移动支付安全堪忧 生物识别前来保驾护航
- 来源:中国一卡通网
- 2016/7/22 13:39:4327409
中国移动支付发展的速度确实快,如今出门不带现金,只带手机,吃住行完全不是问题。不过也有人担忧:如果我丢了手机,不等于丢了我的全部家当?确实,随着移动支付的普及,其安全性成为亟待提高的问题。
移动支付安全堪忧 生物识别前来保驾护航
移动支付的安全性是相对的
一位用户表示,自己的手机里什么都有,“光银行卡就绑定了三五张”。且不说手机银行、支付宝等专门的APP,其他的购物网站、社交软件、出行软件都和银行卡绑定。现在好多APP内有购买程序,都需要绑定银行卡或者支付宝、微信等账户进行支付。在带来方便的同时也带来了潜在的隐患。“以前手机银行操作时,又要密码器又要口令卡,特别麻烦;现在第三方支付的时候,只要输入简单的6位密码即可,小额的甚至免密。方便是方便了,但也觉得一旦被人盯上,后果不堪设想。”
那么移动支付到底安全吗?360安全专家杨卿给出的答案是,“这世上没有安全的系统,所以移动支付是否安全这种问题,也不会有确切的答案。只能说这个过程中厂商与用户都要为自己的安全负责,厂商要设计安全的软件体系及安全响应,用户对自己的个人信息及手机系统的健康要有自护意识。”
Apple和Samsung的Pay都没被破解
ApplePay在国外推出这么久,还没有黑客对它成功破解。可以说,ApplePay本身的安全性比较高。而三星智付由于推出的时间较晚,目前虽然没有黑客公开破解,但是据介绍,在接下来的黑客大赛上,已经有白帽黑客准备挑战三星智付。
Apple Pay的原理是把一张信用卡和一部手机硬件绑定。让iPhone成为这张信用卡的替身,让Touch ID,也就是指纹识别成为信用卡密码的替身。其次,ApplePay把用户的银行卡号经过加密转为一段代码,名为“Token”。这个Token存在专门的安全芯片上,和TouchID是邻居。因此,ApplePay的安全性是基于芯片的。
“iPhone的安全芯片自身是一个体系,有独立的OS和独立的存储区,所以即便获取了手机系统的控制权,也未必能介入到安全芯片之中去取数据。”杨卿表示,曾有黑客试图以木马病毒盗取他人手机上的卡号(Token),但事实发现,只要手机没有进行越狱,在苹果手机上安装“李鬼APP”就是一件几乎不可能的事情。近几年iOS的系统版本每进行一次大的迭代,都会增加一重安全机制。
那么Samsung Pay呢?杨卿表示,目前Samsung Pay也没有安全性方面的漏洞被发现。但是SamsungPay基于安卓系统,安卓系统目前发现的漏洞要多于iOS,因此一旦用户的手机被越狱,黑客就可能有可乘之机。但是这不能说Samsung Pay就不安全,只能说在手机被越狱或者被安装恶意程序的状态下,它的银行卡等信息泄露的可能性要高于苹果支付。不过三星对用户的安全性方面非常重视,如果出现上述小概率事件,三星会在时间进行修复,这对于系统和用户来说都是好事。
各支付企业引入生物识别方式
纷筹划属于自己的支付方式。加之密码安全问题不断受到质疑,生物识别支付方式被评为继密码之后的独特支付形式。
生物识别支付方式具有传统身份验证手段(如:密码、令牌等)*的优点。由于生物识别支付方式是利用人体固有的生物特征(如:人脸、指静脉、指纹等)来进行个人身份鉴定从而支付的方式,所以具有高安全性、随身性、性、稳定性和方便性等特点。
现如今,在广大生物识别支付方式中,活体识别支付方式慢慢成为人们新的关注对象,其中,活体生物识别中的*--指静脉识别,作为高防伪性的第二代生物识别方式而备受世人瞩目。
静脉识别---生物识别的一种。静脉识别系统一种方式是通过静脉识别仪取得个人静脉分布图,依据专用比对算法从静脉分布图提取特征值,另一种方式通过红外线CCD摄像头获取手指、手掌、手背静脉的图像,将静脉的数字图像存贮在计算机系统中,实现特征值存储。静脉比对时,实时采取静脉图,运用先进的滤波、图像二值化、细化手段对数字图像提取特征,采用复杂的匹配算法同存储在主机中静脉特征值比对匹配,从而对个人进行身份鉴定,确认身份。
生物识别就一定安全吗?
如今,随着生物识别的普及,越来越多的个人数据被置于云端进行存储和管理,信息安全成为人们关注的问题。
与传统密码相比,生物识别安全系统的设计思路就是让用户使用明显的身体特征--例如指纹、虹膜或心跳率--来证明自己的身份。这种功能在当前的很多设备中都很常见。例如,苹果iPhone允许用户通过指纹来授权某项支付活动。
生物识别安全功能的好处就是这些身体特征很难复制,而且用户也不用费神记住它们。这与传统的密码加密方法形成了鲜明的对比。黑客之所以能够轻易地破解密码,是因为很多用户仍在使用非常简单的密码,例如“12345”,而且还因为黑客借用了强大的电脑来猜测和测试密码。
可惜的是,生物数据也是可以被黑客窃取的。现在,已有很多窃取用户生物数据的安全入侵事件发生。例如,在2015年,美国联邦政府人事管理办公室保存的560万个员工的指纹数据就被黑客盗走了。
更糟糕的是,在生物数据失窃后,它会造成性的危害。在数据失窃后,你可以更改你的密码,但是你却无法更改你的指纹。
现在,越来越多的组织(包括公司和政府机构)都在建立员工的生物特征数据库,以方便识别他们的身份。但是,这样的数据库会将员工置于非常危险的境地,因为这些数据库有被黑客窃取的风险。
该如何防范生物识别安全风险?
生物识别安全系统的这些风险也不是不可以防范的。现在,人们越来越意识到公司保护员工生物数据的方法就是在一开始就不持有这些敏感的信息,应该将这些生物数据只保存在用户本人的设备上,而不是集中保存到公司的服务器上。
在实践中,用户可以将一个或多个生物特征(例如大拇指指纹和语音信息)保存到个人的手机或电脑上。然后,当用户在第三方服务如PayPal支付服务或其他网站上处理业务的时候,这些服务或网站就会与他或她的个人设备交换确认信息,从而确认身份。
例如,iPhone上的苹果支付服务Apple Pay就是这样工作的。苹果实际上不会将用户的大拇指指纹复印件发给送商户,相反,它只提供一次性的确认信息来授权此次支付活动。类似的支付认证授权方法已通过FIDO协议标准化了。FIDO协议是科技和金融行业中的设备制造商和公司共同签署的安全协议。
随着政府和企业开始采用生物识别安全系统,它们起码应该抵挡住将员工生物数据集中保存在统一数据库中的诱惑,从而避免让员工暴露在比传统密码更大的危险之中。