对手机支付安全机制的思考
支付安全的本質
支付安全的本質,是要體現賬戶擁有者的真實意圖。
如何突破支付安全
根據支付安全的定義,有這么幾種方式可以突破支付安全:
1,偽裝成賬戶擁有者,發出偽造的支付意圖
2,誤導賬戶擁有者,讓用戶在誤導下發出錯誤的意圖
3,攔截篡改支付行為,用戶發出了意圖A,壞人在半路改成意圖B
如何防范支付安全
1,體現為反盜號
2,體現為反釣魚
3,體現為通訊安全機制,比如SSL;也體現為防篡改,比如頁面上做一些復雜校驗。
木馬程序可以同時影響2和3,既可以誤導,又可以攔截篡改。
支付額度控制之類的算一般性措施,這個措施有其局限性。
所謂風控模型,首先要定義風控實體,這個實體是一系列信息的組合,通常是為了定義一個支付用戶,然后要定義風控策略,比如什么情況下允許多少額度。木馬如果長時間偽造成賬戶擁有者,模型必定是要失效的。
手機支付面臨的風險
反盜號、反釣魚、通訊安全、防篡改、反木馬這是各個支付渠道都要考慮的問題。
手機支付的缺點在于短信驗證的功能可能會失效,使得反盜號的力度下降。因為手機如果作為單一渠道,可能完全被木馬接管了。
作為單一渠道,完全僅靠手機目前已經可以進行較大額度的支付操作了,因此防范手機支付風險是有意義的。目前的支付額度控制是不夠嚴格的,特別是木馬劫持行為持續時間比較長的話(短信被劫持,你甚至都不知道自己被偷偷進行了支付)。
PC支付的時候,即使電腦被木馬完全接管了,因為大額支付需要手機驗證,損失可以控制到很低。(這里引申出一個議題,支付賬號與手機號碼的綁定關系,是非常敏感的信息,劫持了你PC的木馬可能會嘗試劫持你的手機,以此打通支付鏈條。劫持方法可能是給你的手機號碼發送釣魚短信,引誘你點擊危險的鏈接。)
手機支付應采取的安全策略
手機支付使得短信驗證變得不可靠。
如果手機被木馬完全劫持,則曾經輸入過的密碼也會被木馬記住。
風控模型可能會采集更多的信息來建立風控實體,使得盜號變得更困難。但是如果手機是被完全控制的單一渠道,則邏輯上是可突破的,只是增加了木馬的設計難度而已。
因此,在手機上,最好一次都不要輸入你的支付賬號密碼,以此進行信息隔離。確保木馬完全控制手機之后,仍然無法接觸到支付賬號和密碼信息。
PS:
我僅是根據我調研到的信息進行分析,有可能手機上還存在我尚不了解的安全機制。如果存在那樣的機制,則我得到的結論可能要進行修改。
轉載于:https://www.cnblogs.com/hehe520/p/6330344.html
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的对手机支付安全机制的思考的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 单词博弈
- 下一篇: int (*p)[4] 与 int* p