51信用卡到底安全吗？这个从普通用户角度除了看厂家的宣传，其实很难理解。

让我们从专业角度分析一下。

两个存在安全隐患的地方，email导入账单与网银导入账单。

邮箱导入账单
用户输入邮箱与密码
   如果APP将邮箱与密码发到后台服务器上，并且保存起来（以便今后后台可以自动抓取账单），
那么安全问题很明显，因为后台实际保存了用户密码，一旦后台被（内部或外部）非法侵入，
用户邮箱密码即告泄露。
    这里有一点需要注意，大多数网站，虽然有用户注册登录系统，但后台并没有保存用户密码，
而仅仅保存了单向加密后的结果（比如md5），简单说可以验证密码但无法获得密码。
因此即便这些网站被黑，也不会发生密码泄露问题。至于早年CSDN直接保存用户密码导致泄露则纯粹属于技术实现问题。

所以从理论上，如果采用这种模式，就存在无法克服的固有安全缺陷。

如果要避免这个问题，则必须修改模式，有如下几种方式：
1.后台不能自主去读取email，每次都必须由app发送密码。
  也就是要么每次用户输入密码，要么将密码保存在前端APP，总之不能保存在后台。
  如果保存在APP上，要保证手机丢失，手机被黑，邮箱密码依然不泄露，
邮箱密码保存因为只能用双向加密（必须还原成明文提交到后台），
所以双向加密的密钥就必须至少部分由用户掌握而非保存在手机里，
那么每次用户必须输入一个APP自身密码，或者是一个手势图形密码。

理论上，APP保证每次进入都获得仅仅用户所知的一个密钥，
通过这个密钥即可自动解开加密保存的邮箱密码，然后通过安全通道发送给51信用卡后台，
51信用卡后台使用这个密码去对应邮箱服务商获取email账单，使用后即丢弃。
这样安全有保证了，唯一损失的就是无法自动抓取账单了，用户必须至少定期登录一下APP。

2.email获取完全不通过后台
  直接在APP去获取email，获得后可以将email发送给后台解析。
这种模式的好处是，51信用卡完全不会触碰到用户的邮箱密码了。
当然同样，APP也需要用户登录才可能自动解开保存的邮箱密码，然后去自动抓取email。

3.改进模式
不需要用户输入APP密码或手势。

手机APP首先获得一个随机的key1，保存在本地，并与邮箱口令明文一起发送给后台，
后台再随机生成一个key2，使用key1+key2来对称加密邮箱口令，保存后台。
这样，今后要且只要手机APP将key1发送给后台，后台就可以解出邮箱密码明文。

注意：这里key1无需加密即可保存在手机上。

黑客要同时拿到手机端的key1与后台的key2，才可以解开邮箱密码。
相比原来，51信用卡内贼实际是无法防范的，现在内贼必须先设法获得用户手机上的key1。
而黑客攻破用户手机后，也必须再攻破51信用卡后台。

当然理论上安全性，还是不如依赖只有用户知道的密码，因为至少在理论上，
只要用户APP密码足够复杂，经过对称加密的邮箱密码是无法破解的，即便把用户手机与51信用卡的服务器送给黑客。

但是实际环境中，这个用户设置的APP密码强度本身能有多高呢？
因为每次要用户输入一遍，显然大多数人不会设置很复杂了。

所以也许这种模式相对更简便安全一些。
key1和key2还可以定期不定期的更换，进一步加强安全性。

4.将银行账单email，改成或转发到51信用提供的邮箱
 银行将账单直接发给51信用卡后台，完全不存在用户告知其他邮箱密码的风险了。
其实这本是51信用卡这类应用的正途，但是显然因为大众要便捷性（其实是对安全的无知），
加上前期技术难度，这种最安全的模式并没有创业者选择。

无法知道51信用卡的实现细节，也许还有类似csdn那样直接密码保存明文呢？
作为对普通用户的忠告，你非要用，最好选这种方式。

记住一点：那里的密码只能告诉那里，其他地方绝对不要输入。

51信用卡使用网银密码的安全问题

http://blog.csdn.net/qq_16414307/article/details/48493003

51信用卡到底安全吗？相关推荐

1. 51信用卡通过网银来获得账单的安全问题

    关于51信用卡使用email获取账单,请见 51信用卡到底安全吗? 51信用卡现在还有直接通过网银来获得账单了. 这种模式明显风险更高,因为大部分人邮箱并没有太多重要内容,但是涉及网银,问题就不 ...

2. 51信用卡孙海涛：信用卡账单背后的大数据 | 万物互联创新大会

   11月13日,以"大数据与智能时代"为主题的第二届万物互联创新大会在杭州召开.当日下午,连续创业者."51信用卡管家"的创始人兼CEO孙海涛为大会带来了题为&l ...

