支付宝手势密码安全吗?

原创 2013年12月04日 22:38:53

看微博一条新闻:IOS版支付宝手势密码爆漏洞,然后一堆人利用这个漏洞炒作,攻击支付宝!本着为消费者考虑的角度,本文分析一下这个问题。

这个漏洞应该是逻辑上被绕过了,需要业务逻辑设计者用理论体系去遍历。

下面我们对这个漏洞带来的风险进行分析。这个漏洞的前提是:丢了手机!忘了设置手机锁!忘了打电话挂失的用户!

同时支付宝除了登陆认证口令外,还在支付时需要输入支付密码进行认证,因此有多重保护机制。也就是说即使手势密码被绕过,支付时还需要输入口令。

支付宝为了更好的实现用户体验,还在小额支付时,可以让用户如下设置:

由于本人经济条件有限,买不起iphone手机,暂时用android百元机演示。

大家第一次使用支付宝时,登陆完毕后会提示用户设置一个手势密码!

 我们说这个手势是干嘛的?其实就是增强用户体验,我们平时一般输入一次密码,然后以后记住就可以了。如:

 

每次让你输入密码,是安全了,但大家伙不乐意啊,尤其手机那点屏幕,输入点东西容易吗?

然如果支付宝客户端也搞成这样,直接自动登录,大家伙肯定又对安全产生了疑问。

那么如何在安全和用户体验上搞个最佳平衡,根据我的理解,那就是支付宝的手势。这样就可以让你无需输入口令,同时可以较长时间维持会话时间。

因为这个手势密码输入比较简单,这样就可以很短时间弹出手势密码,如果丢了手机或者各种场景,很快就会锁住应用,防止钱丢丢。

用户如果感觉这样心理上还不安全,那就每次交易完毕直接:

这儿建议支付宝安全团队把这个安全退出可以放在更醒目的位置。

安全退出后,下一次登陆还需要输入口令的:

支付宝的安全设计其实体现了安全的哲理,安全的重任需要业务商、系统安全厂商、用户等多方面承担。如果支付宝为了绝对的安全让大家手机上挂一个U盾,我估计大家又说很难用!

如果像我胆小,每次就都安全退出。另外用户也应该设置设备锁,这样丢了手机以后就又增加了一层保护。手机里面承载了太多太多我们大家的敏感信息,大家还是设置一下手机锁吧!

 

 

但很多人不愿意设置,如果手机比喻成房子的话,就好比你房子不关门,而把柜子加了一把锁!您说肿么办?

那么这个安全退出的价值何在?手势密码是本地保存的,如果root了,可能存在一些风险。但话说过来,root以后,各类应用的风险都很大!

给支付宝的建议:手势密码以及认证信息的存储是很重要的,建议妥善保管。这设计到支付宝自身安全机制的设计了。本文不深入探讨:

只针对这个话题提到的本地安全保存提几点建议:

 

 

 

1)     无需存储的就不要存储,比如log;

2)     Never use public storage areas(ieSD card);将个人数据和系统数据存储在SD

3)     Leverage secure containers and platformprovided file encryption APIs

4)     Do not grant files worldreadable or world writeable permissions

5)     Consider restricting access tosensitive data based on contextual information such as location

6)     Don't store code libraries thatare world writable or on external storage

7)     Don't store paths to codelibraries in files that are world writable or on external storage

8)     Don't process data fromwritable files in native code - memory corruption vulnerabilities could allowapps to run arbitrary code with your app's ID

9)     Caching data not intended forlong-term storage

10)  Weak or global permissions

11)   Encoding != encryption

12)Obfuscation != encryption

 

详情参考老王的Android security book:

 

 

手势密码VS指纹密码,哪个更安全?

Android的手势密码,现如今的指纹解锁,再加上古老的文本密码都是有破绽可循的。 三年前过年前我去鼓浪屿旅了个游,不幸丢失了我的 iPhone 5,考虑到过年的开支,买了台小米。当时弃...
  • ones123654
  • ones123654
  • 2015年08月27日 10:12
  • 786

Android——实现支付宝手势密码

很久没写博客了,时间过得真的很快,转眼就半个月了,才发现什么都没有留下,真是遗憾。今天就给大家分享android实现支付宝手势密码,很常见,像现在用微信支付,支付宝支付的时候都要自己设置的4位PIN码...
  • u013836857
  • u013836857
  • 2016年06月21日 14:15
  • 788

支付宝钱包手势密码破解实战(root过的手机可直接绕过手势密码)

/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 背景          随着移动互联网的普及以及手机屏幕越做越大等特...
  • hu3167343
  • hu3167343
  • 2014年07月02日 14:38
  • 25011

iOS-高仿支付宝手势解锁(九宫格)

高仿支付宝手势解锁, 通过手势枚举去实现手势密码相对应操作。
  • smileZhangli
  • smileZhangli
  • 2017年11月17日 09:37
  • 715

[ios仿系列]仿支付宝手势解码

呀~,这么快就转到ios阵营了???,android还有那么多坑呢???为此我也只能啃着馒头留下屈辱的眼泪了。。 本次由于开发公司产品的android版,继而ios版也负责一部分,其中一部分就是手势解...
  • jov123
  • jov123
  • 2015年06月30日 17:54
  • 1619

你的密码安全吗

想个好密码不容易Web 2.0时代需要用户主动参与,大大小小的站点都需要你注册登入(连期末课程设计也视此为最低指标)。密码原则上是一个烂在肚子里的字串,只有自己知道且容易回忆。容易回忆就意味着这一串字...
  • redraiment
  • redraiment
  • 2009年08月12日 21:51
  • 52169

你的密码安全吗?

安全
  • AshinLi
  • AshinLi
  • 2017年03月19日 11:41
  • 232

为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比

在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?         一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗?...
  • stpeace
  • stpeace
  • 2017年09月23日 20:44
  • 2974

Android-仿支付宝手势密码(九宫格)简单实现-修复相关BUG

先上图:
  • u014695956
  • u014695956
  • 2014年07月08日 10:26
  • 5664

记住密码的安全

记住密码
  • Q176782
  • Q176782
  • 2016年05月22日 11:11
  • 1287
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:支付宝手势密码安全吗?
举报原因:
原因补充:

(最多只允许输入30个字)