界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
技术交流区
反病毒/反流氓软件论坛
支付安全的思考!
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
1
/ 1 页
跳转
页
[原创] 支付安全的思考!
收藏
tom2000
版主
帖子:
3576
注册:
2001-07-13
来自:
晶体测评小组
发表于: 2016-04-27 10:54
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
支付安全的思考!
TOM2000
26日CCTV一则“新型诈骗”的新闻引发我写这篇文章原有,新闻中已经对这样利用电信服务,网银,支付平台系列漏洞进行深入的分析和报道。但是我认为这个问题其实有更多值得展开的讨论的东西。
就在诈骗新闻报道的前几天“CNN记者北京体验24小时无现金生存”报道抢占各大媒体的头条,我们对我们自己移动支付的便利与普及感到自豪的同时,其实就已经埋下隐患,因为完成所有操作的都是依靠手机,手机俨然已经不是一个通讯工具而是一个自然人在网络中认证身份的唯一工具。但是这种重要的工具安全性又是极其脆弱的。
残酷的现实!
你要完成常见的电信诈骗,要强成功率就必须有受害对象的个人信息进行加持。才能让受害人坚信骗子谎言的真实性,从而上当受骗。但是在这个全民网购的时代,用户信息几乎已经不存在没有泄露的可能。
但是刚出现这种有技术含的新型诈骗方式,光有用户信息是不够,还必须有用户的密码。那用户密码又是如何泄露的呢?我们排除用户密码设置过于简单靠猜解就可以破译这种情况外,其实用户密码还有一种更广泛更精准的泄露。
在此之前,我必须要说的是另外一个问题,当今时代我们生活几乎离不开密码,你小到上网大到支付都离不开密码,就是因为密码的普遍性,用户已经把密码变成通用码,为便利绝大数用户都只会常用几个甚至只用一个固定的数字字母方式作为密钥。
很多用户应该都不明什么叫拖库漏洞,但是网上出现知名网站和公司用户资料被盗的新闻大家应该不会陌生。其实简单说就是用户资料就是你的上网的用户名 邮箱 密码信息被泄露。
好现在我们把这几件事串起来,首先我们假设包含你个人在内的用户信息被盗这里包含你姓名 地址 银行卡密码,邮箱等等系列信息,
第二因为用户因为方便基本不会更改上网使用用户名和密码,而多数用户的密码是不会更改的通用码。
第三,用户自认非常隐秘的用户和密码,其实早就因为网站或公司的拖库漏洞已经泄露。
你把这三点连起来就很可怕,因为根本就不需要什么闯库或是简单密码猜解,骗子或者其他什么有心人只需要把个人信息库和密钥泄露库进行关键字比对,就会得到大量的含有个人信息以及密钥的更具价值的信息,这就代表你的身份会被别人轻易的替代掉!
你要没有一个感性认识,我举一个一例子就是,欧美女星“xxx”其实就是因为女明星的密码设置过于简单被黑客使用猜解的方式破解密码致使云备份的私密照片泄露。而我前面说要比这次破解要更简单,因为这压根就不用猜解,所有信息都是在明面上的.
防线是如何被攻破的?
其实从电信,到银行,支付平台再到手机软/硬件提供商,所有这些手段都有各自风险控制体系,理论上说只要任何一个环节发现问题都可以避免用户支付上的损失,但是非常遗憾,我们所有环节都在用户便利性和安全性的天枰上选择前者,这是CCTV最后结论。其实我认为更直白说法就是除用户之外所有第三方都选择是维护自己的利益,而并没有考虑的用户本身。
激烈的市场竞争中我们所有的机构公司都会最大的满足用户需要,即使这种需要本身是存在安全风险的,但是为争夺用户所有第三方都选择无限度的便利来迎合用户的需要,用户需要的方便快捷的服务没有错,但是有的时候便捷与安全本身就是矛盾的,当无限度的便捷其实就越来越大的安全风险。所以就导致虽然电信,到银行,支付平台再到手机软/硬件提供商都有各自安全防御措施,但是最后所有的防御都归结到用户手机端和用户自己的私钥(密码)只要用户手机被突破也就是导致所有安全措施失效。
另外我们支付安全看似各个层面都有安全保护,但是缺乏合力,一盘散沙!手机硬件厂商,虽然多数使用都是遵循共享协议的公开的操作系统。但是因为自己利益考虑并不会对银行,支付平台,和安全软件厂商开放ROOT权限,虽然封闭的系统环境确实也能一定程度的阻止病毒,但是这种手段对于诈骗或支付安全来说也同时没有任何抵御能力。当然这个问题也不仅仅在手机厂商,在银行,支付平台本身对第三方安全软件厂商就是排斥,而自己又没有能力开发足够安全保护措施,而电信企业因为几年高速发展存在太多有安全风险的服务容易被有心人找漏洞。安全软件这个行业几乎已经被免费形式所拖垮,PC平台放缓更新节奏已经显出疲态,而在手机这个领域没有手机厂商配合安全软件几乎没有用武之地….
