支付安全的思考！

tom2000

TOM2000

26日CCTV一则“新型诈骗”的新闻引发我写这篇文章原有，新闻中已经对这样利用电信服务，网银，支付平台系列漏洞进行深入的分析和报道。但是我认为这个问题其实有更多值得展开的讨论的东西。


就在诈骗新闻报道的前几天“CNN记者北京体验24小时无现金生存”报道抢占各大媒体的头条，我们对我们自己移动支付的便利与普及感到自豪的同时，其实就已经埋下隐患，因为完成所有操作的都是依靠手机，手机俨然已经不是一个通讯工具而是一个自然人在网络中认证身份的唯一工具。但是这种重要的工具安全性又是极其脆弱的。

残酷的现实！
你要完成常见的电信诈骗，要强成功率就必须有受害对象的个人信息进行加持。才能让受害人坚信骗子谎言的真实性，从而上当受骗。但是在这个全民网购的时代，用户信息几乎已经不存在没有泄露的可能。

但是刚出现这种有技术含的新型诈骗方式，光有用户信息是不够，还必须有用户的密码。那用户密码又是如何泄露的呢？我们排除用户密码设置过于简单靠猜解就可以破译这种情况外，其实用户密码还有一种更广泛更精准的泄露。
在此之前，我必须要说的是另外一个问题，当今时代我们生活几乎离不开密码，你小到上网大到支付都离不开密码，就是因为密码的普遍性，用户已经把密码变成通用码，为便利绝大数用户都只会常用几个甚至只用一个固定的数字字母方式作为密钥。
很多用户应该都不明什么叫拖库漏洞，但是网上出现知名网站和公司用户资料被盗的新闻大家应该不会陌生。其实简单说就是用户资料就是你的上网的用户名 邮箱 密码信息被泄露。

好现在我们把这几件事串起来，首先我们假设包含你个人在内的用户信息被盗这里包含你姓名 地址 银行卡密码，邮箱等等系列信息，
第二因为用户因为方便基本不会更改上网使用用户名和密码，而多数用户的密码是不会更改的通用码。
第三，用户自认非常隐秘的用户和密码，其实早就因为网站或公司的拖库漏洞已经泄露。

你把这三点连起来就很可怕，因为根本就不需要什么闯库或是简单密码猜解，骗子或者其他什么有心人只需要把个人信息库和密钥泄露库进行关键字比对，就会得到大量的含有个人信息以及密钥的更具价值的信息，这就代表你的身份会被别人轻易的替代掉！
你要没有一个感性认识，我举一个一例子就是，欧美女星“艳照门”其实就是因为女明星的密码设置过于简单被黑客使用猜解的方式破解密码致使云备份的私密照片泄露。而我前面说要比这次破解要更简单，因为这压根就不用猜解，所有信息都是在明面上的.

防线是如何被攻破的？
其实从电信，到银行，支付平台再到手机软/硬件提供商，所有这些手段都有各自风险控制体系，理论上说只要任何一个环节发现问题都可以避免用户支付上的损失，但是非常遗憾，我们所有环节都在用户便利性和安全性的天枰上选择前者，这是CCTV最后结论。其实我认为更直白说法就是除用户之外所有第三方都选择是维护自己的利益，而并没有考虑的用户本身。

激烈的市场竞争中我们所有的机构公司都会最大的满足用户需要，即使这种需要本身是存在安全风险的，但是为争夺用户所有第三方都选择无限度的便利来迎合用户的需要，用户需要的方便快捷的服务没有错，但是有的时候便捷与安全本身就是矛盾的，当无限度的便捷其实就越来越大的安全风险。所以就导致虽然电信，到银行，支付平台再到手机软/硬件提供商都有各自安全防御措施，但是最后所有的防御都归结到用户手机端和用户自己的私钥（密码）只要用户手机被突破也就是导致所有安全措施失效。

