支付安全性分析与设计
支付安全性分析与设计
               
               
                学号:********
                姓名:***
移动支付概况: 
  2014年,第三方移动支付市场交易规模达到59924.7亿元,较2013年增长391.3%,继续呈现出较高的增长状态。而2013年,第三方移动支付的增长率达到了707.0%。移动支付已经连续两年保持超高增长。预计2015年开始,移动支付的增速将放缓,2018年移动支付的交易规模有望超过18万亿。
   
  2014年中国第三方移动支付的市场集中度更加明显,支付宝、财付通两家企业占据了93.4%的市场份额,其中支付宝的市场份额为82.8%,财付通的市场份额为10.6%。在移动
支付时代,不同于传统的第三方互联网支付的是,同时拥有庞大用户和应用场景的互联网企业掌握了绝对的市场份额优势。从网购支付通道慢慢成长起来的支付宝,在支付用户量级、黏性和场景铺设的速度和力度等方面都保持遥遥领先。财付通凭借支付腾飞,在用户和支付场景方面有了质的飞跃,前景值得期待。
支付简介:
支付是集成在客户端的支付功能,用户可以通过手机完成快速的支付流程。支付以绑定银行卡的快捷支付为基础,向用户提供安全、快捷、高效的支付服务。
2014年9月26日,腾讯公司发布的腾讯手机管家5.1版本为支付打造了“手机管家软件锁”,在安全入口上独创了“支付加密”功能,大大提高支付的安全性。
用户只需在中关联一张银行卡,并完成身份认证,即可将装有app的智能手机变成一个全能钱包,之后即可购买合作商户的商品及服务,用户在支付时只需在自己的智能手机上输入密码,无需任何刷卡步骤即可完成支付,整个过程简便流畅。
目前支付已实现刷卡支付、扫码支付、支付、APP支付,并提供企业红包、代金券、立减优惠等营销新工具,满足用户及商户的不同支付场景。[2]感恩节几号 
支付支持以下银行发卡的贷记深圳发展银行宁波银行。此外,支付还支持以下银行的借记卡及信用卡招商银行、建设银行、光大银行中信银行农业银行广发银行平安银行兴业银行、民生银行。
支付的潜在风险:
又疑瑶台镜一、的登录认证的安全体验
  支付是建立在之上的功能,安全性和本身的安全密切相关。于是本人首先对的登录认证机制进行了测试。
  1)用户默认保存登录信息
3d肉蒲团剧照   为提升用户的登录体验,客户端默认是保存登录认证信息的,也就是说如果你登录后,没有进行退出操作,每次打开就能自动登录。因此如果有人获 取到您的手机,就可以直接使用。有人会说“我的手机设置了密码别人拿了也用不了”。那我告诉你,如果你用的是Android手机随便下个软件几秒钟就 能破解锁屏密码。如果你用的是“爱疯手机”且越狱了那和Android没多大区别,下个软件也是几秒钟的事情。有人说我没越狱那总安全了吧?我只能说不一 定,网上看了一下有相关软件能实施暴力破解,只是多花点时间,本人没进行尝试,感兴趣的同学可以做个测试。国庆70周年手抄报内容
  2)用户手机号与绑定
科比简介   有的用户说“我使用习惯非常好,每次使用后都会退出”。那么,我们接着分析。登录和注册时,默认首选的是“手机号码”,这应该是刻意引导用 户使用手机号码进行注册,以简化注册成本,并能通过用户手机通讯录进行好友推送(本人也是因此暴露了自己的小号,众多联系人通过推送加我好友)。 大多数的用户的确都乖乖的通过手机号码注册使用了。在这里就产生了一个问题,如果手机丢失、手机号码弃用、非正常途径补办卡、SIM卡复制、短信劫持 等都会对安全造成威胁。因为可以通过短信验证取回登录密码,同时还存在一种登录方式“短信验证码登录”,用户可以通过手机短信验证的方式进行登 录。
  通过其它方式(如QQ号码)登录的,在使用过程中一不小心被勾搭绑定了手机号码,也就可以直接通过手机号码进行登录。这时就可以使用手机号码通过短信验证方式登录。
金喜善裸照  用户能做到随时退出,又不是手机号码注册,且没绑定手机号码,估计还是挺少的。
  3)登录认证方式总结
   在的“设置-我的帐号”中有个奇葩功能“独立密码”,如果你是使用QQ号登录的,你就可以为设置一个“独立密码”,这样登录既可以使用原来 QQ的口令登录,也可以使用独立口令登录,这是要提升用户的体验吗?没太理解产品经理的意图。反而增加了帐号的风险,用户需要确保两个口令的安全,攻击者 如果通过某种途径获取到一个口令就可以登录。
  为防止盗号,对新客户端使用做了限制,如果是新客户端首次登录,输入口令后还需判 断识别2位自己的好友头像方可登录。但如果盗号者盗取了其QQ号码,通常QQ好友信息和类似,多猜几次基本能猜中。另外如果QQ用户还没有登录过 或好友低于2位则直接可进行登录,绕过该控制,对于那些QQ号没激活的就可以直接登录。
  同时还有一个“绑定手机号”的功能,如果绑定手机号,则每次登录都需要短信验证,这个对于盗号还是能起到比较好的防御作用的,在测试过程中发现了的又一个流氓行为,即使不勾选“通过手机号搜索到我”,但还是把我的手机号推送给我的通讯录好友,存在欺骗用户的情况。部分用户为了自己的隐私可能就不会开启该功能。
二、支付模块登录认证安全体验
  1)缺少隐私安全问题
   支付的相关功能都在“我的银行卡”功能模块中,模块中涉及这个模块虽然是和支付相关的模块,但并不支持设置单独的口令,同时也没有类似手势密码的功 能。如果用户已经绑定银行卡,且使用了“理财通”等产品,用户登录后就可直接查看到其相关交易信
息和资产状况。例如某人要是刚入手了一个新款手机肯定 有众多粉丝会要求拿过去耍一耍,这时一不小心你私房钱“理财通的资产”就泄露了,要是有网上购买情趣用品习惯的人可就糗大了。迅雷、百度云盘都支持手势密码和单独口令,做为即时通讯软件又附带支付功能,隐私信息众多,为嘛就不考虑一下呢?随着接入商的增多,敏感信息必然越来越多,强烈建议添加一个手势密码。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。