微信支付安全性分析与设计.docx

微信支付安全性分析与设计学号:姓名:移动支付概况:2014年，第三方移动支付市场交易规模达到59924.7亿元，较2013年增长391.3%,继 续呈现出较高的增长状态。而2013年，第三方移动支付的增长率达到了707.0%。移动支付 已经连续两年保持超高增长。预计2015年开始，移动支付的增速将放缓，2018年移动支付 的交易规模有望超过18万亿。2009-2018年中国第三方移动支付市场交易规模注舞：1.藐计企业墨型中不舍银席0中国艘.仅指篦三方夷府企业；罢.自2皿庭开始不再计入短信 克泾号规模:兄,正。(&2QL5.3 iRe5 earth Inc.www. i res earc h. com.c n2014年中国第三方移动支付的市场集中度更加明显，支付宝、财付通两家企业占据了 93.4%的市场份额，其中支付宝的市场份额为82.8%，财付通的市场份额为10.6%。在移动 支付时代，不同于传统的第三方互联网支付的是，同时拥有庞大用户群和应用场景的互联网 企业掌握了绝对的市场份额优势。从网购支付通道慢慢成长起来的支付宝，在支付用户量级、 黏性和场景铺设的速度和力度等方面都保持遥遥领先。财付通凭借微信支付腾飞，在用户和 支付场景方面有了质的飞跃，前景值得期待。微信支付简介:微信支付是集成在微信客户端的支付功能，用户可以通过手机完成快速的支付流程。微 信支付以绑定银行卡的快捷支付为基础，向用户提供安全、快捷、高效的支付服务。2014年9月26日，腾讯公司发布的腾讯手机管家5.1版本为微信支付打造了 “手机管 家软件锁”，在安全入口上独创了 “微信支付加密”功能，大大提高微信支付的安全性。用户只需在微信中关联一张银行卡，并完成身份认证，即可将装有微信app的智能手机 变成一个全能钱包，之后即可购买合作商户的商品及服务，用户在支付时只需在自己的智能 手机上输入密码，无需任何刷卡步骤即可完成支付，整个过程简便流畅。目前微信支付已实现刷卡支付、扫码支付、公众号支付、APP支付，并提供企业红包、 代金券、立减优惠等营销新工具，满足用户及商户的不同支付场景。2微信支付支持以下银行发卡的贷记卡：深圳发展银行、宁波银行。此外，微信支付还支 持以下银行的借记卡及信用卡：招商银行、建设银行、光大银行、中信银行、农业银行、广 发银行、平安银行、兴业银行、民生银行。微信支付的潜在风险：一、微信的登录认证的安全体验微信支付是建立在微信之上的功能，安全性和微信本身的安全密切相关。于是本人首先 对微信的登录认证机制进行了测试。1）用户默认保存登录信息微信为提升用户的登录体验，客户端默认是保存登录认证信息的，也就是说如果你登 录微信后，没有进行退出操作，每次打开微信就能自动登录。因此如果有人获取到您的手 机，就可以直接使用微信。有人会说“我的手机设置了密码别人拿了也用不了”。那我告诉你， 如果你用的是Android手机随便下个软件几秒钟就能破解锁屏密码。如果你用的是“爱疯手 机”且越狱了那和Android没多大区别，下个软件也是几秒钟的事情。有人说我没越狱那总 安全了吧？我只能说不一定，网上看了一下有相关软件能实施暴力破解，只是多花点时间， 本人没进行尝试，感兴趣的同学可以做个测试。2）用户手机号与微信绑定有的用户说“我使用习惯非常好，每次使用微信后都会退出”。那么，我们接着分析。 微信登录和注册时，默认首选的是“手机号码”，这应该是微信刻意引导用户使用手机号码 进行注册，以简化注册成本，并能通过用户手机通讯录进行好友推送（本人也是因此暴露了 自己的微信小号，众多联系人通过微信推送加我好友）。