另外我们支付安全看似各个层面都有安全保护，但是缺乏合力，一盘散沙！手机硬件厂商，虽然多数使用都是遵循共享协议的公开的操作系统。但是因为自己利益考虑并不会对银行，支付平台，和安全软件厂商开放ROOT权限，虽然封闭的系统环境确实也能一定程度的阻止病毒，但是这种手段对于诈骗或支付安全来说也同时没有任何抵御能力。当然这个问题也不仅仅在手机厂商，在银行，支付平台本身对第三方安全软件厂商就是排斥，而自己又没有能力开发足够安全保护措施，而电信企业因为几年高速发展存在太多有安全风险的服务容易被有心人找漏洞。安全软件这个行业几乎已经被免费形式所拖垮，PC平台放缓更新节奏已经显出疲态，而在手机这个领域没有手机厂商配合安全软件几乎没有用武之地….

所有机构，公司，平台都告知用户安全是他们最优先考虑的因素，但是其实用户本身在安全上是没有多少空间，更没有一个衡量的标准去检验自己安全性到底是什么程度被“保护”。

出路？
因为利益或者其它种种问题电信，到银行，支付平台再到手机软/硬件提供商，第三方安全服务提供商，基本都是各铸壁垒没有任何一方可以打破。这也并非是那个企业那个机构所能解决的，这必须要上升的国家的层面。尤其电信，银联这样的庞杂的机构。只能以国家的意志才能协调不同行业遵循同样的标准。也只有政府才能联合不同机构促使协同安全保护的机制的形成。比如电信的实名话应该不仅仅只是落在口头上和柜台常见的服务中，所有的业务必须都要关联身份认证这个必要步骤。而这个平台应该又能公安部门身份平台联网，否则实名而又无法验证身份信息也仅仅就是个摆设。再比如银联层面在面临越来越多互联网服务的同时，应该开放和第三方安全服务提供商合作，而不是仅仅靠各家银行简单的网银控件。又比如面对手机平台和移动支付平台，国家应该制定统一安全标准，而且在手机，和支付平台一定程度都存在垄断性质的服务，都只支持自家的安全软件或APP，而不对第三方开放，这其实也今后发展没有益处。也就是说光有防线是不行的，因为是没有统一协调的防线就是个花架子，只有相互制约相互弥补才能保证我们国家网络化更好发展，也才保证每一个个体网络支付安全便利。


最后写给我们用户自己。
“放弃幻想，积极备战”这句边防官兵写在海岛上话，应该写在每一个用户的心里。不要认为自己信息没有泄露，不要认为自己的千年不变的密码没有人知道，不要认为便利的支付有多高的安全，不要小看小小的手机，最后就是永远不要把安全都寄托在别人的'手里'!

傻傻的杰宝

围观

pal家族

楼主出品，必属精品

519874810

编辑掉。。。

easybeing

我认为问题出在银行。银行应该立刻取消掉这种关联第三方支付后，银行不进行验证，而是由第三方平台短信验证的支付方式。必须走网银通道。这点上我坚决拥护央行的措施，必须由银行验证。

583293482

好吧，我是路过的，既然无力改变，那就默默承受

345

我的好多登录密码都是用的相同的，否则真的记不住！  感觉有随时被不法分子一锅端的危险

大风起兮oO

在用lastpass,重要的还是用简写

jefffire

只能以国家的意志才能协调不同行业遵循同样的标准。也只有政府才能联合不同机构促使协同安全保护的机制的形成。比如电信的实名话应该不仅仅只是落在口头上和柜台常见的服务中，所有的业务必须都要关联身份认证这个必要步骤。而这个平台应该又能公安部门身份平台联网，否则实名而又无法验证身份信息也仅仅就是个摆设。

前面都挺好 最后竟出这样的昏招。以后我看脑部植入芯片 没有任何反动思想 不良动机  最安全。

卡巴基佬36

然而并无卵用