支付寶快捷支付和網(wǎng)銀誰更安全

最近一段時(shí)間，工、農(nóng)、中、建四大行陸續(xù)對(duì)快捷業(yè)務(wù)調(diào)整了限額，四大行對(duì)支付寶快捷支付的單筆額度和單日累計(jì)基本限制在萬元以下，最低的僅為5000元，每月累計(jì)也基本不超過5萬元。

針對(duì)“為何要限制快捷支付限額”，工商銀行某處長回應(yīng)稱，快捷支付產(chǎn)生初衷是為了滿足網(wǎng)購客戶小額快捷支付資金的便利性，只需要通過手機(jī)發(fā)送的支付機(jī)構(gòu)的動(dòng)態(tài)驗(yàn)證碼，就可以從銀行賬戶劃轉(zhuǎn)資金進(jìn)行支付。這種方式確實(shí)方便，但快捷支付安全性存在明顯隱患，交易對(duì)手機(jī)的依賴性太高，一旦手機(jī)丟失、注冊(cè)時(shí)信息泄露或者手機(jī)被植入木馬病毒，綁定快捷支付手機(jī)號(hào)便容易被篡改，用戶的資金很容易被盜。

那么，快捷支付到底安全不安全呢？和網(wǎng)銀相比，哪個(gè)更安全呢？

在探討快捷支付的安全性之前，我們需要先討論一下支付寶和網(wǎng)銀的安全性對(duì)比。

支付寶和網(wǎng)銀安全對(duì)比

支付寶的安全主要依靠數(shù)字證書、支付盾（價(jià)格58元）、寶令（價(jià)格33元，已停止銷售）、手機(jī)寶令。銀行網(wǎng)銀有些特殊，不同銀行的網(wǎng)銀使用不同的安全策略，但原理基本差不多，主要是USBKey和動(dòng)態(tài)密碼鎖。

從原理上看，USBKey相當(dāng)于支付盾，動(dòng)態(tài)密碼鎖相當(dāng)于寶令，其安全性基本相當(dāng)。數(shù)字證書相當(dāng)于將USBKey里的私鑰存儲(chǔ)在電腦上，安全性不如USBKey，但使用起來更方便一些。



黑客對(duì)于USBKey的攻擊大多使用木馬病毒程序控制并攻擊USBKey的驅(qū)動(dòng)層，USBKey這種安全策略也并非萬無一失，提高安全的方法是改造USBKey本身，我見過的一種比較好的改造方法是工行的USBKey，其在USBKey上增加了一個(gè)顯示屏和確認(rèn)按鈕，交易的時(shí)候會(huì)顯示金額在USBKey上，用戶點(diǎn)USBKey的確認(rèn)按鈕后才能完成交易，這讓基于電腦的木馬病毒難以對(duì)交易進(jìn)行篡改和攻擊。

值得一提的是，不同銀行的網(wǎng)銀安全性也不一樣，有的銀行網(wǎng)銀具有較高的安全性，但有的銀行網(wǎng)銀會(huì)有一些非常低級(jí)的漏洞，媒體上也經(jīng)常會(huì)有網(wǎng)銀賬戶被盜的新聞報(bào)道，因此用戶應(yīng)該將資金放在安全性較好的銀行里。

而對(duì)于支付寶的攻擊，大多是通過手機(jī)端，未綁定支付盾的支付寶，絕大多數(shù)安全驗(yàn)證依賴支付寶綁定的手機(jī)，黑客可以通過移動(dòng)運(yùn)營商的漏洞來掌控用戶的手機(jī)，以此攻擊支付寶賬戶，例如，如果黑客通過一定途徑獲得了某用戶的身份證號(hào)碼和手機(jī)號(hào)碼，使用偽造的身份證就可以通過某些移動(dòng)運(yùn)營商成功申請(qǐng)到該手機(jī)的SIM卡，通過這個(gè)SIM卡和身份證號(hào)即可重置支付寶密碼，還可以申請(qǐng)數(shù)字證書，好在支付寶的支付密碼需要通過“安全保護(hù)問題+電子郵箱”的方式才能重置，從一定程度上緩解這種威脅。對(duì)于支付寶里存有大量金額的用戶來說，還是啟用支付盾更為安全。

快捷支付安全嗎？

由上述分析可見，開通了支付盾的支付寶，其安全性并不必網(wǎng)銀差，那么，支付寶的快捷支付是否也一樣安全呢？

快捷支付是一種方便、快速的支付方式。客戶可通過將個(gè)人第三方支付賬戶關(guān)聯(lián)自己的儲(chǔ)蓄卡或者信用卡，每次付款時(shí)只需輸入第三方支付賬戶的支付密碼和手機(jī)校驗(yàn)碼即可完成付款，從而繞開了銀行支付網(wǎng)絡(luò)，只要綁定了銀行卡，用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉(zhuǎn)賬。我早先曾經(jīng)在一篇文章中討論過快捷支付的安全問題，總的來說，快捷支付的安全關(guān)鍵在于手機(jī)，要保證手機(jī)絕對(duì)安全，特別是保證短信安全，那才能保證快捷支付的安全。

對(duì)于快捷支付的攻擊方法就更多了，如果用戶開通了小額支付免輸密碼，黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金，還需要用戶的支付密碼方可，這里黑客就采用各種方法攻擊用戶的支付密碼即可。

