真相還是陰謀，移動(dòng)支付的安全性真如洪水猛獸？

　　近期以來(lái)，盤(pán)點(diǎn)移動(dòng)支付領(lǐng)域內(nèi)的熱門(mén)事件時(shí)，銀聯(lián)聯(lián)手蘋(píng)果三星發(fā)力移動(dòng)支付肯定會(huì)名列前茅，無(wú)論是蘋(píng)果抑或是三星，皆采用了NFC近場(chǎng)支付的解決方案，手機(jī)NFC在安全性上具備先天性?xún)?yōu)勢(shì)，如采取SE芯片硬件加密和軟件加密相結(jié)合的方式、不到0.1秒的時(shí)間就可以完成ID與密鑰等數(shù)據(jù)的讀取與傳遞，以及數(shù)據(jù)的傳輸距離需保持在10cm以?xún)?nèi)等，再加上兩大巨頭在安全性上的種種強(qiáng)化舉措，應(yīng)該說(shuō)基于手機(jī)NFC技術(shù)的移動(dòng)支付相較基于二維碼技術(shù)的移動(dòng)支付在安全性上占優(yōu)，也正是這個(gè)原因，銀聯(lián)在與蘋(píng)果三星的本次合作上也是大打安全牌，銀聯(lián)試圖以安全性作為入口以達(dá)成在移動(dòng)支付市場(chǎng)的重整旗鼓。

　　而掃描支付先天在安全性上的種種缺陷，再加上最近網(wǎng)絡(luò)上流傳的一些文章，如《微信綁定了銀行卡的、一定要看，不然小心傾家蕩產(chǎn)》、《你的銀行卡綁定微信了嗎?這里有血淋淋的教訓(xùn)》，這些文章的標(biāo)題頗為聳人聽(tīng)聞，一時(shí)之間，掃碼支付的安全性猶如洪水猛獸，用者人人自危。那么基于二維碼支付技術(shù)的支付寶與微信的安全性真的如此不堪一擊嗎?事情絕非如此簡(jiǎn)單，下面小編便試著還原一下二者在安全性上的真相。

　　漏洞及應(yīng)對(duì)之道

　　作為國(guó)內(nèi)移動(dòng)支付市場(chǎng)上的絕對(duì)大佬，支付寶與微信二者總計(jì)占據(jù)了國(guó)內(nèi)移動(dòng)支付85%以上的市場(chǎng)份額，因此，此時(shí)此刻對(duì)二者安全性的探討具備最為普遍的意義，碰巧的是二者皆采用二維碼掃描技術(shù)，這絕非偶然，二維碼支付技術(shù)對(duì)手機(jī)幾乎是零要求，只要是一款智能手機(jī)便可滿(mǎn)足使用條件，而NFC在手機(jī)上的推廣應(yīng)用遲遲不上軌道，這個(gè)豬一樣的對(duì)手硬是活生生地將自己的對(duì)手推上了神壇，從這個(gè)意義上來(lái)說(shuō)，二維碼支付的普及還真得感謝NFC了。

　　現(xiàn)在回到本文所要探討的重點(diǎn)部分，那么二維碼支付在安全性上的先天不足體現(xiàn)在哪些方面?該如何去應(yīng)對(duì)?

　　我們?cè)诶弥Ц秾毣蛘呶⑿胚M(jìn)行支付時(shí)，首先需要將自己的支付二維碼提供給收款方進(jìn)行掃描，此時(shí)支付二維碼若被偷拍，那么很可能會(huì)面臨被盜刷的風(fēng)險(xiǎn)，支付寶與微信都意識(shí)到了這個(gè)問(wèn)題，二者對(duì)此的策略是每分一鐘換一次二維碼，事實(shí)上，一分鐘足夠完成整個(gè)盜刷過(guò)程，因此，用戶(hù)在向商家亮出二維碼時(shí)要分外小心，防止可疑分子偷拍二維碼，一旦發(fā)現(xiàn)可疑情況，立即手動(dòng)刷新支付二維碼，此外，二維碼還包含了用戶(hù)的隱私信息，一旦被偷拍，用戶(hù)亦面臨隱私泄露的風(fēng)險(xiǎn)。

