支付宝手势密码安全吗?
看微博一条新闻:IOS版支付宝手势密码爆漏洞,然后一堆人利用这个漏洞炒作,攻击支付宝!本着为消费者考虑的角度,本文分析一下这个问题。
这个漏洞应该是逻辑上被绕过了,需要业务逻辑设计者用理论体系去遍历。
下面我们对这个漏洞带来的风险进行分析。这个漏洞的前提是:丢了手机!忘了设置手机锁!忘了打电话挂失的用户!
同时支付宝除了登陆认证口令外,还在支付时需要输入支付密码进行认证,因此有多重保护机制。也就是说即使手势密码被绕过,支付时还需要输入口令。
支付宝为了更好的实现用户体验,还在小额支付时,可以让用户如下设置:
由于本人经济条件有限,买不起iphone手机,暂时用android百元机演示。
大家第一次使用支付宝时,登陆完毕后会提示用户设置一个手势密码!
我们说这个手势是干嘛的?其实就是增强用户体验,我们平时一般输入一次密码,然后以后记住就可以了。如:
每次让你输入密码,是安全了,但大家伙不乐意啊,尤其手机那点屏幕,输入点东西容易吗?
然如果支付宝客户端也搞成这样,直接自动登录,大家伙肯定又对安全产生了疑问。
那么如何在安全和用户体验上搞个最佳平衡,根据我的理解,那就是支付宝的手势。这样就可以让你无需输入口令,同时可以较长时间维持会话时间。
因为这个手势密码输入比较简单,这样就可以很短时间弹出手势密码,如果丢了手机或者各种场景,很快就会锁住应用,防止钱丢丢。
用户如果感觉这样心理上还不安全,那就每次交易完毕直接:
这儿建议支付宝安全团队把这个安全退出可以放在更醒目的位置。
安全退出后,下一次登陆还需要输入口令的:
支付宝的安全设计其实体现了安全的哲理,安全的重任需要业务商、系统安全厂商、用户等多方面承担。如果支付宝为了绝对的安全让大家手机上挂一个U盾,我估计大家又说很难用!
如果像我胆小,每次就都安全退出。另外用户也应该设置设备锁,这样丢了手机以后就又增加了一层保护。手机里面承载了太多太多我们大家的敏感信息,大家还是设置一下手机锁吧!
但很多人不愿意设置,如果手机比喻成房子的话,就好比你房子不关门,而把柜子加了一把锁!您说肿么办?
那么这个安全退出的价值何在?手势密码是本地保存的,如果root了,可能存在一些风险。但话说过来,root以后,各类应用的风险都很大!
给支付宝的建议:手势密码以及认证信息的存储是很重要的,建议妥善保管。这设计到支付宝自身安全机制的设计了。本文不深入探讨:
只针对这个话题提到的本地安全保存提几点建议:
1) 无需存储的就不要存储,比如log;
2) Never use public storage areas(ie,SD card);将个人数据和系统数据存储在SD卡
3) Leverage secure containers and platformprovided file encryption APIs;
4) Do not grant files worldreadable or world writeable permissions
5) Consider restricting access tosensitive data based on contextual information such as location
6) Don't store code libraries thatare world writable or on external storage
7) Don't store paths to codelibraries in files that are world writable or on external storage
8) Don't process data fromwritable files in native code - memory corruption vulnerabilities could allowapps to run arbitrary code with your app's ID
9) Caching data not intended forlong-term storage
10) Weak or global permissions
11) Encoding != encryption
12)Obfuscation != encryption
详情参考老王的Android security book:
支付宝手势密码安全吗?相关推荐
- android 支付宝手势密码锁,Android实现支付宝手势密码功能
今天就给大家分享android实现支付宝手势密码,很常见,像现在用微信支付,支付宝支付的时候都要自己设置的4位PIN码,然后输入PIN码后立即调用支付接口去支付,毫无疑问的安全问题,不会觉得手机被人拿 ...
- Android例子源码仿支付宝手势密码的功能实现
本项目是一个仿支付宝手势密码部分的源码,项目在1280×720分辨率上显示有问题,在 854x480上没有问题,项目编码UTF-8默认编译版本4.4.2,实现思路: 1.要用一个类来表示这9个点中的第 ...