通常的攻擊方法除了在電腦端的木馬和釣魚網(wǎng)站之外，還有通過手機(jī)APP應(yīng)用的攻擊方法，黑客可以先將具有盜號(hào)功能的惡意應(yīng)用發(fā)布到各個(gè)應(yīng)用商店或論壇里，如果用戶使用Android手機(jī)下載并安裝這類惡意應(yīng)用（例如假冒的游戲應(yīng)用），那么惡意應(yīng)用就在后臺(tái)攔截用戶短信通訊，然后再偽裝一筆轉(zhuǎn)賬，通過截獲用戶短信來完成交易，或者通過后臺(tái)將用戶引導(dǎo)到釣魚網(wǎng)站來截獲支付密碼，這樣就完全避規(guī)了銀行的USBKEY等令牌系統(tǒng)，從而盜取用戶資金。

為了應(yīng)對(duì)這種情況，支付寶還推出了一個(gè)手機(jī)寶令這樣的動(dòng)態(tài)令牌來加強(qiáng)手機(jī)支付的安全性，用戶啟用手機(jī)寶令后，即可看到一個(gè)每分鐘都變化的一次性密碼的“動(dòng)態(tài)令牌”，在原有的短信基礎(chǔ)不變上，增加上這個(gè)動(dòng)態(tài)令牌，這樣，惡意應(yīng)用即使攔截了用戶短信和一次性密碼也沒用，因?yàn)闊o法計(jì)算出下次支付所需要的動(dòng)態(tài)密碼，所以會(huì)使得竊取用戶資金會(huì)失敗。

動(dòng)態(tài)令牌這個(gè)方案解決了黑客通過惡意應(yīng)用盜取用戶銀行卡資金的威脅，但如果用戶手機(jī)被偷的話，別人就可以在手機(jī)上看到這個(gè)“動(dòng)態(tài)令牌”，因此更為理想的方案是，快捷支付再綁定一個(gè)動(dòng)態(tài)令牌硬件（非手機(jī)動(dòng)態(tài)令牌應(yīng)用），例如已經(jīng)停售的寶令，動(dòng)態(tài)令牌可以掛在鑰匙鏈上，這樣即使手機(jī)丟了，沒有動(dòng)態(tài)令牌也無法轉(zhuǎn)賬，動(dòng)態(tài)令牌丟了，沒有支付寶密碼也一樣無法轉(zhuǎn)賬。這樣的方案就能夠大幅提高快捷支付的安全性，并且技術(shù)上也很容易實(shí)現(xiàn)，無需驅(qū)動(dòng)，這樣用戶就不用害怕自己的手機(jī)被盜而引起的資金財(cái)務(wù)風(fēng)險(xiǎn)了。

總而言之，用戶如果能保證自己的手機(jī)和短信的絕對(duì)安全，快捷支付就是安全的，否則就是不安全的。

如何保證支付安全？

如果用戶的資金被盜，銀行或支付寶是否會(huì)賠付呢？對(duì)于銀行來說，如果黑客通過密碼的方式竊取用戶資金，通過銀行不會(huì)給用戶賠付。對(duì)于支付寶來說，賠付條件也基本類似，如果是由于用戶的原因（例如主動(dòng)告知他人、被詐騙、被釣魚等）導(dǎo)致支付寶賬戶密碼、支付寶賬戶登錄及支付密碼、校驗(yàn)碼泄露的不予賠付。因此，用戶為了自己賬戶內(nèi)資金的安全，必須要養(yǎng)成良好的安全上網(wǎng)習(xí)慣。

常見的安全措施包括：

1、設(shè)置安全的支付密碼，不要和登錄密碼相同。

2、不要用手機(jī)號(hào)做為支付寶的登錄帳號(hào)，支付寶密碼和郵箱密碼不要相同，確保郵箱帳號(hào)的安全性。

3、開通手機(jī)寶令。

4、使用未越獄的iPhone手機(jī)，安裝iOS 7.1，開啟鎖屏密碼或指紋解鎖，開啟“查找我的iPhone”，使用安全的Apple密碼。（未越獄的iPhone一勞永逸地解決了短信安全問題，因?yàn)閼?yīng)用根本沒有相關(guān)權(quán)限，有了鎖屏密碼或指紋解鎖，手機(jī)被盜后也無法打開，甚至刷機(jī)后也無法打開。）

5、Android手機(jī)不要ROOT，不要在第三方網(wǎng)站安裝應(yīng)用，只從Google Play等官方商店安裝應(yīng)用，需要注意的是，未ROOT的Android手機(jī)也給APP開放了短信接口，因此對(duì)于具有短信權(quán)限的應(yīng)用應(yīng)該格外小心。

6、手機(jī)開通鎖屏密碼，如果手機(jī)被盜，應(yīng)該及時(shí)上網(wǎng)修改動(dòng)態(tài)令牌，并打電話給移動(dòng)運(yùn)營商掛失SIM卡，如果是iPhone手機(jī)則啟用遠(yuǎn)程鎖定功能。

7、消費(fèi)與存款分開，不要對(duì)外公布自己存款銀行帳號(hào)，在外消費(fèi)使用信用卡，根據(jù)自己的實(shí)際情況對(duì)信用卡的額度進(jìn)行設(shè)置，不要超過一個(gè)月的最高消費(fèi)水平。這樣無論信用卡如何被盜刷，其損失總歸有限。并且可以向銀行和支付寶主張賠償。信用卡使用有賠付的信用卡，不開通提現(xiàn)功能，卡被盜后24小時(shí)內(nèi)掛失。

8、帳號(hào)內(nèi)有大量資金最好啟用物理硬件安全設(shè)備如USBKEY等。

總之，支付寶或網(wǎng)銀的安全，關(guān)鍵在于使用者的問題，如果使用者有良好的安全習(xí)慣，那么無論用網(wǎng)銀還是支付寶都是安全的，對(duì)于快捷支付來說，如果用戶無法保證手機(jī)的安全，無法正確辨認(rèn)釣魚網(wǎng)站，那么還是不要使用快捷支付更好一些，USBKey更適合這種用戶。