支付寶真的安全嗎？

摘要：支付寶自2004年誕生以來到現在已經走過第一個十年！隨著餘額寶的誕生，讓更多人認識到了支付寶！隨著用戶的增多，人們存的錢自然多了。很多不法分子已經盯上了支付寶的各種漏洞來竊取支付寶里或者銀行的錢！

支付寶是一種方便、快速的支付方式。客戶可通過將個人第三方支付賬戶關聯自己的儲蓄卡或者信用卡，每次付款時只需輸入第三方支付賬戶的支付密碼和手機校驗碼即可完成付款，從而繞開了銀行支付網路，只要綁定了銀行卡，用戶無需銀行卡密碼就可以通過支付寶從銀行卡里轉賬。

那麼，支付寶到底安全不安全呢？

工、農、中、建四大行陸續對快捷業務調整了限額，四大行對支付寶的單筆額度和單日累計基本限制在萬元以下，最低的僅為5000元，每月累計也基本不超過5萬元。針對「為何要限制支付寶限額」，工商銀行某處長回應稱，支付寶產生初衷是為了滿足網購客戶小額支付寶資金的便利性，只需要通過手機發送的支付機構的動態驗證碼，就可以從銀行賬戶划轉資金進行支付。這種方式確實方便，但支付寶安全性存在明顯隱患，交易對手機的依賴性太高，一旦手機丟失、註冊時信息泄露或者手機被植入木馬病毒，綁定支付寶手機號便容易被篡改，用戶的資金很容易被盜。

曾經在一篇文章中討論過支付寶的安全問題，支付寶的安全關鍵在於手機，要保證手機絕對安全，特別是保證簡訊安全，那才能保證支付寶的安全。對於支付寶的攻擊方法就更多了，如果用戶開通了小額支付免輸密碼，黑客只需安裝先前介紹的偽造身份證SIM開的方法即可直接支付小額付款。不過要盜取大量資金，還需要用戶的支付密碼方可，這裡黑客就採用各種方法攻擊用戶的支付密碼即可。

通常的攻擊方法除了在電腦端的木馬和釣魚網站之外，還有通過手機APP應用的攻擊方法，黑客可以先將具有盜號功能的惡意應用發布到各個應用商店或論壇里，如果用戶使用Android手機下載並安裝這類惡意應用（例如假冒的遊戲應用），那麼惡意應用就在後台攔截用戶簡訊通訊，然後再偽裝一筆轉賬，通過截獲用戶簡訊來完成交易，或者通過後台將用戶引導到釣魚網站來截獲支付密碼，這樣就完全避規了銀行的USBKEY等令牌系統，從而盜取用戶資金。

為了應對這種情況，支付寶還推出了一個手機寶令這樣的動態令牌來加強手機支付的安全性，用戶啟用手機寶令后，即可看到一個每分鐘都變化的一次性密碼的「動態令牌」，在原有的簡訊基礎不變上，增加上這個動態令牌，這樣，惡意應用即使攔截了用戶簡訊和一次性密碼也沒用，因為無法計算出下次支付所需要的動態密碼，所以會使得竊取用戶資金會失敗。

動態令牌這個方案解決了黑客通過惡意應用盜取用戶銀行卡資金的威脅，但如果用戶手機被偷的話，別人就可以在手機上看到這個「動態令牌」，因此更為理想的方案是，支付寶再綁定一個動態令牌硬體（非手機動態令牌應用），例如已經停售的寶令，動態令牌可以掛在鑰匙鏈上，這樣即使手機丟了，沒有動態令牌也無法轉賬，動態令牌丟了，沒有支付寶密碼也一樣無法轉賬。這樣的方案就能夠大幅提高支付寶的安全性，並且技術上也很容易實現，無需驅動，這樣用戶就不用害怕自己的手機被盜而引起的資金財務風險了。

總而言之，用戶如果能保證自己的手機和簡訊的絕對安全，支付寶就是安全的，否則就是不安全的。