支付宝的安全

支付宝的安全，和隐患

一：支付宝网站采用的安全手段，起到什么效果

(一)：“支付宝账户”有两个密码，一个是登录密码，用于登录账户，查看账目等一般性操作；另一个是支付密码，凡是牵涉到资金流转的过程，都需要使用支付密码。缺少任何一个密码，都不能使资金发生流转。同时，对同一天内允许的密码输入出错次数有限制，超过出错次数后，系统将自动锁定该账户。

登陆密码和支付密码登录密码和支付密码一定要分别设置，不能为了方便设置成同样一个密码。密码最好是数字加上字母以及符号的组合，尽量避免选择用您的生日和昵称作为登录密码或支付密码。请不要使用其他的在线服务（比如易趣、MSN、YAHOO或网上银行）一样的密码。在多个网站中使用一样的密码会增加其他人获取您的密码并访问您的账户的可能性  

（二）：数字证书是由权威公正的第三方机构，即CA中心签发的证书。它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。

（三）：支付盾是支付宝公司推出的使用硬件进行验证和签名的安全解决方案，它是具有电子签名和数字认证的工具，保证了您在网上信息传递时的保密性、唯一性、真实性和完整性。

（四）:“支付宝网站”采用了先进的128位SSL加密技术(参照国内银行网站的普遍做法)，确保您在支付宝页面上输入的任何信息可以安全传送到支付宝，而不用担心有人会通过网络窃取您的敏感信息。

（五）：绑定手机，使用手机动态口令。支付宝等网络支付账户都支持绑定手机并支持设定手机动态口令。用户可以设定当单笔支付额度或者每日支付累计额度超过一定金额时就需要进行手机动态口令校验，从而增强资金的安全性。

二：网上支付安全隐患

网上支付对于很多人来说并不陌生。你也许通过某家商业银行的网上银行转账、支付交易保证金，或是通过一些专业的网上支付服务商（如“支付宝”）进行过网上购物在线支付。所有这些通过互联网进行的支付方式都是网上支付。

　　网上支付受欢迎程度并不一致。一方面，很多人感受到互联网支付的快捷和方便，从而对网上支付情有独钟，他们觉得网上支付可以明显减少到银行的往来奔波之苦、可以免除排队的烦劳；另一方面，一部分人对网上支付退避三舍，不敢轻易尝试网上支付。经调查分析，不同人群对待网上支付的不同态度在很大程度上是由于他们对网上支付安全担心程度不同所致。

也就是说，对于后者，他们觉得网上支付需要更好的安全保障。从目前网上支付的发展水平和出现的网上支付案例来看，现行的网上支付安全技术和手段已经比较成熟，绝大部分网上支付安全事件更多的是由于支付者缺乏必要的安全防范意识和技能所致。
　　哪里存在安全隐患？
　　人们对任何事物关注点与该事物发展阶段变化而变化。在事物的不同发展阶段，风险点发生变化，社会对此的关注点可能发生变化。对于网上支付，当前的主流方式是通过银行卡（包括信用卡、借记卡和支付卡等）这种支付工具，通过浏览器输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于：
　　●支付密码泄漏。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。这是人们对网上支付安全的主要担心所在。
　　●支付数据被篡改。在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等，达到谋利目的并制造互联网支付事件。
　　●否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。
三：如何减少支付风险？
　　降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢？
　　●骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信（邮件）。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗，乖乖地向其泄漏自己的银行卡支付密码。
　　●支付终端截取。攻击者可以在持卡人电脑上发布恶意软件（如木马软件）。这些软件能在持卡人输入支付密码时悄无声息地捕获，并偷偷地发送出去。
　　●网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。
　　●暴力攻击。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机，攻击者可以采用密码词典（密码词典包含了0－9数字不同字长的各种数字串组合）方式逐个试探。
　　●其它途径获取。攻击者趁持卡人不注意，在银行柜台、ATM或POS终端记下持卡人的支付密码。
　　支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出，我们首先要具有安全意识和基本防范技能。持卡人应注意：
　　识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此，持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商，熟悉其域名，并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式，可以帮助持卡人识别假网站。
　　虚假短信（邮件）相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后，应确认短信发送者的真实身份或短信内容。
　　密码保护还需要持卡人注意不要设置简单的密码。如不要采用类似“123456”的简单数字组合、自己或亲人的生日信息、电话号码。此外，还注意支付终端的安全性，如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时，还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等，不要将密码记录在被人容易看到的纸片上。
　　支付密码能轻易为攻击者骗取、窃取或破解，更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合，属于低安全强度的保护机制。如采用数字证书代替或补充支付密码就是一种更有效方式。因此，持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式

本文来源：https://www.2haoxitong.net/k/doc/d1e32e7502768e9951e738f1.html