- Android一步一步剖析+实现仿支付宝手势密码自定义View
最近项目需求:要求在项目中添加手势密码和指纹验证,恰巧最近在苦练自定义View,于是参考了网上轮子和自己的理解,实现了如下的效果. 国际惯例:Without pic you say a JB(奖杯). ...
- android 手势密码逻辑,[Android开发实战]Android手势密码(支付宝手势密码)实现(支持2.x)...
原创文章,转载请注明出处:http://blog.csdn.net/ruils/article/details/17081207 在很多安全性比较高的应用程序中,每次打开程序,都会有让用户输入密码,这 ...
- android手势第一次设置密码_[Android开发实战]Android手势密码(支付宝手势密码)实现(支持2.x) | 学步园...
在很多安全性比较高的应用程序中,每次打开程序,都会有让用户输入密码,这些安全性比较高的程序,密码也会相对复杂,在手机上输入起来,就会不大方便,至少要切换一次输入法,对用户体验造成不好的影响,在移动互联 ...
- 支付宝钱包手势密码破解实战(root过的手机可直接绕过手势密码)
/* 本文章由 莫灰灰 编写,转载请注明出处. 作者:莫灰灰 邮箱: minzhenfei@163.com */ 背景 随着移动互联网的普及以及手机屏幕越做越大等特点,在移动设备上购物.消费已是 ...
- Vue2 手势解锁密码 / 支付宝手势解锁
Vue2 手势解锁密码 / 支付宝手势解锁 项目名称: vue-Lock Github地址:https://github.com/guntertien/vue-lock
- 为安卓应用添加手势密码功能,遇到的一些问题以及解决方法
公司的APP有个需求为他添加类似于支付宝的手势密码验证功能效果图如下 首先我们要分析三个问题: 1.手势密码的作用是什么? 2.在什么时候启动? 3.启动之后干什么? 1.手势密码的作用是什么? 这里 ...
- iOS-高仿支付宝手势解锁(九宫格)
概述 高仿支付宝手势解锁, 通过手势枚举去实现手势密码相对应操作. 详细 代码下载:http://www.demodashi.com/demo/10706.html 基上篇[TouchID 指纹解锁] ...
最新文章
- EIGRP的等价负载均衡
- JZOJ__Day 8:【普及模拟】马农
- Codeforces Round #547 (Div. 3)
- sqlserver安装目录_Jira试用报告(安装及数据迁移篇)
- [CQOI2018]异或序列
- 实现threadlocal_ThreadLocal如何实现?
- (转)Win7下如何硬盘安装Ubuntu
- 一个程序猿必须掌握的HTML的常识
- Pytorch:Tensor和Numpy
- mysql 导入导出 备份_MySQL - 数据备份与还原(导出导入)
- win10进入pe模式系统的操作方法
- 【Android】我用 ARCore 做了一个 1:1 的高达
- 3dmax联机分布式渲染方法技巧详解
- OJ刷题---找到k个最小数
- ElementUI上传文件和额外参数
- 一篇“从入门到上手”的Solidworks机械设计教程
- wordpress install.php 500,安装WordPress出现500错误的解决办法 | Wopus
- 2018拼多多校招笔试贪心编程题小熊吃糖详解
- 计算机编程 计算存款利息,第8周项目5-定期存款利息计算器
- 上个周末走访福州市2家软件公司,感受颇多,把经验分享给大家
热门文章
- CSS项目基础实战:实现小米官网+详细步骤分析+出错问题总结
- 关于HTML中下拉框的一些属性
- html里loop标签,html5 embed标签的loop属性是怎么用的?embed标签的属性总结!
- 江西省计算机学业水平考试试题,江西省高中信息技术学业水平考试(样题)
- 几句话解释配置./configure --prefix的作用
- 控制账户、工作包和WBS字典
- 虽然计划赶不上变化 我还是想订个计划 不想糊糊涂涂的过日子.
- 人民币符号的使用注意
- 计算机职称分类汇总,职称计算机考试:数据分类汇总,一键轻松搞定
- python关系运算符有哪些_Python漫谈-关系(比较)运算符 - Silvia@Thu