当面输不怕盗?位置+算法造就支付密码安全的新科技


2016-4-11 16:13来源:移动支付网    作者:徐江锋

  最近,在金融支付领域中,一项新技术横空出世了,可以防盗的密码技术,既可以防止钓鱼网站诈骗,也可防止木马截获密码,还可以防止熟人或摄像头偷窥,实现了当面输密码。这项技术的发明,将彻底颠覆原来的所有密码验证方法,能够应用于所有密码验证领域。

  密码安全现状:网络盗窃有6种手段

  手机钱包的便捷性,导致移动支付的需求剧增,因此,密码安全成为移动支付最大的痛点。由于互联网的开放、普及,不受时空限制的特点,使得它成为盗窃者的乐园(详情可观看2016年4月10日央视新闻:触目惊心 揭秘银行卡盗刷黑色产业链)。尤其是木马病毒截和钓鱼网站能够轻松盗取帐号和密码,而已有的动态密码、验证码、变动数字键等方法在木马面前都基本失效了。归纳一下,网络盗窃主要有6种情况:

  1、暴力穷举试密码

  利用软件一个一个地试密码,是最基本的密码破解技术,也叫暴力穷举。知道用户的账号,如邮箱号、QQ号、网银账号等,很快就破解出来。由于银行支付系统安全性较高,一般试3次就没有办法了,但其它帐户,就非常容易攻破。如果试出来的密码再去试银行帐户,成功率是相当高的,所以银行和其它帐号千万不能共一个密码,这相当危险。

  2、木马病毒盗取帐号密码

  盗窃者通过链接或伪装成二维码,将木马病毒植入用户的手机等,将用户屏幕信息截取,并记录用户的击键操作,然后把信息传给盗窃者,这样帐号和密码就赤裸裸地暴露了。这种方法只要植入木马就可以了,不受空间限制,再加上木马病毒可以轻松制作,导致利用木马盗窃成为网络盗窃最主要的渠道。用户要有防范意识,不要轻易点击不明链接或二维码,以免中招。由于屏幕和击键信息都暴露了,所以图片录入、验证码、变动数字键等方法来规避风险基本是无效的。

  3、钓鱼网站诈骗

  网络攻击手利用伪造的网页欺骗用户,盗窃者一般蹲守在电脑旁,就像钓鱼一样等待用户登陆,如果受骗者输入自己的帐号、密码等,盗窃者就利用用户的信息快速进入该官网中,盗取他人的财产,等受骗者发现报案,盗窃者已经下线逃走。因此各位在输入隐私信息时一定要多一个心眼,把网址看清了,如果输入帐号密码信息后发现没有任何反应或是一个无效网址,很可能已经上当受骗了。

  4、 利用修改密码功能的漏洞

  微信、支付宝没有线下门店,修改密码不方便,只好增加一个密码找回功能,这样做是有重大漏洞的,只要能控制手机的接收,利用木马或者复制电信卡就能获取验证码,这样做可以轻易更改原用户的密码,因此电子钱包已经成为重灾区,盗窃越来越频繁,难怪央行要把电子钱包限制在小额范围。因此必须取消密码找回功能,做好安全防范,这才是大企业应有的责任感。

  5、电信诈骗

  通过电话、微信、短信等与受骗者联系沟通,诱导受骗者汇款。此类案件专门针对防范意识不强的人,利用贪便宜心理或亲朋急需汇款等事由,骗取汇款。为了提高诈骗的成功率,事先通过网络等渠道了解受骗者的亲朋信息,虽然也利用了网络,但这种方式,更多地是通过电信等通讯工具,诱导受骗,这一类的的特征主体为“骗”,所以把它归于电信诈骗更加合适。如果亲朋好友要求汇款时,一定要用电话确认,用微信来确认身份,被骗只能怪自己了。

  6、复制银行卡

  银行卡在自己手上,却收到了异地取款或大额消费的短信。这是用户在使用银行卡时,被盗窃者窃得帐号密码,并复制银行卡,实施盗刷。自助银行加装了盗码器;改装POS机;安装摄像机,这些只有在线下才能完成,仅凭网络是无法完成的。磁条卡容易复制,相对而言芯片卡就安全多了,但也有芯片卡被复制的案例。此类案件,金额一般都很大,如何防范呢?只有靠自己!流动摊点的POS机,基本都改装了,也不要在门店、超市使用POS机,因为你无法保证超市里的POS机没有被改装过,哈尔滨一超市工作人员用改装的POS机盗取多位用户的帐号密码已经上了央视新闻。

