幻听的中药 1305111013 程芳媛
的支付现状研究
近一年来,和支付逐渐成为人们茶余饭后谈论的话题,从红包到滴滴打车总能吸引人们的眼球。那么究竟什么是支付呢?2013年11月产品部副总经理张颖在公开演讲中根据马化腾的理解把对支付的明确定义为:简单的说,就是只需绑定银行卡即可在内、内、APP中,以及身边随处可见的二维码,简便快捷地完成付款,为商业场景在手机中的闭环提供全新的解决方案。目前已经支持支付的有QQ充值、腾讯充值中心、广东联通、印美图、麦当劳、微团购、香港航空、大众点评等。 的支付安全性分析:2014年,第三方移动支付市场交易规模达到59924.7亿元,较2013年增长391.3%,继续呈现出较高的增长状态。而2013年,第三方移动支付的增长率达到了707.0%。移动支付已经连续两年保持超高增长。预计2015年开始,移动支付的增速将放缓,2018年移动支付的交易规模有望超过18万亿。
2014年中国第三方移动支付的市场集中度更加明显,支付宝、财付通两家企业占据了93.4%的市场份额,其中支付宝的市场份额为82.8%,财付通的市场份额为10.6%。在移动支付时代,不同于传统的第三方互联网支付的是,同时拥有庞大用户和应用场景的互联网企业掌握了绝对的市场份额优势。从网购支付通道慢慢成长起来的支付宝,在支付用户量级、黏性和场景铺设的速度和力度等方面都保持遥遥领先。财付通凭借支付腾飞,在用户和支付场景方面有了质的飞跃,前景值得期待。薄片蒸汽眼罩
支付简介: 支付是集成在客户端的支付功能,用户可以通过手机完成快速的支付流程。支付以绑定银行卡的快捷支付为基础,向用户提供安全、快捷、高效的支付服务。
2014年9月26日,腾讯公司发布的腾讯手机管家5.1版本为支付打造了“手机管家软件锁”,在安全入口上独创了“支付加密”功能,大大提高支付的安全性。转轮热回收
用户只需在中关联一张银行卡,并完成身份认证,即可将装有app的智能手机变成一个全能钱包,之后即可购买合作商户的商品及服务,用户在支付时只需在自己的智能手机上输入密码,无需任何刷卡步骤即可完成支付,整个过程简便流畅。
目前支付已实现刷卡支付、扫码支付、支付、APP支付,并提供企业红包、代金券、立减优惠等营销新工具,满足用户及商户的不同支付场景。[2]
支付支持以下银行发卡的贷记卡:深圳发展银行、宁波银行。此外,支付还支持以下银行的借记卡及信用卡:招商银行、建设银行、光大银行、中信银行、农业银行、广发银行、平安银行、兴业银行、民生银行。boin
支付是建立在之上的功能,安全性和本身的安全密切相关。于是本人首先对的登录认证机制进行了测试。
1)用户默认保存登录信息
为提升用户的登录体验,客户端默认是保存登录认证信息的,也就是说如果你登录后,没有进行退出操作,每次打开就能自动登录。因此如果有人获 取到您的手机,就可以直接使用。有人会说“我的手机设置了密码别人拿了也用不了”。那我告诉你,如果你用的是Android手机随便下个软件几秒钟就 能破解锁屏密码。如果你用的是“爱疯手
机”且越狱了那和Android没多大区别,下个软件也是几秒钟的事情。有人说我没越狱那总安全了吧?我只能说不一 定,网上看了一下有相关软件能实施暴力破解,只是多花点时间,本人没进行尝试,感兴趣的同学可以做个测试。
2)用户手机号与绑定
有的用户说“我使用习惯非常好,每次使用后都会退出”。那么,我们接着分析。登录和注册时,默认首选的是“手机号码”,这应该是刻意引导用 户使用手机号码进行注册,以简化注册成本,并能通过用户手机通讯录进行好友推送(本人也是因此暴露了自己的小号,众多联系人通过推送加我好友)。 大多数的用户的确都乖乖的通过手机号码注册使用了。在这里就产生了一个问题,如果手机丢失、手机号码弃用、非正常途径补办卡、SIM卡复制、短信劫持 等都会对安全造成威胁。因为可以通过短信验证取回登录密码,同时还存在一种登录方式“短信验证码登录”,用户可以通过手机短信验证的方式进行登 录。
通过其它方式(如QQ号码)登录的,在使用过程中一不小心被勾搭绑定了手机号码,也就可以直接通过手机号码进行登录。这时就可以使用手机号码通过短信验证方式登
录。
