微信支付安全性分析与设计

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

微信支付安全性分析与设计

学号:06125035

姓名:王洋

移动支付概况:

2014年,第三方移动支付市场交易规模达到59924.7亿元,较2013年增长391.3%,继

续呈现出较高的增长状态。而2013年,第三方移动支付的增长率达到了707.0%。移动支付已经连续两年保持超高增长。预计2015年开始,移动支付的增速将放缓,2018年移动支付的交易规模有望超过18万亿。

2014年中国第三方移动支付的市场集中度更加明显,支付宝、财付通两家企业占据了93.4%的市场份额,其中支付宝的市场份额为82.8%,财付通的市场份额为10.6%。在移动支付时代,不同于传统的第三方互联网支付的是,同时拥有庞大用户群和应用场景的互联网企业掌握了绝对的市场份额优势。从网购支付通道慢慢成长起来的支付宝,在支付用户量级、黏性和场景铺设的速度和力度等方面都保持遥遥领先。财付通凭借微信支付腾飞,在用户和支付场景方面有了质的飞跃,前景值得期

待。.

微信支付简介:微信支付是集成在微信客户端的支付功能,用户可以通过手机完成快速的支付流程。微信支付以绑定银行卡的快捷支付为基础,向用户提供安全、快捷、高效的支付服务。

2014年9月26日,腾讯公司发布的腾讯手机管家5.1版本为微信支付打造了“手机管家软件锁”,在安全入口上独创了“微信支付加密”功能,大大提高微信支付的安全性。

用户只需在微信中关联一张银行卡,并完成身份认证,即可将装有微信app的智能手机变成一个全能钱包,之后即可购买合作商户的商品及服务,用户在支付时只需在自己的智能手机上输入密码,无需任何刷卡步骤即可完成支付,整个过程简便流畅。

目前微信支付已实现刷卡支付、扫码支付、公众号支付、APP支付,并提供企业红包、[2]代

金券、立减优惠等营销新工具,满足用户及商户的不同支付场景。.

微信支付支持以下银行发卡的贷记卡:深圳发展银行、宁波银行。此外,微信支付还支持以下银行的借记卡及信用卡:招商银行、建设银行、光大银行、中信银行、农业银行、广发银行、平安银行、兴业银行、民生银行。

微信支付的潜在风险:

一、微信的登录认证的安全体验

微信支付是建立在微信之上的功能,安全性和微信本身的安全密切相关。于是本人首先对微信的登录认证机制进行了测试。

1)用户默认保存登录信息

微信为提升用户的登录体验,客户端默认是保存登录认证信息的,也就是说如果你登录微信后,没有进行退出操作,每次打开微信就能自动登录。因此如果有人获取到您的手机,就可以直接使用微信。有人会说“我的手机设置了密码别人拿了也用不了”。那我告诉你,如果你用的是Android手机随便下个软件几秒钟就能破解锁屏密码。如果你用的是“爱疯手机”且越狱了

那和Android没多大区别,下个软件也是几秒钟的事情。有人说我没越狱那总安全了吧?我只能说不一定,网上看了一下有相关软件能实施暴力破解,只是多花点时间,本人没进行尝试,感兴趣的同学可以做个测试。

2)用户手机号与微信绑定

有的用户说“我使用习惯非常好,每次使用微信后都会退出”。那么,我们接着分析。微信登录和注册时,默认首选的是“手机号码”,这应该是微信刻意引导用户使用手机号码进行注册,以简化注册成本,并能通过用户手机通讯录进行好友推送(本人也是因此暴露了自己的微信小号,众多联系人通过微信推送加我好友)。大多数的用户的确都乖乖的通过手机号码注册使用微信了。在这里就产生了一个问题,如果手机丢失、手机号码弃用、非正常途径补办卡、SIM卡复制、短信劫持等都会对微信安全造成威胁。因为可以通过短信验证取回登录密码,同时微信还存在一种登录方式“短信验证码登录”,用户可以通过手机短信验证的方式进行登录。

通过其它方式(如QQ号码)登录微信的,在使用过程中一不小心被微信勾搭绑定了手机号码,也就可以直接通过手机号码进行登录。这时就可以使用手机号码通过短信验证方式登录。

用户能做到随时退出微信,又不是手机号码注册,且没绑定手机号码,估计还是挺少的。

3)微信登录认证方式总结

在微信的“设置-我的帐号”中有个奇葩功能“独立密码”,如果你是使用QQ号登录的,你

就可以为微信设置一个“独立密码”,这样登录微信既可以使用原来QQ的口令登录,也反而增加了这是要提升用户的体验吗?没太理解产品经理的意图。可以使用独立口令登录,

帐号的风险,用户需要确保两个口令的安全,攻击者如果通过某种途径获取到一个口令就可以登录微信。

微信为防止盗号,对新客户端使用做了限制,如果是新客户端首次登录,输入口令后还需判断识别2位自己的微信好友头像方可登录。但如果盗号者盗取了其QQ号码,通常QQ好友信息和微信类似,多猜几次基本能猜中。另外如果QQ用户还没有登录过微信或微信好友低于2位则直接可进行登录,绕过该控制,对于那些QQ号没激活微信的就可以直接登录。

同时微信还有一个“绑定手机号”的功能,如果绑定手机号,则每次登录都需要短信验证,这个对于盗号还是能起到比较好的防御作用的,在测试过程中发现了微信的又一个流氓行为,即使不勾选“通过手机号搜索到我”,但还是把我的手机号推送给我的通讯录好友,存在欺骗用户的情况。部分用户为了自己的隐私可能就不会开启该功能。

二、支付模块登录认证安全体验

1)缺少隐私安全问题

微信支付的相关功能都在“我的银行卡”功能模块中,模块中涉及这个模块虽然是和支付相关的模块,但并不支持设置单独的口令,同时也没有类似手势密码的功能。如果用户已经绑定银行卡,且使用了“理财通”等产品,用户登录微信后就可直接查看到其相关交易信息和资产状况。例如某人要是刚入手了一个新款手机肯定有众多粉丝会要求拿过去耍一耍,这时一不小心你私房钱“理财通的资产”就泄露了,要是有网上购买情趣用品习惯的人可就糗大了。迅雷、百度云盘都支持手势密码和单独口令,微信做为即时通讯软件又附带支付功能,隐私信息众多,为嘛就不考虑一下呢?随着微信接入商的增多,敏感信息必然越来越多,强烈建议微信添加一个手势密

相关文档
最新文档