大多数的用户的确都乖乖的通过手 机号码注册使用微信了。在这里就产生了一个问题，如果手机丢失、手机号码弃用、非正常 途径补办卡、SIM卡复制、短信劫持等都会对微信安全造成威胁。因为可以通过短信验证 取回登录密码，同时微信还存在一种登录方式“短信验证码登录”，用户可以通过手机短信验 证的方式进行登录。通过其它方式（如QQ号码）登录微信的，在使用过程中一不小心被微信勾搭绑定了手机 号码，也就可以直接通过手机号码进行登录。这时就可以使用手机号码通过短信验证方式登 录。用户能做到随时退出微信，又不是手机号码注册，且没绑定手机号码，估计还是挺少的。3）微信登录认证方式总结在微信的“设置-我的帐号”中有个奇葩功能“独立密码”，如果你是使用QQ号登录的， 你就可以为微信设置一个“独立密码”，这样登录微信既可以使用原来QQ的口令登录，也 可以使用独立口令登录，这是要提升用户的体验吗？没太理解产品经理的意图。反而增加了帐号的风险，用户需要确保两个口令的安全，攻击者如果通过某种途径获取到一个口令就 可以登录微信。微信为防止盗号，对新客户端使用做了限制，如果是新客户端首次登录，输入口令后还 需判 断识别2位自己的微信好友头像方可登录。但如果盗号者盗取了其QQ号码，通常QQ 好友信息和微信类似，多猜几次基本能猜中。另外如果QQ用户还没有登录过微信或微信 好友低于2位则直接可进行登录，绕过该控制，对于那些QQ号没激活微信的就可以直接登 录。同时微信还有一个“绑定手机号”的功能，如果绑定手机号，则每次登录都需要短信验证， 这个对于盗号还是能起到比较好的防御作用的，在测试过程中发现了微信的又一个流氓行 为，即使不勾选'通过手机号搜索到我”，但还是把我的手机号推送给我的通讯录好友，存在 欺骗用户的情况。部分用户为了自己的隐私可能就不会开启该功能。，验证手机号W EJ y 15:28下一步骏证你威I手机号码，可信会向弥筮送一条殴证惠化.井目 会自动亮成弊证,陵个过程你只瓶耍蒯心等待：慰倍曹会 会开你的手机是始目能用+普 OOOOCOOOOOOOOOQO/通过手机号搜索到我开俱后.扶的朋友可以通过手况号找到你AOriiiLcom二、支付模块登录认证安全体验1）缺少隐私安全问题微信支付的相关功能都在“我的银行卡”功能模块中，模块中涉及这个模块虽然是和支 付相关的模块，但并不支持设置单独的口令，同时也没有类似手势密码的功能。如果用户 已经绑定银行卡，且使用了“理财通”等产品，用户登录微信后就可直接查看到其相关交易信 息和资产状况。例如某人要是刚入手了一个新款手机肯定有众多粉丝会要求拿过去耍一耍， 这时一不小心你私房钱“理财通的资产”就泄露了，要是有网上购买情趣用品习惯的人可就糗 大了。迅雷、百度云盘都支持手势密码和单独口令，微信做为即时通讯软件又附带支付功能， 隐私信息众多，为嘛就不考虑一下呢？随着微信接入商的增多，敏感信息必然越来越多，强 烈建议微信添加一个手势密码。T GF 03 07*鬻程慈用20 00 A C')nvri °阳了门ttSHlE薯日河 畛妙I2）绑定银行卡强制记录个人信息微信在绑定银行卡时，如果是首次绑定，需设置支付密码。如果已绑定或曾绑定过银 行卡，则添加新的银行卡需先输入支付密码后方可进行绑定操作。信用卡和储蓄卡两类卡 都可进行绑定，但需提供的信息稍有不同。储蓄卡绑定，需提供持卡人姓名、身份证号、卡 号、预留手机号码、短信验证码。