支付宝手势密码安全吗？

看微博一条新闻：IOS版支付宝手势密码爆漏洞，然后一堆人利用这个漏洞炒作，攻击支付宝！本着为消费者考虑的角度，本文分析一下这个问题。

这个漏洞应该是逻辑上被绕过了，需要业务逻辑设计者用理论体系去遍历。

下面我们对这个漏洞带来的风险进行分析。这个漏洞的前提是：丢了手机！忘了设置手机锁！忘了打电话挂失的用户！

同时支付宝除了登陆认证口令外，还在支付时需要输入支付密码进行认证，因此有多重保护机制。也就是说即使手势密码被绕过，支付时还需要输入口令。

支付宝为了更好的实现用户体验，还在小额支付时，可以让用户如下设置：

由于本人经济条件有限，买不起iphone手机，暂时用android百元机演示。

大家第一次使用支付宝时，登陆完毕后会提示用户设置一个手势密码！

 我们说这个手势是干嘛的？其实就是增强用户体验，我们平时一般输入一次密码，然后以后记住就可以了。如：

 

每次让你输入密码，是安全了，但大家伙不乐意啊，尤其手机那点屏幕，输入点东西容易吗？

然如果支付宝客户端也搞成这样，直接自动登录，大家伙肯定又对安全产生了疑问。

那么如何在安全和用户体验上搞个最佳平衡，根据我的理解，那就是支付宝的手势。这样就可以让你无需输入口令，同时可以较长时间维持会话时间。

因为这个手势密码输入比较简单，这样就可以很短时间弹出手势密码，如果丢了手机或者各种场景，很快就会锁住应用，防止钱丢丢。

用户如果感觉这样心理上还不安全，那就每次交易完毕直接：

这儿建议支付宝安全团队把这个安全退出可以放在更醒目的位置。

安全退出后，下一次登陆还需要输入口令的：

支付宝的安全设计其实体现了安全的哲理，安全的重任需要业务商、系统安全厂商、用户等多方面承担。如果支付宝为了绝对的安全让大家手机上挂一个U盾，我估计大家又说很难用！

如果像我胆小，每次就都安全退出。另外用户也应该设置设备锁，这样丢了手机以后就又增加了一层保护。手机里面承载了太多太多我们大家的敏感信息，大家还是设置一下手机锁吧！

 

 

但很多人不愿意设置，如果手机比喻成房子的话，就好比你房子不关门，而把柜子加了一把锁！您说肿么办？

那么这个安全退出的价值何在？手势密码是本地保存的，如果root了，可能存在一些风险。但话说过来，root以后，各类应用的风险都很大！

给支付宝的建议：手势密码以及认证信息的存储是很重要的，建议妥善保管。这设计到支付宝自身安全机制的设计了。本文不深入探讨：

只针对这个话题提到的本地安全保存提几点建议：

 

 

 

1)     无需存储的就不要存储，比如log;

2)     Never use public storage areas(ie，SD card)；将个人数据和系统数据存储在SD卡

3)     Leverage secure containers and platformprovided file encryption APIs；

4)     Do not grant files worldreadable or world writeable permissions

5)     Consider restricting access tosensitive data based on contextual information such as location

6)     Don't store code libraries thatare world writable or on external storage

7)     Don't store paths to codelibraries in files that are world writable or on external storage

8)     Don't process data fromwritable files in native code - memory corruption vulnerabilities could allowapps to run arbitrary code with your app's ID

9)     Caching data not intended forlong-term storage

10)  Weak or global permissions

11）   Encoding != encryption

12）Obfuscation != encryption

 

详情参考老王的Android security book: