的安全, 移动支付系统须建立完善的网络安全机制。例如:在网络边界部署防火墙、病毒防范系统和入侵检测系统等设备并配置相关的安全选项和规则等;系统的关键节点和链采用双链的方式,防止单点设备故障和链故障,从而整个网络的畅通;系统硬件双备份,具有设置冗余和负载均衡机制,提高网络的可用性和可靠性;通过数据校验和保密等措施来数据传输过程和存储过程的安全;对接入到支付系统的各银行、移动通信网元等实体作网段隔离处理。

  支付系统采用双重身份验证可以提高支付的安全性。除了使用用户名口令这种方式以外,增加使用生物特征、数字证书或其他有效的方式,可以增加冒用的难度。现阶段广泛使用的双因子认证的方法是验证码机制,由于验证码本身的简单性和易泄露等特点,用户需要提高信息安全防范意识,妥善保管收到的验证码信息。

  基于公钥密码的数字签名技术需要CA证书权威向移动支付中心、商业机构、支付平台运营商和支付用户终端发放数字证书、CA证书权威作为验证数字证书的可信实体。通过使用数字签名,移动支付系统一方面可以实现身份验证,另一方面可以商业机构、支付平台运营商、支付用户和银行等对支付行为的不可否认性,避免各个实体承认交易而使运营商面临被的风险。

  周受钦博士表示,物联网并非存在,它必须依附于某个物品,那么技术型公司就需要将终端依附于物上,例如摩拜单车和ofo,到最后拼的是资本,并非是自行车的骑行的使用感和性能足够好这些,而是需要资本的支撑。当今世界,必须是技术与资本的深度融合,资本驱动,技术支撑,资本与实业结合,才有可能做一件大事。

  以NB-IoT为代表的物联网是否能实现深度普及?如何满足成本要求高、定制需求多、升级迭代快等物联网“特色”需求?创新维度科技()有限公司作为一家物联网产业上游的初创公司,率先在业内推出了首款「基于SDR(软件定义无线电)的物联网芯片」解决方案,获得了业内广泛关注及好评。为此,记者采访了创新维度科技()有限公司创始人&CEO张源为我们解答上述疑问。

  文章由325棋牌提供发布

关键词:金融安全问题