静态二维码付款的不安全因素,小偷猖獗
随着支付宝和微信的线下不断推广,目前使用手机进行二维码支付已经逐渐成为一种时尚了。但是大家有没有思考过:这种便捷的支付方式到底安不安全呢?今天我们就针对这个话题来进行一些探讨吧。
自《中国人民银行关于印发<条码支付业务规范(试行)>的通知》(下称“通知”)发布以来,支付宝目前静态二维码付款仍不受500元限额影响,官方回应正在整改中,由于涉及到的商户消费者太多,具体措施还未施行;微信支付相对比较取巧一点,用户在扫码付款时,如果额度超过500元,则系统会自动弹出一个提示页,要求用户扫描生成的动态二维码,需要确认才能付款,这样就很巧妙地回避了“通知”里的新规,关于静态二维码限额的规定。实际上,央行“500限额”的规定,出发点应当是为安全考虑。
在不少新闻报道中,商户摊贩们贴出的二维码,不乏被小偷偷换的情况发生,很多营业额度较大、付款频率较多的商户,并没有做到每笔核对到账情况,这就让小偷有了可乘之机。比如菜市场之类地方,小偷通过偷换店家静态二维码,达到窃取钱财的目的。
假如商户的能够做到通过一张静态码就可以自立核实到收款人账户真假的程度,那或许也不再需要“500限额”这样的规定了,更加不需要弹出提示页,需要客户二次确认才可支付的需要了。由于“偷偷将商家的静态码替换掉”的危险仍然存在,在商户粗心之下仍然可以或者胜利行骗,植入的病毒仍然会被辨认中招。
付款二维码和收款二维码的区别
1. 永久不变 和 每分钟必变
2. API+参数 和 纯参数
关于第一点的解释,在此插播一个现实生活中的小故事:
在某早餐店, 小编问店主:为何不做个二维码放墙上? 店主说:那玩意经常变,我们就不知道怎么弄了。 小编笑:你说的是付款二维码,那东西如果不变,传播出去后,你的钱会被人随便扣,但是你的收款二维码,你是不是还会担心别人随便给你转钱呢? 店主立刻明白了,笑:当然不会,别人不断给我汇款,我高兴都还来不及呢。
扫码付的安全优势
看了以上两点,静态码的不安全性,以及静态收款码和动态付款码的区别,结合之下,相信理解扫码付的安全优势,就更加容易了。“扫码付”的操作原理,是让商家对交易完成的最后一环——付款拥有较高的主动权,商家主动使用扫码设备,扫描顾客出示的付款码,完成整个交易动作。
一方面,商户的收款账户,一定程度上可以认为是安全的,可以有商户个人把控掌握到,有心之士,是很难做到在商户不知情的情况下,对其进行修改的。
另一方面,顾客的角度来看,付款码是每分钟一变的,而且只是一串单纯的付款码参数,并没有内涵顾客的个人账户密码等相关的敏感信息,很难被植入病毒,或者窃取信息。即便真的被窃取并破解了部分信息,每分钟一变的特性也会导致该信息很快失效。
综合分析,“扫码付”利用了收款码和付款码的根本原理,进行了针对性的改善处理,有效地逼除了有心之士的可乘之机