信用卡绑定，不同银行的需提供的信息略有不同，大多 数卡需提供持卡人姓名、身份证号、卡号、信用卡有效期、安全码、预留手机号码和短信验 证码等信息。T WD1 ：Q8 grL- 卡整髦烟两箍行铅茜专）1 "OH 斤 KH Q.M能=5O证付维平丹圮证/母辛帮9Q皿口M亶姓息.位禹户煽心咛在5同值四户盼溟）rse出«pfswjj偶用卡S64"A延寻岚期A- i£证件与手或号AQ【储蓄卡绑定】【信用卡绑定】首次成功绑定银行卡后，你的姓名、身份证号就会被微信记录，且与该微信帐号绑定 不能更改。首次绑定有点类似实名认证，为鼓励用户绑定银行卡，在绑定过程中微信并未 进行相关提示和告知，此做法导致众多人账号错误的被绑定了非本人的个人信息，且不能更 改（腾讯客户回复暂时不提供更改服务）。3）支付密码的安全问题由于微信支付模块不支持设置单独的口令，也没有类似手势密码的功能。用户在进行支 付时，输入支付密码后即可完成支付，这时支付密码的安全就变成了最后的一关。【口令强度】用户的支付密码是在首次绑定银行卡时提示设置的，且口令只能设置为6 位数字，复杂度较低，用户需注意窥视、口令猜解等风险，特别是有将口令设置成简单数字、 电话号码、生日等弱口令的用户。【口令修改】用户修改支付密码有两种途径，一是输入原密码，二是重新绑定银行卡修 改支付密码。重新绑定银行卡需姓名、身份证号、卡号、预留手机号码、短信验证码等信息。因此 如果用户的手机丢失而短信、照片、聊天记录中刚好留存相关个人信息，或者用户身份证、 银行卡、手机同时丢失，则存在支付密码被重置的可能。现在现在手机已经做为日常沟通的 首要工具，用户难免会在微信、QQ、短信等使用过程中提及身份证、银卡号登信息，例如 汇款、购买机票/火车票等等所以该风险是确实存在的。三、微信钓鱼和诈骗微信做为手机端软件，大家很多在电脑上养成的安全习惯，到了移动端又突然消失了, 用于对于盗号诈骗、钓鱼链接等防范意识相对较低。在抢红包期间伪造的微信红包让很多人 扑了个空，但要如果是恶意链接，则将是一大片人中招，微信需在这方面加强相应的安全措 施和用户教育。不同微信号对相同银行卡的多重绑定用一张图片说明：微信号A微信号B微信号C产生的本质原因：注册微信时，微信未对注册人的真实身份（身份证、手机号码等）进 行认证。而在后期的测试中，也验证了这个问题，我们用两个手机的两个不同微信账户，可以绑 定同一身份人的同一张银行卡，并且可以设置不同的支付密码。学；H G|g) lfi:5£3手机话能充值K电影裁案带选商品。目币充值念彩票寸腾讯公益A M收款醐市腾讯计算机系统有限公旬哇品口币伪实）109001费口1 Z5 31找柏鸣口国僻1 i成会的间2013-12-24 1&；55疾行缶哪招商银行当础态龄咬¥1.00这个潜在风险在于，理论上我拿到你的手机，知道你的银行卡号（前提是办理该张银行 所预留的手机号就是当前所使用的），就可以完全使用任意微信账号（未开通过微信支付的 微信账号）绑定你的银行卡从而进行消费。腾讯现在的做法是默认微信账号与第一次开通微信支付时绑定的银行卡用户名进行关联 绑定。简单点的说就是，假设我现在开通微信支付，但却绑定另一个人的银行卡，那么此后 我就只能绑定与这个人相关的银行卡不能绑定其他人的银行卡。微信支付的安全保障：微信支付功能的上线，让微信从单一的沟通工具逐步向多元化的生活平台扩展，如何保 障微信支付安全也成为微信用户关注的焦点，不时传出的微信支付安全事件更是引发微信大 军的高度关注。