从技术角度分析二维码支付的安全问题

专题库
左小军 来源:中国电子银行网 2014-03-26 10:26:00 互联网金融二维码支付 左小军

  编者按:3月13日,央行下发紧急文件叫停了刚刚兴起的二维码支付等支付服务。这种黑白相间、纵横交错、形似迷宫的方形二维码的,轻轻一“扫”究竟会给大众带来多少风险?普通人又该如何避免损失?中国金融认证中心(CFCA)的专家左小军从技术角度进行了解答。

  二维码由于其使用方便、成本低等特点,已经广泛应用于社会经济各领域,包括制造业、物流业、零售业等。随着阿里、腾讯、百度等互联网巨头对二维码的大力推广和应用,人们对这种黑白相间、纵横交错、形似迷宫的方形二维码的感知也越来越深。它可以是一张电影票、门票的支付凭证,也可以是任何商家或个体用于线下交易收款的载体和凭据。有了它,可以不用刷卡,直接在便利店、公共服务、连锁商场等通过扫二维码完成交易。正如人们期望的那样,二维码已经实实在在地成为了线上与线下的关键入口,也给各相关方带来了实实在在的商业价值:它简化了原本交易过程中输入账号等繁琐过程,提高了用户使用感受;它能将后端蕴藏的丰富资源带到前端,帮助电子商务平台打造从产品推广到支付的一体化闭环服务体系。

  但人们在享受二维码便利的同时,二维码相关安全问题一直没有引起足够的重视,3月13日央行下发的紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》给市场敲响了警钟。正如该文中所称“条码(二维码)应用于支付领域有关技术、终端的安全标准不明确,相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。”从技术角度来看,二维码应用于支付领域的风险隐患主要有以下三点:

  第一,二维码生成机制和传输过程存在风险隐患。由于技术门槛低,二维码目前处在“人人皆可制作、印刷和发布”的状态。不法分子可将带有病毒程序、不良信息的网站或者钓鱼网站的网址发布成二维码形式,然后通过各种手段诱导用户扫码。对于普通用户来说,无法鉴别二维码的信息内容和发布者的身份信息,用手机扫二维码成了高风险动作。

  第二,支付终端的安全性较难保障。与传统POS机具等专用专控的支付终端相比,二维码形式的手机支付终端环境复杂,被攻击的渠道增多,安全性较难保障,可能会导致用户身份信息、交易信息泄露、资金损失。

  第三,二维码支付指令验证手段较为单一,安全性屏障不够。二维码移动支付的特点是所有的支付指令验证手段都通过手机来完成,要么是在手机中输入支付密码,要么是通过短信验证码的方式完成支付指令验证,甚至可通过手机重置支付密码。因此支付交易过程中的安全因子单一,验证通道单一,一旦用户手机丢失或被遥控,可能会直接造成用户资金损失。

  在以上三个关键技术问题未解决前,“条码(二维码)支付等面对面支付服务”可能还会处于暂停状态。要解决这些问题,需要调整二维码支付相关的生态环境,规范二维码制作、传输、发布、验证的过程,引入第三方认证机构对二维码信息的发布者进行身份认证,建立信任域,对发布的二维码信息内容进行审核,增加二维码信息防篡改机制;增强手机端扫码软件的安全性,扫码获取信息后须验证二维码信息发布者的身份真实性和二维码信息的完整性,只有验证通过的网址信息才能访问,以保证二维码信息真实、可靠、安全。对于手机支付终端的环境安全问题,需加强手机端安全环境检测,培养用户使用手机的良好使用习惯(从正规渠道下载APP,其次对别人发来的APP、链接和二维码不要随便扫描、点击和安装)。从支付业务风险控制角度,需对手机上的支付业务进行限额管理。当然,支付安全是一个系统工程,需要主管部门、支付机构和用户多方一齐努力,针对二维码的特点,合理搭配各种安全手段和机制,才能在享受二维码便利性的同时最大限度实现支付安全,也为互联网金融创新发展提供坚实的基础。

责任编辑:王超

为你推荐

    暂无相关推荐
    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博