专家解答：微信支付宝二维码，到底有多大的安全纰漏？

网络时代，黑客无所不在，金融诈骗令人不寒而栗。

黑客无所不在

---

收款码也好，付款码也好，自他们出现以来，安全问题一直闹得沸沸扬扬，也让每一个用户担惊受怕。

今天，我就以密码学的知识，对安全性逐一考察。

说明：本文中的所有二维码及条码，均经过虚化处理，都是无效的，只是为了说明问题而已。

收款二维码的安全性

下面以某个支付宝帐户的5、10、15、20元收款二维码，经过识别后，得到的文字内容：

HTTPS://QR.ALIPAY.COM/FKX09284LMI8UW28NNATFE（5元收款码）

HTTPS://QR.ALIPAY.COM/FKX00782MEANJJPYBVBS50（10元收款码）

HTTPS://QR.ALIPAY.COM/FKX07638RVM17J5XWNFS38（15元收款码）

HTTPS://QR.ALIPAY.COM/FKX07449Q4TEIEWP8C4BE9（20元收款码）

---

技术分析：

HTTPS表示采用加密的通道与阿里后台服务器进行通信，通信过程采用服务器端证书的方式，证书的长度为1024 RSA证书（达到国家要求的商用密码安全级别，但不论国外、国内，都普通要求将证书长度升级为2048，以大幅提升安全性）。它用到了对称加密、非对称加密、摘要、密钥协商、数据签名等多类算法，更多细节，你可以参考我前几天头条中的文章：《你不得不了解的与密码相关的5种算法》。

QR.ALIPAY.COM，是指阿里服务器。FKX是支付宝的收款码的标识。而后续内容，是支付宝帐号、收款金额、手机序列号等信息经加密和编码后得到的结果：

09284LMI8UW28NNATFE

00782MEANJJPYBVBS50

07638RVM17J5XWNFS38

07449Q4TEIEWP8C4BE9

---

wxp://f2f19kQC6g-8BCPso6i4EO0mXfuw2qOqVweR（5元收款码）

wxp://f2f16UHhmXupfh5qpvoliSbam88fZZfaGy98（10元收款码）

wxp://f2f1DODfY2P-RjJnoWPjRaMqKsAU3ciAYwj9（15元收款码）

wxp://f2f1WgE0fCj4uX8P6Vr8QbChKk1HNH7gkRYE（20元收款码）

9kQC6g-8BCPso6i4EO0mXfuw2qOqVweR

6UHhmXupfh5qpvoliSbam88fZZfaGy98

DODfY2P-RjJnoWPjRaMqKsAU3ciAYwj9

WgE0fCj4uX8P6Vr8QbChKk1HNH7gkRYE

---

wxp:是微信的私有协议，其实也是HTTPS加密通信，后台是微信的认证服务器，如api.weixin.qq.com，其加密过程，与上面说的支付宝类似。而后续内容，比如，9kQC6g-8BCPso6i4EO0mXfuw2qOqVweR，是微信号、收款金额、手机序列号等信息经加密和编码后得到的结果。

关于收款二维码安全的结论：

微信支付宝的收款码，因为只能允许资金进入的动作，不可能发生资金流出的行为，因此，可以认为是绝对安全的。可以广而告之，让全世界的人都知道都没有关系。试想，谁会乐意向一个无关的人员打钱呢。4月1日起，静态二维码收款将限定每天的付款额度为500元。这完全是一个伪命题，是依靠行政命令打压支付领域技术进步的一个典型表现，缺乏科学性。

---

关于付款码：

以支付宝付款码为例，说说付款码：

当我们掏出手机，向商家出示付款码时，从下面二图中可以看到，它其实是由两部分组成，即上面的条码、下面的二维码。

识别二维码，得到的数字：284699925424660688

这串与付款有关的数字，安全性是有时效性的，即对每一笔交易，生成付款码时，都与时间相关，一次一变。后续的与服务器之间进行通信的过程，也与收款码一样，是加密传输的。为什么必须保证一次一变呢？这一点很好理解：如果不一次一变，一个商家拿出一个扫描枪，反复扫你的同一个付款码，你将为同一件商品多次付款。你一定不希望任何一个人，在未得到你的充分授权的情况下，动用你帐户上的资金。付款码的安全性更为重要。

---

关于付款二维码安全的结论：

微信、支付宝的付款码，其安全性主要是依靠HTTPS实现加密的通信。因此，是有保障的。

微信支付宝的付款码，其安全性也是极有保证的，但必须保证支付过程中，不能被第三方介入，并对自己的支付金额进行确认。

---

合二为一的微信支付宝收款二维码，安全性如何？

现在微信、支付宝二合一的收款二维码越来越普及了，大大方便了用户。因为使用二合一的收款码，要用到一个中间服务器，有人可能担心：中间服务器会不会窜改你的收款码？其实大可不必担惊受怕，既使窜改了你的收款码，发送到后台服务器，也是无法通过认证和授权的。

---

对用户的安全性建议：

一定要进行确认。建议使用密码，不建议使用指纹。原因有二：你的指纹可能会被手机厂商、APP厂商收集，比如iphone手机会将你的指纹发送到苹果公司总部，保守估计，全球有15亿人的指纹被收集；一旦你的指纹被用于非法目的，你不可能更改。【来源：北京时间】

更多资讯详见：360社区早报（2018-3-26）