手机支付平台付款码风险分析

一、前言：

比起扫收款方二维码，再填入金额，输入支付密码支付。让收款方扫自己的支付码方便快捷的多。但是，手机付款码总共只有16个字符的有效数字（按十六进制算），比扫二维码的信息量少很多。这在原理上存在一个风险，即使不知道Seed和Key的算法。但是，可以随便生成一串数字，客户ID，付款方式，Seed都是任意的。存在1/1000000，百万分之一的概率Seed和客户ID刚好匹配。然后让收款方扫描伪造的支付码，从而有任意客户财产被盗窃的风险。有两种发生类型：
1.收款方伪造支付码随便扫描，从而窃取了某个客户的财产。从而造成有人莫名其妙的被扣款。
2.付款方在伪造支付码从而有可能花了别人（他可能压根不知道花了谁的前）钱买了东西，而收款方是不知道到底是谁付的款。
显然，这两个问题肯定是被解决了的。要不然，支付宝和微信是断然不敢推广动态付款码支付的。那么，问题是如何解决的？
二、第1类：
不是任何人都有扫描支付码收款的权利。你可以拿自己的手机去扫描别人的支付码，发现只能扫出一串数字，然后就完了。显然，支付系统的商家只对合法的扫码者授权数字证书（例如，大超市，餐厅等正规的有工商营业执照的组织），不会随便授予个人。这样，如果有谁擅自伪造支付码扫描，无论支付成功或失败，在系统里都会有记录的，从而留下违法的证据。无证书的人扫支付码没用，有证书的人不敢擅自扫，从而杜绝了第1个问题。
三、第2类：
从第1个问题分析，具有扫码资格的都是超市，餐厅等正规营业机构。这些单位一般在支付前台都装有摄像头，如果有消费者伪造支付码且实现了成功支付，也是能记录下的。扣款方会投诉支付平台客户，支付平台会调出扣款方及实际扣款地点，根据现场录像和付款时间基本可以调查出来伪造付款码的人。所谓做贼心虚，一般也没有人敢冒险在摄像头下盗窃。从而第2个问题也解决了。
四、总结：
第1个问题的由数字证书的安全性决定，基本可以肯定不会发生。第2个问题存在个人投机行为，一般是小额支付不会对实际扣款者造成太大损失，即使发生损失支付商家也能赔偿，毕竟该支付系统理论上存在此漏洞，最多使用户体验不好。不知道实际生活中这种事情有没有发生过。
总之，作为消费者就放心大胆的用付款码支付吧，但还是要切记不要把付款码告诉别人。