@我没K,用支付宝啊,风控系统比企鹅好多了。
@老虎会游泳,支付宝的可穿戴设备控件离线支付(手环/手表)码支付想刷就刷,它的风险控制确实不咋滴 華為P30(PRO版)(金色)
@老虎會游泳,难道你用手环支付还要输密码而且免密被盗刷支付宝可以先行赔付。微信的话,你得想办法打通人工客服,这可不容易。
@老虎会游泳,手机支付也不用输密码啊,直接刷脸或验证指纹就好了,我是说手环手表的支付码是固定的,要是被人复制了…… 華為P30(PRO版)(金色)
@老虎會游泳,要是被人复制了,可以先行赔付 而且手环上的支付码是通过密钥根据时间动态生成的(参考网游的安全令),只是在一段时间内保持固定,并且没有办法直接通过看码反推出密钥,所以即使被复制也只能立即盗刷,否则就过期了。
@老虎会游泳,那就奇怪了,我怎么看手环上的码一直是那个码啊 華為P30(PRO版)(金色)
@老虎會游泳,我建议你用手机每隔一小时拍个照。如果真的是一样的,你就可以去盗刷了
@老虎会游泳,因为手环本身不能联网,而手机也与手环断开了连接(蓝牙未打开和没有打开支付宝),所以,一直是那个码,我也一直用那个码去超市支付 華為P30(PRO版)(金色)
@老虎會游泳,不联网的设备也可以更新码字。你真的没用过安全令设备吗?网游或者网上银行都可以有,就是有个屏幕显示数字,每隔一段时间更新。就算没有用过,手机安全令总是见过吧,上面的数字也是不需要联网就能更新的。或者,你关闭网络,然后打开微信支付的付款码,点击“显示付款码数字”,然后盯着它看几分钟,就能看到付款码刷新。
更新的原理很简单,就是hash(密钥+时间)。对于app,密钥是联网时置入的。对于硬件,密钥是出厂置入的。而时间是由设备内部的时钟维持的。所以不需要与外界有任何通信就可以自行产生新密码。然后就是,服务器端也会有同样的程序用于根据密钥和时间生成密码(在你绑定安全令或者手环的时候,服务器就知道你的密钥了)。两者一对,就能知道你是不是真的安全令/手环持有者。
hash(密钥+时间)
但是,持有者光看当前的码字是无法知道密钥的,因为通常使用的hash函数都是密码学安全的(比如sha256),没有办法从结果反推输入。对于安全令,即使知道序列号等信息也不一定能得到密钥。因为序列号可能只是厂商密钥数据库中的id,不是密钥本身。最后就是,即使知道了密钥,但是如果不知道具体的hash函数,也无法生成码字(比如,码字可以通过md5(密钥+时间*2)生成,也可以通过sha1(密钥/2+log(时间))生成,等等),要生成还需要对运行在硬件内的程序进行逆向工程(得买个一样的然后花时间研究)。想要盗刷不是那么容易的。
md5(密钥+时间*2)
sha1(密钥/2+log(时间))
@老虎会游泳,哦,原来如此 華為P30(PRO版)(金色)
微信尽量让别人少转账 用红包 斗图专属版
@我没K,用支付宝啊,风控系统比企鹅好多了。
@老虎会游泳,支付宝的可穿戴设备控件离线支付(手环/手表)码支付想刷就刷,它的风险控制确实不咋滴
華為P30(PRO版)(金色)
@老虎會游泳,难道你用手环支付还要输密码
而且免密被盗刷支付宝可以先行赔付。微信的话,你得想办法打通人工客服,这可不容易。
@老虎会游泳,
手机支付也不用输密码啊,直接刷脸或验证指纹就好了,我是说手环手表的支付码是固定的,要是被人复制了……
華為P30(PRO版)(金色)
@老虎會游泳,要是被人复制了,可以先行赔付
而且手环上的支付码是通过密钥根据时间动态生成的(参考网游的安全令),只是在一段时间内保持固定,并且没有办法直接通过看码反推出密钥,所以即使被复制也只能立即盗刷,否则就过期了。
@老虎会游泳,那就奇怪了,我怎么看手环上的码一直是那个码啊
華為P30(PRO版)(金色)
@老虎會游泳,我建议你用手机每隔一小时拍个照。如果真的是一样的,你就可以去盗刷了
@老虎会游泳,因为手环本身不能联网,而手机也与手环断开了连接(蓝牙未打开和没有打开支付宝),所以,一直是那个码,我也一直用那个码去超市支付
華為P30(PRO版)(金色)
@老虎會游泳,不联网的设备也可以更新码字。你真的没用过安全令设备吗?网游或者网上银行都可以有,就是有个屏幕显示数字,每隔一段时间更新。就算没有用过,手机安全令总是见过吧,上面的数字也是不需要联网就能更新的。或者,你关闭网络,然后打开微信支付的付款码,点击“显示付款码数字”,然后盯着它看几分钟,就能看到付款码刷新。
更新的原理很简单,就是
hash(密钥+时间)。对于app,密钥是联网时置入的。对于硬件,密钥是出厂置入的。而时间是由设备内部的时钟维持的。所以不需要与外界有任何通信就可以自行产生新密码。然后就是,服务器端也会有同样的程序用于根据密钥和时间生成密码(在你绑定安全令或者手环的时候,服务器就知道你的密钥了)。两者一对,就能知道你是不是真的安全令/手环持有者。但是,持有者光看当前的码字是无法知道密钥的,因为通常使用的hash函数都是密码学安全的(比如sha256),没有办法从结果反推输入。对于安全令,即使知道序列号等信息也不一定能得到密钥。因为序列号可能只是厂商密钥数据库中的id,不是密钥本身。最后就是,即使知道了密钥,但是如果不知道具体的hash函数,也无法生成码字(比如,码字可以通过
md5(密钥+时间*2)生成,也可以通过sha1(密钥/2+log(时间))生成,等等),要生成还需要对运行在硬件内的程序进行逆向工程(得买个一样的然后花时间研究)。想要盗刷不是那么容易的。@老虎会游泳,哦,原来如此
華為P30(PRO版)(金色)
微信尽量让别人少转账 用红包
斗图专属版