各种新兴移动支付的安全性对比

　　二. 以上主要安全手段的隐患

　　分析以上这些支付手段，虽然大家都有自己的一套安全体系，但所用到的安全手段无外乎以下几种：数字证书、用户名密码、验证码、OTP动态密码、短信验证等，以下分析各种安全手段的原理与隐患。

　　1. 数字证书技术。

　　在手机客户端上存储安全证书，在接入支付服务器时建立一个SSL连接，一方面保证不会被接入到钓鱼网站，另一方面通过会话密钥协商机制保证在互联网上传输的数据都是密文。这种技术主要解决的是网络上的中间人攻击，但无法解决驻扎在手机终端上的木马病毒对支付行为的监控和攻击以及对用户证书密钥的盗用。

　　2. 用户名密码。

　　用户名和密码是最为传统的身份识别方式，密码的设置既要求足够复杂又要求便于记忆，这给用户记忆和存放密码带来了很大的烦恼，最后往往是使用生日、电话这类信息作密码或者多个应用使用同一个密码。在当前的计算机技术条件下，暴力破解用户密码已经很容易了，另外，在手机终端上输入的密码还很容易被木马病毒窃取。因为密码复杂，所以每个应用都会提供一个密码找回机制，而这个机制反而成为攻击者攻击的重点对象，通过假冒身份进行用户密码的找回，很轻易地就能将用户的账户控制在自己的手中。

　　3. 验证码。

　　验证码是指在交易过程中输入随机产生的验证码来防止交易数据被重放攻击的一种安全手段，有时，这个验证码会参与交易活动，有时验证码仅仅能够起到给用户添加麻烦的功能。验证码最初设计是为了强制用户人工参与，从而防止木马病毒的后台操作，而随着图像识别技术的发展，现在的验证码已经不堪一击了！

　　4. OTP动态密码。

　　OTP（One Time Password）动态密码是一种一次一密的安全技术，每次交易都使用不同的密码。最早的OTP是一张刮刮卡，上面有很多预置的密码，每次按UI提示的坐标使用一个。后来出现了动态密码器，每次交易密码由动态密码器产生，并和服务器同步，有的动态密码器会要求输入一个挑战数，这个挑战数由交易数据产生，会参与到交易中。OTP技术主要是防范了密码被窃取的危险，但是却无法防范交易终端上的木马病毒对于交易数据的篡改。

　　5. 手机绑定，短信验证。

　　通过将用户的手机与账户绑定几乎成为当前所有的支付方式都会采用的安全手段。手机绑定可以实现以下几种功能：

　　A、交易信息短信提示，让用户尽快发现未授权交易，属于事后安全。

　　B、交易验证码短信，让用户手机参与到交易中，防止木马病毒的攻击。

　　C、密码找回短信，将找回密码的验证信息发送到手机，验证用户身份。

　　D、交易链接短信，将交易的地址直接发送到手机，防止用户进入钓鱼网站。从安全的角度来看，手机绑定方式属于第二通道技术，即假设攻击者不能对两个通道同时发起攻击，从而保证交易的安全。而将手机作为第二通道的前提，则是基于对服务提供方对手机持有者身份的信任，问题是：你真的信得过手机持有者的身份吗？