手机第三方支付产品安全性

前一阵《焦点访谈》播放关于手机第三方支付的问题，当时没有注意。

今天特意使用了一下手机的上的几个第三方的app，忽然感触良多啊。

目前手机上的第三方支付软件常用的主要有3个，支付宝、微信、易信（主要是本人手机上常用的这三个啊），下面就浅谈一下这几个安全性的问题。

首先拿本人自身说例吧，本人应该属于安全意识相对薄弱的，相信30%的人群应该和本人差不多的。

        本人特征如下：

                1.手机不设置密码（如4数密码和手势密码），感觉没有啥隐私可防的。

                2.手机、钱包（钱包中常年放置身份证）基本都是放到一起的。

下面，就拿本人可能遇到的一个绝非小概率事件的例子来说明。

如果本人的手机、钱包（钱包中装有身份证）丢了或者被偷了怎么办。鉴于丢了和被偷都有可能造成本人财产损失的情况，那就以被偷的情况论处，假设小偷拿到了本人的这3样东西（手机、钱包、身份证），那么会发生什么。

第一种：对于支付宝钱包App

       首先小偷要过的第一关是：手势破解，这个比较鸡肋，这个屏障不好突破。ok，假设小偷费了九牛二虎之力突破了。

       第二关：支付宝密码，小偷要拿到你支付宝或者银行卡的前的话，唯一要突破的，就是你的支付宝密码（没有密码，他只能看，不能转入和转出）。

好了，问题来了，阿里在“支付宝密码”这一块，曝露出了其真正的野心。阿里对支付宝密码的保护，使用了一个终极杀手锏，那就是实名认证。首先，可以排除的是小偷破解支付宝密码的可能，这个世界上应该没有几个人能做到。那么，唯一的途径就是修改支付包密码，那么问题来了，如果你经过了实名认证（上传了你本人的照片），那么要修改密码，就相当于你本人拿着你的证件到马云开的支付宝公司去修改密码，就像你要修改你的银行卡密码一样，得亲自到银行修改，只不过支付宝还是让这个过程在网上实现了，至于前后本人原始照片和现在的照片比对，是靠人工还是靠技术算法来实现，已经无关紧要了。至少，这种解决方案从理论上保证了支付宝密码只能被你本人修改。同时，可以看到，支付宝做到实名认证这一步，和银行已经没有本质区别了。

       所以，对于支付宝App，如果你做了实名认证，恭喜你，你成功了，但是如果你还没有做实名认证，那么，小心密码被熟人修改哦！！！

第二种：微信支付

      微信的火爆程度和支付宝的火爆程度基本差不多，可是或许由于社交网络的隐私问题，微信6.0到目前位置（2014年10月24日），还是没有进行实名认证。这就意味着，微信支付密码被修改的可能性极大。

      微信5.4版本，由于没有提供支付手势功能，在正常情况下，我们一般解锁手机，登录微信时，大家应该很少输入微信的帐号和密码，这样的话，我们很容易登录到微信中，进入到“微信钱包”功能，在5.4的版本中，我们很容易发现，支付功能没有提供手势加锁，但是我们要使用支付的时候，需要手机主人的支付密码（ok，还是那句话，密码破解，想都不要想），这个时候，我们想着可是尝试去修改密码，ok，试一试之后，你会神奇的发现，你尽然成功了。怎么弄，先解除绑定->然后利用你手中的3样利器（手机、身份证、银行卡）重新绑定，设置新密码，ok，密码设置成功了，那边，你就发现，小偷这个时候就可以为所欲为了。

不过，大腾讯还是有两把刷子的，很快推出了微信6.0版本，如果你设置了微信6.0版本中的”支付提供的手势加密“，那么，你微信钱包的钱基本可以高枕无忧了。要修改你的支付密码，都要突破你的加密手势或支付密码，相对还是有难度的。

       但是，感觉从原理上将，没有进行实名认证，还是很难做到只有你本人知道你的微信支付密码，只有你本人才能修改你的微信支付密码。

微信，为了方便大家使用，免去了每次登录都要输入帐号密码的屏障，同时为我们后面的安全支付带来了一种风险，所以，大家还是一定要注意啊。

       最后，想说的是，微信，一定要升级到6.0，设置支付-手势密码！！！财付通的实名认证也试试。

第三种：易信支付

       可能是由于易信是一个合资产品，网易在这一块投入的人力还是有限。感觉到目前为止（2014年10月24日凌晨4点），本人的米3手机上安装的易信一定的风险。

       刚开始，本人没有开启”隐私保护“功能，就是4字密码加密。那样，如果我的3样（手机、身份证、银行卡）同时落到小偷手上，那么，我一定会发生钱财丢失。小偷会很轻易的进入到我的银行卡支付——解除银行卡绑定——忘记密码——重新绑定（绑定信息基本都具备了）——设置密码，那样，我的钱财就轻易的丢失了。

       但是如果设置了”隐私保护“功能，那么，小偷一时半会突破不了”4字密码“，那么就进入不了易信，也就进入不了银行卡支付这一块。

       易信目前使用的是金融产品是网易宝，网易宝是有实名认证的，网易宝的实名没有试过，但是应该和支付宝实名认证一个道理。

       但是，这个易信App，做的实在是太烂，安全性和微信、支付宝钱包相比还是太差，尤其是那个”忘记密码“功能，做的实在是太烂。还是有待改进啊

       不过易信有个最大的好处，就是打电话免费啊，即使对方手机上没有安装易信，没有开启wifi或数据流量，也是可以打免费电话的，这个功能牛。算是给老东家打个广告啊。

        最后，像说的是，易信，一定要设置”隐私保护“，4字密码啊！！！，同时网易宝的实名认证也试试。

        ok，就说这么多吧。感觉电子支付这里面的门道，还是挺多的哈，大家看到了一定要注意啊！

        对了，现在的android机（4.4）版本之下的，还是最好给手机设置密码锁啊，不要像我，手机丢了，就麻烦大了，说不定艳照都给暴露了啊。哈哈。不过Android L版不存在安全性问题，不知道是啥意思哈哈。