最近一段時間,工、農、中、建四大行陸續對快捷業務調整了限額,四大行對支付寶快捷支付的單筆額度和單日累計基本限制在萬元以下,最低的僅為5000元,每月累計也基本不超過5萬元。
針對“為何要限制快捷支付限額”,工商銀行某處長回應稱,快捷支付產生初衷是為了滿足網購客戶小額快捷支付資金的便利性,只需要通過手機發送的支付機構的動態驗證碼,就可以從銀行賬戶劃轉資金進行支付。這種方式確實方便,但快捷支付安全性存在明顯隱患,交易對手機的依賴性太高,一旦手機丟失、注冊時信息洩露或者手機被植入木馬病毒,綁定快捷支付手機號便容易被篡改,用戶的資金很容易被盜。
那麼,快捷支付到底安全不安全呢?和網銀相比,哪個更安全呢?
在探討快捷支付的安全性之前,我們需要先討論一下支付寶和網銀的安全性對比。
支付寶和網銀安全對比
支付寶的安全只要依靠數字證書、支付盾(價格58元)、寶令(價格33元,已停止銷售)、手機寶令。銀行網銀有些特殊,不同銀行的網銀使用不同的安全策略,但原理基本差不多,主要是USBKey和動態密碼鎖。
從原理上看,USBKey相當於支付盾,動態密碼鎖相當於寶令,其安全性基本相當。數字證書相當於將USBKey裡的私鑰存儲在電腦上,安全性不如USBKey,但使用起來更方便一些。
黑客對於USBKey的攻擊大多使用木馬病毒程序控制並攻擊USBKey的驅動層,這種安全策略也並非萬無一失,提高安全的方法是改造USBKey本身,我見過的一種比較好的改造方法是工行的USBKey,其在USBKey上增加了一個顯示屏和確認按鈕,交易的時候會顯示金額在USBKey上,用戶點USBKey的確認按鈕後才能完成交易,這讓基於電腦的木馬病毒難以對交易進行篡改和攻擊。
值得一提的是,不同銀行的網銀安全性也不一樣,有的銀行網銀具有較高的安全性,但有的銀行網銀會有一些非常低級的漏洞,媒體上也經常會有網銀賬戶被盜的新聞報道,因此用戶應該將資金放在安全性較好的銀行裡。
而對於支付寶的攻擊,大多是通過手機端,未綁定支付盾的支付寶,絕大多數安全驗證依賴支付寶綁定的手機,黑客可以通過移動運營商的漏洞來掌控用戶的手機,以此攻擊支付寶賬戶,例如,如果黑客通過一定途徑獲得了某用戶的身份證號碼和手機號碼,使用偽造的身份證就可以通過某些移動運營商成功申請到該手機的SIM卡,通過這個SIM卡和身份證號即可重置支付寶密碼,還可以申請數字證書,好在支付寶的支付密碼需要通過“安全保護問題+電子郵箱”的方式才能重置,從一定程度上緩解這種威脅。對於支付寶裡存有大量金額的用戶來說,還是啟用支付盾更為安全。
快捷支付安全嗎?