关于支付宝快捷支付存在的安全隐患.doc

关于支付宝快捷支付安全性的隐患经常上网的朋友大概对淘宝网和支付宝多少都有所了解，可能不少朋友开通了支付宝，曾经有过网上购物的经历，相当一部分朋友对于网上银行在心理上存在不少错误认识，感觉很复杂，另外媒体上关于网银安全方面的报道不少，造成不少朋友望而生畏。迎合这部分朋友的心理，支付宝和各家银行联合，开通了快捷支付这种支付方式。在银行申请一张银行卡，填写表格，把支付宝账户和这张银行卡绑定，网上购物时，选择开通了快捷支付的银行卡，输入支付宝账户的支付密码，就可以直接用这张卡内现金来完成支付，现在多家银行的信用卡无须到银行办理手续，通过网上操作即可开通这种快捷支付方式。这样无需开通网上银行，确实比较方便，但是很多朋友没有考虑到这种方式其实存在相当大的安全隐患。用过支付宝支付功能的朋友知道支付宝还有数字证书保证安全，可是，数字证书是一个文件，和密码一样，是可以通过网络被盗取的。即使数字证书不被盗取，如果电脑中了木马，被黑客远程控制，盗取支付宝帐号和密码是可行的，那么在被控电脑联网状态下，对方完全可以通过远程控制，像操作自己的电脑一样把快捷支付绑定银行帐号内的资金转出，如果是透支额度高的信用卡开通了快捷支付，那么后果就更加严重。其实相比较而言，如果采取网银支付的话，那么除了要插上U盾外，还要要输入网银帐号、登录密码、支付密码、U盾密码，几项缺一不可，安全性相当高的。快捷支付只是满足不会操作网银的朋友的需要，使用方便，但是在安全性方面存在隐患，而银行和支付宝官方为了用户使用方便，便于推广业务，并没有重点提示用户这种支付方式存在的风险。当然，开通了快捷支付后，可以采取一系列安全保障措施以确保安全支付。下面来看一下支付宝官方推出的安全措施如图1所示，登录支付宝账户，点击右上角的“安全中心”，出现各项安全措施设置，如图2所示图1图2如上图所示，标明的五项保障措施，开通任何一项都可以使账户的安全更有保障，下面分类介绍。1、 手机动态口令：点击右边的开通，确认开通手机动态口令服务，会看到如下图3所示图3这里强烈建议选择第一项，也就是“每笔付款都发送验证码”，这样付款时除了支付密码外，还要输入发送到手机的验证码，输入正确验证码后才能完成支付，如果选择第二项的话，服务免费，不过单笔金额不能设置成低于200，也就是说，如果帐号被盗，低于200元的转账交易是不用输入验证码的，这样的话就不能充分保证安全。2、 手机宝令：开通这项服务要取消数字证书。如下图4所示，点击右边的“申请”，照提示取消数字证书，开通这项服务，然后根据自己的手机类型或者操作系统类型选择相应版本的软件，下载后安装到自己的手机上，在手机上打开软件，会看到类似图5的界面，这个版本是塞班系统的，安卓系统的和这个界面稍有不同，原理一样，按照一定的算法每隔30秒钟生成一组新的6位动态口令，付款时除了支付宝账户支付密码外，还必须输入当前显示的6位动态口令，口令是每隔30秒变换一次，没有这个口令或者口令错误则无法完成支付，这种方式同样能保障账户安全。如果提示动态口令出错，一般是因为手机时间和网络时间出现了超出规定的误差，点击左边的“时间校准”，通过网络校准时间即可解决。图4图53、 支付盾：这是支付宝官方提供的一种硬件形式的安全产品，外观和我们使用的U盘相似，如下图6所示，支付盾是要购买的，现价58元，开通这项服务后，付款时除了支付密码外，还必须插上这个支付盾完成认证才能支付成功，没有这个支付盾是无法支付的。4、 第三方证书：这个其实就是工行网银U盾，支付宝现在仅支持工行的U盾。如果有工行的U盾，装好U盾驱动以后，插上工行的网银U盾，点击右边的“绑定”，照提示操作，把网银U盾与支付宝账户绑定，以后在使用快捷支付时，除了支付密码外，还必须插入绑定的工行U盾完成认证才能完成支付，和图6的支付盾作用是相同的。 图65、 宝令：如下图7所示，外观类似U盘，带液晶显示屏，和“手机宝令”原理同样，也是基于动态口令的安全保障措施，每过60秒生成一组新的6位动态口令，支付时同样必须输入当前显示的6位动态口令。和手机宝令的区别在于这个宝令是个硬件设备，是需要付费购买的。图7 综上所述，上面任何一项保护措施都可以更好的保障快捷支付的安全性，但是用户开通了快捷支付以后，默认状态下支付宝账户仅仅强制要求用户安装文件型数字证书，而不会提示，更不会强制要求用户采取上面任何一项有效的保障措施，而在中国很多用户对网络和计算机知识知之甚少，出于怕麻烦的心理也不会主动去了解这些内容。支付宝和银行为了联合推广业务，