所有机构,公司,平台都告知用户安全是他们最优先考虑的因素,但是其实用户本身在安全上是没有多少空间,更没有一个衡量的标准去检验自己安全性到底是什么程度被“保护”。
出路?
因为利益或者其它种种问题电信,到银行,支付平台再到手机软/硬件提供商,第三方安全服务提供商,基本都是各铸壁垒没有任何一方可以打破。这也并非是那个企业那个机构所能解决的,这必须要上升的国家的层面。尤其电信,银联这样的庞杂的机构。只能以国家的意志才能协调不同行业遵循同样的标准。也只有政府才能联合不同机构促使协同安全保护的机制的形成。比如电信的实名话应该不仅仅只是落在口头上和柜台常见的服务中,所有的业务必须都要关联身份认证这个必要步骤。而这个平台应该又能公安部门身份平台联网,否则实名而又无法验证xxx也仅仅就是个摆设。再比如银联层面在面临越来越多互联网服务的同时,应该开放和第三方安全服务提供商合作,而不是仅仅靠各家银行简单的网银控件。又比如面对手机平台和移动支付平台,国家应该制定统一安全标准,而且在手机,和支付平台一定程度都存在垄断性质的服务,都只支持自家的安全软件或APP,而不对第三方开放,这其实也今后发展没有益处。也就是说光有防线是不行的,因为是没有统一协调的防线就是个花架子,只有相互制约相互弥补才能保证我们国家网络化更好发展,也才保证每一个个体网络支付安全便利。
最后写给我们用户自己。
“放弃幻想,积极备战”这句边防官兵写在海岛上话,应该写在每一个用户的心里。不要认为自己信息没有泄露,不要认为自己的千年不变的密码没有人知道,不要认为便利的支付有多高的安全,不要小看小小的手机,最后就是永远不要把安全都寄托在别人的'手里'!
tom2000 最后编辑于 2016-04-27 13:01:46
TOM2000的城堡
任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!
分享到:
短消息
资料
加为好友
全部帖子
性别:
精华:
44
威望:
29029
贡献:
870
金钱:
0.73
状态:
离线
等级:
茶馆小二
大版主
帖子:
87269
注册:
2003-03-11
来自:
rising茶馆
发表于: 2016-04-27 15:19
|
短消息
资料
字号:
小
中
大
2楼
回复:支付安全的思考!
确实是太恐怖了,越来越无孔不入,越来越难以防范。安全软件任重而道远啦!
娱乐区官方群——113762779,加入请注明论坛昵称
O(∩_∩)O点击惊现很多美女,很多贡献,很多滴欢乐O(∩_∩)O
神人到处有,茶馆特别多。谁让我开不成茶馆,我就让ta2012。在我二成一种传奇之后,再也不用羡慕其他人了。
短消息
资料
加为好友
全部帖子
性别:
精华:
10
威望:
93214
贡献:
4057.12
金钱:
8.83
状态:
离线
等级:
麦青儿
管理员
帖子:
17114
注册:
2004-03-26
来自:
发表于: 2016-04-27 16:14
|
短消息
资料
字号:
小
中
大
3楼
回复:支付安全的思考!
想起最近朋友圈疯传的买卖信息,以复制银行卡取款获利
银行取款密码也要常换了,银行的确应该加强和安全厂商的合作
麦青儿 最后编辑于 2016-04-27 16:16:47
短消息
资料
加为好友
全部帖子
性别:
精华:
4
威望:
38407
贡献:
93.91
金钱:
0
状态:
离线
等级:
坐看云落
初生襁褓狮
帖子:
15
注册:
2015-12-26
来自:
发表于: 2016-04-27 21:43
|
短消息
资料
字号:
小
中
大
4楼
回复:支付安全的思考!
有一句话叫防不胜防,本拉灯,不上网,不用手机只用信纸,最后还是。。。。
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
22
贡献:
0
金钱:
0
状态:
离线
等级:
雪山飞鹰78
初生襁褓狮
帖子:
21
注册:
2015-01-27
来自:
发表于: 2016-05-25 21:14
|
短消息
资料
字号:
小
中
大
5楼
回复:支付安全的思考!
永远不要把安全都寄托在别人的'手里'!
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
36
贡献:
0
金钱:
0
状态:
离线
等级:
追梦人456
禁止发言
帖子:
24
注册:
2016-05-24
来自:
发表于: 2016-05-30 09:56
|
短消息
资料
字号:
小
中
大
6楼
回复:支付安全的思考!
该用户帖子内容已被屏蔽
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
48
贡献:
0
金钱:
0
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
1
/ 1 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
连续13年!瑞星安全软件入选央采项目
玩苹果,你需要了解苹果的ABC by baohe
iMac一体机装MAC/WIN10双系统的亲身体验 by baohe
360卫士、新毒霸破坏瑞星杀毒导致升级失败(升级提示XXXXXXX 800006)的解决办法
应对Cryptolocker病毒之类敲诈者的办法 by baohe
应对Cryptolocker病毒之类敲诈者的办法 by baohe
我的主题
我的帖子
我的精华
我的好友
文本模式