用户能做到随时退出,又不是手机号码注册,且没绑定手机号码,估计还是挺少的。
3)登录认证方式总结
在的“设置-我的帐号”中有个奇葩功能“独立密码”,如果你是使用QQ号登录的,你就可以为设置一个“独立密码”,这样登录既可以使用原来 QQ的口令登录,也可以使用独立口令登录,这是要提升用户的体验吗?没太理解产品经理的意图。反而增加了
帐号的风险,用户需要确保两个口令的安全,攻击者 如果通过某种途径获取到一个口令就可以登录。
为防止盗号,对新客户端使用做了限制,如果是新客户端首次登录,输入口令后还需判 断识别2位自己的好友头像方可登录。但如果盗号者盗取了其QQ号码,通常QQ好友信息和类似,多猜几次基本能猜中。另外如果QQ用户还没有登录过 或好友低于2位则直接可进行登录,绕过该控制,对于那些QQ号没激活的就可以直接登录。
同时还有一个“绑定手机号”的功能,如果绑定手机号,则每次登录都需要短信验证,这个对于盗号还是能起到比较好的防御作用的,在测试过程中发现了的又一个流氓行为,即使不勾选“通过手机号搜索到我”,但还是把我的手机号推送给我的通讯录好友,存在欺骗用户的情况。部分用户为了自己的隐私可能就不会开启该功能。
二、支付模块登录认证安全体验
1)缺少隐私安全问题
支付的相关功能都在“我的银行卡”功能模块中,模块中涉及这个模块虽然是和支付相关的模块,但并不支持设置单独的口令,同时也没有类似手势密码的功 能。如果用户已经绑定银行卡,且使用了“理财通”等产品,用户登录后就可直接查看到其相关交易信息和资产状况。例如某人要是刚入手了一个新款手机肯定 有众多粉丝会要求拿过去耍一耍,这时一不小心你私房钱“理财通的资产”就泄露了,要是有网上购买情趣用品习惯的人可就糗大了。迅雷、百度云盘都支持手势密码和单独口令,做为即时通讯软件又附带支付功能,隐私信息众多,为嘛就不考虑一下呢?随着接入商的增多,敏感信息必然越来越多,强烈建议添加一个手势密码。
2)绑定银行卡强制记录个人信息
在绑定银行卡时,如果是首次绑定,需设置支付密码。如果已绑定或曾绑定过银行卡,则添加新的银行卡需先输入支付密码后方可进行绑定操作。信用卡和储 蓄卡两类卡都可进行绑定,但需提供的信息稍有不同。储蓄卡绑定,需提供持卡人姓名、身份证号、卡号、预留手机号码、短信验证码。信用卡绑定,不同银行的需 提供的信息略有不同,大多数卡需提供持卡人姓名、身份证号、卡号、信用卡有效期、安全码、预留手机号码和短信验证码等信息。
【储蓄卡绑定】【信用卡绑定】
首次成功绑定银行卡后,你的姓名、身份证号就会被记录,且与该帐号绑定不能更改。首次绑定有点类似实名认证,为鼓励用户绑定银行卡,在绑定过程 中并未进行相关提示和告知,此做法导致众多人账号错误的被绑定了非本人的个人信息,且不能更改(腾讯客户回复暂时不提供更改服务)。
3)支付密码的安全问题
网络监测系统由于支付模块不支持设置单独的口令,也没有类似手势密码的功能。用户在进行支付时,输入支付密码后即可完成支付,这时支付密码的安全就变成了最后的一关。
【口令强度】用户的支付密码是在首次绑定银行卡时提示设置的,且口令只能设置为6位数字,复杂度较低,用户需注意窥视、口令猜解等风险,特别是有将口令设置成简单数字、电话号码、生日等弱口令的用户。
汽车杯【口令修改】用户修改支付密码有两种途径,一是输入原密码,二是重新绑定银行卡修改支付密码。
重新绑定银行卡需姓名、身份证号、卡号、预留手机号码、短信验证码等信息。因此如果用户的手机丢失而短信、照片、聊天记录中刚好留存相关个人信息,或者 用户身份证、银行卡、手机同时丢失,则存在支付密码被重置的可能。现在现在手机已经做为日常沟通的首要工具,用户难免会在、QQ、短信等使用过程中提 及身份证、银卡号登信息,例如汇款、购买机票/火车票等等所以该风险是确实存在的。
三、钓鱼和
做为手机端软件,大家很多在电脑上养成的安全习惯,到了移动端又突然消失了,用于对于盗号、钓鱼链接等防范意识相对较低。在抢红包期间伪造的红包让很多人扑了个空,但要如果是恶意链接,则将是一大片人中招,需在这方面加强相应的安全措施和用户教育。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议