　　其次，從支付寶與微信的整個(gè)交易過(guò)程來(lái)看，用戶(hù)在消費(fèi)時(shí)只需出示二維碼即可，商家對(duì)展示二維碼的終端設(shè)備的合法性無(wú)法判斷，這與傳統(tǒng)的信用卡支付不同，信用卡可以通過(guò)簽名或者密碼來(lái)進(jìn)行合法性判斷，掃碼支付則是憑借二維碼及部分商戶(hù)提供的信息創(chuàng)建線(xiàn)上訂單，可能面臨偽造線(xiàn)下交易場(chǎng)景的可能性，增加虛假交易風(fēng)險(xiǎn)的發(fā)生概率，而用戶(hù)一旦發(fā)生支付賬戶(hù)被盜用時(shí)，事后的追討將變得困難重重，因此，事前的多重密碼防護(hù)與事后的及時(shí)補(bǔ)救舉措此刻便顯得十分必要了。

　　再者從整個(gè)支付過(guò)程來(lái)看，二維碼支付的交易訂單是在支付之后產(chǎn)生的，由于交易過(guò)程中無(wú)需密碼，相當(dāng)于持卡人先交出自己的銀行卡(與支付寶與微信綁定的銀行卡)再由商戶(hù)端填寫(xiě)實(shí)際金額，從技術(shù)上而言，收款方對(duì)支付金額的修改是頗為方便的，比如支付機(jī)構(gòu)經(jīng)常開(kāi)展的種種優(yōu)惠活動(dòng)即是如此，因此，交易過(guò)程中，用戶(hù)可能面臨商戶(hù)以及二維碼支付提供商非法篡改支付金額的風(fēng)險(xiǎn)，事實(shí)上，鑒于二維碼支付的便捷性，商戶(hù)同樣面臨員工私自收單的風(fēng)險(xiǎn)，即員工私下將本人的二維碼提供給用戶(hù)以完成交易，由此可見(jiàn)，用戶(hù)在進(jìn)行二維碼支付時(shí)，交易后的及時(shí)對(duì)清賬單是不可忽視的一環(huán)，此舉可有效避免支付金額被非法篡改的風(fēng)險(xiǎn)。

　　一些必要的補(bǔ)充

　　此外，在軟件層面上，無(wú)論是支付寶還是微信，皆有設(shè)置手勢(shì)密碼功能，這一功能最好也設(shè)置一下，增加一道安全性屏障，從這個(gè)方面來(lái)講，微信的安全性要比支付寶稍好，支付寶是不需要手勢(shì)密碼就可以進(jìn)行掃碼支付的，而微信則需要手勢(shì)密碼才能完成交易，好在支付寶提供了安全險(xiǎn)來(lái)防范已然。再者支付寶與財(cái)付通的登陸賬號(hào)最好不要使用手機(jī)號(hào)，這樣一旦手機(jī)丟失可減低風(fēng)險(xiǎn)，手機(jī)一旦丟失，及時(shí)解綁銀行卡與支付寶或微信的關(guān)聯(lián)則至關(guān)重要，當(dāng)然支付密碼的保護(hù)及定期更換亦是必要的。

　　最后，更為重要的是，無(wú)論是支付寶或是微信，要想實(shí)現(xiàn)支付功能，都必須綁定銀行卡，因此每一個(gè)支付寶或者微信賬戶(hù)最好只綁定一張銀行卡，做到專(zhuān)款專(zhuān)用當(dāng)然更好，卡內(nèi)金額亦勿需太多，滿(mǎn)足日常支出即可，用完再轉(zhuǎn)，甚至可以即用即轉(zhuǎn)，相信只要做到以上這些方面，用戶(hù)大可放心去享受支付寶與微信所帶來(lái)的便捷與優(yōu)惠的支付體驗(yàn)，二者的安全性是真真勿需擔(dān)憂(yōu)的!

　　（文/徐永紅 rfid世界網(wǎng)獨(dú)家稿件，轉(zhuǎn)載請(qǐng)注明來(lái)源作者?。?/span>