移动支付风险漏洞 第三方安全认证崛起

  移动支付风险第三方安全认证漏洞崛起

  4月8日,OpenSSL心脏出血安全漏洞爆发。中国有三万多名东道主受到影响。以https开始的网站中,有30%以上的网站被招募,包括最常用的网上购物,网上银行,社交网站,门户网站等知名网站,而在手机APP网上银行客户端50%的风险。在这种情况下,受到攻击的主机,大量的用户数据被攻击者捕获。淘宝等大型国内互联网公司也没有了,因此OpenSSL的心脏病发作被业界视为网络安全的里程碑。依依电子首席执行官徐义扣在接受“21世纪经济报道”专访时表示,普通用户数据泄露最严重的后果之一就是威胁网上支付安全。也就是说,黑客可以通过使用他们的数据操纵互联网帐户。关键问题在于,在目前的互联网支付安全认证模式中,一旦发生这种情况,用户资金很容易被转移。事件发生后,网上支付和手机支付安全问题再次被推到了风口浪尖。此前央行发布了一系列理发,包括微信支付,钱包,虚拟信用卡等支付方式,同时也凸显了移动支付的安全问题。以微信支付,支付宝钱包,银行手机客户为代表的新型支付方式近两年来发展迅速。目前,市场和企业更加关注和提高这种支付方式的便利性,但其安全性并不是同步的。徐海光说,在支付,便利,安全等方面存在一定的矛盾,两者关系要平衡。他表示,特别是对于手机支付来说,目前常见的手机短信认证方式很容易被劫持。因此,沉迷于支付行业多年的徐海光,开始关注手机支付安全领域。去年年底,他开发了一个基于云+ APP格式的小型微封装产品。据介绍,该产品以时间+设备+位置三个维度进行认证,采用双通道技术防止黑客入侵。在包括银行在内的传统模式中,第三方支付机构负责自身的支付和安全认证,而进入互联网金融时代后,第三方安全认证服务商也开始出现。安全认证漏洞许海光告诉记者,在移动互联网环境下,现有的身份识别方法是基于客户的手机号码进行短信验证,一旦手机卡被抄袭或验证信息被劫持转发,可以非法控制受害者的手机银行。他表示,在使用网上支付时,操作原则的背景可以简单理解为用户通过手机,PAD,电脑等终端向银行服务器发出支付指令,包括支付金额,接收账户等等;同时银行服务器会发出验证命令,目前常见的方式是发送短信验证码或使用动态密码令牌。验证运营商是否以运营商的身份来确认是否持卡人操作,这是互联网时代最大的难点。传统的信用卡支付,通过银行卡和第三方认证,如果你想偷刷,非法的元素必须获得一张实物卡。在互联网时代,由于银行无法判断电脑,手机等终端的背面是持卡人还是实物卡,只要帐号,密码和验证码就会增加安全风险是正确的。如果一旦用户的账号,密码,手机号码等数据泄露,犯罪分子可以劫持银行向自己的手机发出验证令(短信验证码或动态密码),从而完成资金的转移。还表示目前支付二维码也存在安全隐患,以当前最热门的微信支付和支付宝钱包为例,支付方式大致可以分为两种:手机绑定账号生成二维码,商家扫码后扫码并生成二维码,手机直接扫码支付,对于前者,一旦用户手机上生成的二维码账号被盗,相同的无论前端付款方式是二维码,条码还是NFC,都可以由用户拍摄,本质上是一个账户。后者徐海光表示,现在一些非法的内容将被植入二维码病毒中,一旦用户扫描,将不断获取用户数据,同样可以被盗取二维码。指纹认证设备显然,网上支付的时代,人,设备,账户一起形成一个连锁,当账户数据泄露,由他人操作,同一账户,人员和设备的转移。徐海光介绍的微小封条通过设备的指纹来固定设备的链接,即使数据泄漏,该账户也不能在其他设备上运行。据他介绍,通过小型的微型APP,其服务器可以捕获硬件指纹,指纹和行为指纹。每台电脑或手机,每个配件都有不同的序列号,一个小型的微密封作为收集设备的指纹。如果手机账户信息泄露,侵权人不能在其他设备上操作。软件指纹被收集用于设备上安装的软件信息,如电子涟漪。如果操作账号设备上安装的软件与小信封服务器中的数据不匹配,则不能做同样的事情,同时,通过云服务器的小封口可以捕获用户的个性化部分数据的特点,比如用户听到了什么样的音乐,从而完成了认证。许海光说,此外,通过技术手段,小微型密封安全认证也引入了时空维度,即使设备丢失,您仍然可以保持您的帐户安全在他的APP中,用户可以实现按键锁定和账户锁定功能,如果用户绑定的手机卡丢失,通过小型微型密封来完成关键冻结账户,这时候手机就变成银行给C端用户的遥控器了。如果用户同时绑定两台设备,即使丢失了一台设备,也可以通过手头的设备在最短的时间内吊起同一设备,从而失去设备的操作权限。同时在地理位置上,小型微型密封可实现近场,精确定位和区域定位。也就是说,根据不同需求,选择支付范围,一旦超出设定范围就无法完成。因此,传统的单因素认证已经通过多维定位升级为多因素认证。与传统的U盾相比,动态密码令牌,小型微型密封是一项软件安全认证。许海光说,在手机支付时代,每个人都拿不到一堆密码盾,软件模式将是未来的趋势。但是,通过软件来解决这个问题,小型微型服务器需要与银行或第三方支付公司对接。根据徐海光介绍的模型,整个支付安全认证过程必须通过三个主要环节,即用户设备向银行服务发出支付指令,银行方向小微型封条发送验证指令服务器。后者验证设备,时间和地点匹配后的N个数据的三个维度,如果数据匹配,则可以完成支付,一旦发生异常,小封口会提醒银行服务器。这是对传统安全认证范式的一种改变,在银行服务器和用户设备之间直接发送支付和验证指令,微封装模式是在两者之间增加第三方认证。徐海光认为,传统的支付指令和验证指令是通过一个单一的通道传输的,很容易被黑客短时间劫持。但增加第三方形成双向渠道,将支付指令与验证指令分离,提高安全系数。同时,第三方服务模式避免了系统升级带来的支付问题。在目前的一些手机客户端,支付和验证功能被集中在一个APP中。一旦安全系统升级,支付服务也将受到影响。许海光说,在国际通行的技术架构下,支付和安全应该是两个APP独立的,即使安全系统升级,不影响支付功能,而且由于第三方服务商连接多个金融机构,一次一个受到攻击,立即发出警报并升级安全系统,以保护无担保的金融机构。许海光说,目前很多银行已经开始与他们联系,正在与一些第三方支付机构沟通细节和签订合同。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:九卅娱乐app|手机版--互联网科技