“安全问题是在移动支付的发展过程中一个不可忽视的问题'，中国金融认证中心总经理 季小杰表示，“这个问题如果得不到有效的解决或被忽视会直接影响整个支付产业的发展'。支付服务最基本的底线是安全，网络支付最核心的诉求是便捷，以Paypal （贝宝）、 支付宝、财付通为代表的网络支付服务，无一例外，都是立足在安全的基础上，提供尽可能 便捷的服务。以支付宝为例，为保障支付安全，提供了一系列的服务：数字证书、手机短信 验证、第三方证书、支付盾等；而为了更快捷，支付宝又提供绑定银行卡快捷支付、手机支 付宝小额免密码支付等功能。安全与快捷很多时候是有冲突的，为了更安全，难免对支付环 节造成不便；而有时更便利的服务也会预埋下安全隐患。所有支付平台都在做的一件事，就 是不断在两者之间进行平衡。为了确保微信支付安全，微信提出了五大安全保障，为用户提供安全防护和客户服务。技术保障：微信支付后台有腾讯的大数据支撑，海量的数据和云计算能够及时判定用 户的支付行为是否存在风险；基于大数据和云计算的全方位的身份保护，最大限度保证用户 交易的安全性，同时微信安全支付认证和提醒，从技术上保障交易的每个环节的安全。客户服务：7龙4小时客户服务，加上微信客服，及时为用户排忧解难；同时为微信支付开辟的专属客服通道，以最快的速度响应用户提出的问题并做出处理判断。业态联盟：基于智能手机的微信支付，将受到多个手机安全应用厂商的保护，如腾讯手 机管家等，将与微信支付一道形成安全支付的业态联盟。安全机制：微信支付从产品体验的各个环节考虑用户心理感受，形成了整套安全机制和 手段，这些机制和手段包括硬件锁、支付密码验证、终端异常判断、交易异常实时监控、交 易紧急冻结等，这一整套的机制将对用户形成全方位的安全保护。赔付支持：腾讯公司与中国人保财险（PICC）达成合作，向微信支付用户提供全额赔付保障，承诺“你敢付，我敢赔'，如果出现账户被盗被骗等情况，经核实确为微信支付的责 任后，微信支付将在第一时间进行赔付；对于其他原因造成的被盗被骗，微信支付将配合警 方，积极提供相关的证明和必要的技术支持，帮用户追讨损失。微信支付的安全性评价及建议：“网络支付没有绝对的安全。所谓安全，来自于支付平台的安全体系设定，加上用户的 安全意识。”网络安全专家指出。目前，微信已经成为越来越多智能终端用户移动交友的首选平台，微信产品团队也对安 全防护机制进行了持续升级和完善，使之能更好地保护用户的隐私及人身、财产安全，这在 一定程度上起到了遏制金融犯罪的效果；但最终避免落入犯罪分子圈套，还需要用户自身提 高警惕，不轻信他人，不轻易透露私人信息，在交往中采取必要保护措施，养成良好的移动 支付习惯。建议用户设置手机锁屏密码，那么即使别人拿到手机也无法开启使用；另外，微信支付 密码切勿设置成与手机锁屏密码或者其他密码一致。据了解，他人拾获手机时如果想修改密 码，必须通过原密码验证方可修改，如直接选择忘记密码并想找回，则需要同时验证卡号、 有效期、姓名、身份证并使用银行预留手机号接收验证码方可找回，而本身微信支付中并不 会显示已绑定银行卡的完整卡片信息，因此他人无法通过微信支付银行卡界面获取相关信 息。如果手机、身份证、钱包同时丢失，用户可通过微信支付客服反馈情况，微信支付核实 后会进行交易异常判断、账户紧急冻结等手段，保证用户账户安全。此外，当用户在公众账号内进行交易时，一定要认准账号加“V ”标志，带“V ”的即为微信认证商户的官方公众号，同时在交易时要认准“微信安全支付”认证字样，只有这样才能确 保支付安全，对于未经认证的公众号所发布的支付页面、链接等，用户需保持警惕。