3. 51信用卡在微服务架构下的监控平台架构实践

   一.背景介绍 51信用卡的技术架构是基于Spring Cloud所打造的微服务体系,随着业务的飞速发展,不断增多的微服务以及指标给监控平台带来了极大的挑战.监控团队在开源vs自研,灵活vs稳定等问题上 ...

4. 51信用卡微服务集成测试自动化探索

   1 简介 51信用卡管家自2015年开始实施微服务架构,是业界较早尝试微服务架构的技术团队,整个团队有幸见证了微服务从最初的个服务试点到全面铺开的过程.架构的演变也催生了自动化测试框架和策略的演变,测 ...

5. 大数据征信｜芝麻信用、腾讯信用和51信用卡等信用评分模型解析

   http://www.sohu.com/a/82958296_355147 传统个人征信的分析维度包括: 1 )个人基本数据,如年龄.性别.职业.收入.婚姻状况.工作年限. 工作状况等: 2) 信贷情 ...

6. 支付宝支付成功之后的接口_继支付宝微信之后，51信用卡还款也开始收费了，手续费再创新高...

   51信用卡突然向广大信用卡用户发出公告,表示其将对储蓄卡还款业务规则进行"改良",取消了储蓄卡快捷还款的免费额度. 当新规则正式实施后,用卡者通过储蓄卡还款就必须向51支付额外的费 ...

7. 51信用卡管家app产品需求文档

   文章通过使用.体验.研究等方式倒推51信用卡管家APP,通过使用axure撰写PRD文档.51信用卡业务很多,文章只撰写部分核心功能点.另外,51信用卡通过和第三方合作,开展了账单导入.办信用卡.借款 ...

8. 51信用卡不止于想象力？

   51信用卡创始人兼CEO孙海涛在上市致辞中说,"我们拿到的股票代码是2051,希望我能为这家公司打拼到2051,那年我71岁." 文 | CM 编辑 | 秦卓 对工具类应用商业变现 ...

9. 从51信用卡到OAuth2协议

    一个网站不能触碰其他网站的密码,应该说是一种常识,更不要说去保存对方的密码了. 在1999年我就曾与当时中网新空气论坛进行了用户漫游.当时还没有OAuth协议跟不要说OAuth2了. A网站用户 ...

最新文章

1. oracle timestamp约束,java.lang.ClassCastException：oracle.sql.TIMESTAMP不能转换为java.sql.Timestamp...
2. 【Network Security！】服务器远程管理
3. db2查看表结构_mysql误删数据库表的frm文件和ibd文件？试试这样恢复
4. Failure while trying to resolve exception [org.springframework.http.converter.HttpMessageNotWritabl
5. oracle 三列数值相加,Oracle SQL/PLSQL:按货币拆分和求和值的分层查询
6. DLL 远程线程注入
7. 给 python 初学者的四条忠告_给 python 初学者的四条忠告-Go语言中文社区
8. 1775. [国家集训队2010]小Z的袜子
9. redis映射的概念_Redis存储总是心里没底？你大概漏了这些数据结构原理
10. OSPF(Open Shortest Path First)开放式最短路径优先协议05
11. python后端设计_Python后端设计模式
12. MATLAB | 老版本也能用,默认设置让简单的代码画出炫酷的图像
13. 用excel数据批量填充word表格
14. 计算机为什么不能装win7,详解win10为什么装不回win7系统
15. react 实现图片的滚动缩放和按住鼠标左键移动图片效果
16. 苹果每部iPhone4S可赚3917元 开售首日收入39亿元
17. 使用RPA有什么好处
18. 【大数据算法】:apriori算法详解，非常清晰
19. 二进制bit0是什么意思_阜平吧在讨论5G的问题，感觉挺有意思，科普下……
20. Creating a Font for Apps and Games with Glyphs 如何使用Glyphs为应用和游戏创建字体 Lynda课程中文字幕

热门文章

1. metabase table 类型entity_type 识别
2. Arista思科网络专利案，Arista又赢一回合
3. 复杂度分析（大O表示法）
4. matlab非线性优化求解,用MATLAB求解非线性优化问题
5. 新造车热闹时，传统车企们却正在加码另一个新故事
6. *继承IObjectSafety接口，实现vb activeX控件安全性（IE不提示安全问题）
7. ZT213LEEA.PDF_CSDN下载
8. 金海佳学C++primer 练习9.18/9.19
9. 一个简单的音乐网站设计与实现(HTML+CSS)---爵士乐音乐 3页
10. 为什么西游记中要给孙悟空戴上紧箍儿？