  没有密码,盗窃者就无计可施,如何能够防止密码被盗,是所有支付安全同行最大的期盼。众多的方法中,唯有银行的电子口令牌对木马病毒有确定性的防范作用,但是由于硬件携带不方便,使用率并不高,人们迫切希望有一种新技术产生。于是防盗密码专利技术问世了,专利申请号为:201511004484.8,申请人:徐江锋,在国家知识产权官网上可以查到。此技术既可以防止钓鱼网站和木马病毒截获密码,还可以防止熟人或摄像头偷窥。这项技术的发明,将彻底颠覆所有密码验证方法,颠覆银行支付方式。

  防盗密码详解:确保安全同时快捷

  防盗密码技术的实质是一种新型的随机动态密码,不必携带电子口令硬件,它综合了原有密码、电子口令和验证码三方面的优点,具有防木马防偷窥的作用,安全性有了很大提高。登录密码界面时,系统随机产生一组数字,如下图:

  数字区是由系统随机产生的,这样盗窃者就无法知道用户的真实密码了,只能看到的用户这种算法的结果,而无法推导出密码的位置和算法。而密码的请求是一次性的,下一次又要随机产生,因此针对木马病毒等监听方法,它绝对是安全可靠的。

  1、技术上是如何实现防盗的

  主要设置方法:

  1、固定位置: M1M2=A1,B1(最实用,已经能够防木马)

  2、简单算法:M1M2=A1*B1(加减乘都可以,减法时取正数)

  3、稍复杂算法:M1M2=A1*B1+1(混合运算时安全性更高)

  4、固定数字:M1M2=8,2(这种方法可以和原密码兼容)

  设置的方式有很多种,算法是千变万化的,旁人是无法推导用户的算法,即使多次截取界面信息也无法破解,因为算法会有几十万种,比如用户设置M1M2=A1+B1+C1+D1,结果是20,根据看到的结果你如何破解算法?再加上我们输入密码时用“****”代替数字,安全性能就更高了,明白这一原理的用户都可以放心大胆地当面输密码了。

  2、实用性高不高?操作快捷吗?容易记忆吗?

  算法虽然会增加思考的时间,但4位防盗密码的耗时和原6位密码基本相当,多频的年轻人可能还会略快,一般用时在2秒左右,如果是6位的话,会在3秒左右,所以快捷性不存在问题。界面采用每行3个小组可帮助用户快速定位,还采用了9色区别来帮助记忆力弱的用户,用户只要记住自己设置的位置和颜色就可以了,所以记忆也不是问题。如果还有其它的痛点也能够通过技术来解决问题。

  3、如何让网络盗窃者失去偷盗价值

  采用三级验证模式,即免密级、快捷级、保险级。在免密和安全底线之间,增加一个快捷级,额度不大但使用频繁,要求快捷还能防盗,这样4位的防盗密码就再合适不过了。如某用户设定:①日支付50元以下免密 ②日支付50—3000元间使用防盗密码,资金限额,盗窃价值不大,所以风险较低。③日支付超过3000元时,采用“防盗密码+原6位密码”方式,安全级别很高。这样原6位密码的使用次数大大减少,降低了泄漏的风险,相当于给密码增加了一个“保险柜”。安全设置充分人性化,一定能取得用户的信任。用户能够个性化的定制,安全就掌握在自己手上,想想看那多么的幸福啊!

  4、如何改变原有支付习惯?如何与原密码共存?

  作为新技术,最大的阻力来自支付习惯的改变,如果使用防盗密码,那原密码怎么处理,用户不愿意改变习惯怎么办?有两种方法,①、可以让防盗密码直接替换原有密码,原数字密码则成为算法中的固定数字密码,用户愿意改变,就自己设定为算法密码。②直接改成3级验证就可以了。用户如果不设置免密级和快捷级,那就默认为所有额度均用原密码方式验证。用户如果顾忌到自己的帐户资金安全,再加上银行等宣传,一定会改变观念的,设置安全的密码方法的。

  在互联网领域,木马病毒把我们的信息赤裸裸地暴露了,各种骗术五花八门,盗窃案件多如牛毛,移动支付风险极高,但现金电子化的推广又是发展的必然方向。所以只有改变,只有创新才能引发改变。只要愿意改变,打破旧习惯的束缚,防盗密码的新技术就能很快推广开来,移动端支付的推广也会越来越容易。最终防盗密码成为所有领域的终极验证方式。希望此技术能为广大用户做出应有的贡献。

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606