小米手环与支付宝合作推出免密支付,但它安全吗?

小米手环与支付宝合作推出免密支付,但它安全吗?

科技记者是讨厌愚人节的,既要提防各类假消息,又担心错过什么漏网之鱼,还好它终于过去了。今天又有很多新鲜事,其中有一个消息值得大家关注: 

「2015年4月2日,小米生态链企业、小米手环缔造者华米科技宣布与支付宝公司达成战略合作,共同打造基于可穿戴设备的新一代移动支付方案,为用户提供更安全、更便捷的支付体验。」

具体的实现方式是:当用户的小米手环和手机支付宝客户端完成绑定后,一旦手环靠近手机,可以免去输入支付密码的操作,戴上手环直接完成付款,实现便捷的免密支付过程。

屏幕快照 2015-04-02 17.18.05.png

值得关注的地方在于,小米手环所替代的是支付密码,与进入支付宝应用的图形密码和支付时的二次校验密码相比,直接与账户金额的操作相关联,对于它的安全性我们肯定会往外关心。

不用担心安全问题,但也不能掉以轻心

关于免密支付,在两个环节可能存在安全隐患:手环丢失和传输过程。

对于手环丢失的情况,小米手环团队表示每个小米手环对应唯一的身份编码,在与手机相连时,支付宝钱包会识别手环编码与绑定的账户是否相符,确认无误才会激活免密支付功能。并且在原账户解绑前,手环无法与新账户进行绑定,因此不用担心手环丢失或借人的问题。

而在手环与手机的蓝牙传输过程中,支付数据采用多层加密通道进行传输,并且每次认证的数据由服务端随机生成,数据里没有任何敏感信息,可以放心使用。

T1jaDgBCET1RXrhCrK.jpg

不过,关于免密支付的安全性,还有两个地方值得探讨。

对于免密支付的限额,官方并没有给出说明,仅支持小额支付还是无区别对待我们不得而知。输入支付密码一方面是为了安全,另一方面也是对购买过程的再一次确认,免密功能的便捷是否会出现「手滑」购买的情况呢?

T1t3x_BCLT1RXrhCrK.jpg

另一问题是,根据目前得到的信息来看,如果手机和支付宝均没有设置进入密码(手势图案),而出现手机和手环同时丢失的情况,在没有及时挂失的情况下很有可能存在安全隐患。

虽然这些情况同时发生的可能性很低,就像之前大家讨论的墨菲定律一样,但对于安全来说,即使存在万分之一的可能性,也是值得关注的。

事实上,在与支付宝合作前, 小米就在自己的商店里测试手环的免密支付功能。在 2015 极客公园创新大会上,华米科技 CEO 黄汪正式发布了小米手环 MIUI 免密支付

对于安全的担忧,黄汪曾表示如果手机和手环同时丢失,账号内产生的资金丢失会由保险公司全赔,这次与支付宝合是否也能得到同样的保障呢?

免密支付只是第一步,「身份 ID」将发挥更多作用

小米手环在推出之时就以「身份 ID」为其核心功能,但很长一段时间只能应用在与小米手机配合才能实现「免密码解锁」上。

这次与支付宝合作,将进一步挖掘小米手环「身份 ID」的功能,而这仅仅只是一个开始。

小米手环除了与支付宝进行合作,还将开放 SDK 以及云端 API 接口,帮助各类移动 APP 使用小米手环,来增强合作方 APP 的易用性和用户体验。

支付宝钱包产品专家蒋龙表示:

「未来,可穿戴设备可以和个人身份进行绑定,代替各种实体卡券,一个手环可以完成各种场景的支付、酒店入住代替房卡开门,乃至电影院方便取票。车辆的行驶记录仪器将能够实现交罚缴费,智能健康设备将可以根据健康水平实现预约挂号,这一切都离不开支付。」

而根据极客公园得到的信息,目前第一组 sdk 包括:

  • 免密码认证
  • 敲击遥控 APP 反应
  • 根据人体状态蓝牙广播作出反馈
  • 供第三方 APP 能够使用震动提醒
  • 调用云端数据分析结果等手环功能

作为新一代移动支付方案,还是非常看好小米手环与支付宝的合作。而随着小米手环 API 的开放,越来越多的服务将通过「身份 ID」串联起来的。不过,在给大家带来便利的同时,安全上也不容存在半点马虎。

小米手环
关注极客公园公众号
反馈