现在,手机指纹识别已经普及,国人对于支付宝和微信的指纹支付功能也再熟悉不过了,除了某些手机可同时进行指纹支付操作,也有相当一部分手机能够使用支付宝指纹支付,但在微信支付时,只能乖乖输入6位密码。
例如小米手机,很早就支持支付宝指纹付款,但官方对微信指纹支付的回应是,正在商谈中。
实际上,支付宝和微信所采用的指纹识别支付在原理上有所不同。
首先是支付宝,当用户录入指纹数据是,支付宝会将指纹数据全部加密储存在本地设备中的TEE安全区域,这里的重点是,支付宝不会将指纹数据信息上传至服务器或云端。
这里的TEE安全区域是一个完全与主操作系统互相隔离的环境,简单地说就是一个独立加密的“盒子”,它有自己的OS操作系统,与Android系统相互隔离,理论上数据是不太可能被读取走的。
而微信的工作原理与支付宝有明显区别。微信的指纹认证方案是基于Android 6.0接口和Key master,安全性也相当高。
指纹模块工作时,采用SOTER原理。SOTER的工作原理是使用签名、验签机制,基于RSA-2048非对称算法的密钥链签名、验签。
简单地说就是,支付流程开始时,微信后台会首先下发一个随机串,并由客户端给到TEE等待用户指纹授权签名。用户使用指纹授权并成功之后,将签名串导出,发送到微信后台进行验签,验签通过之后即支付成功。整个过程微信接触不到指纹信息。
因此,微信并不是上传指纹信息至服务器进行验证,真正的图案还是保存在本地TEE中,交易验证时只是传输生成的签名串与服务器进行验证。
而微信由于涉及到签名串的传输,一些手机厂商可能考虑到用户隐私和交易安全,或者是一些我们不得而知的原因,并未接入微信指纹识别接口,导致了像小米一样的部分手机仅仅支持支付宝的指纹支付。
两种指纹识别方案虽然原理不同,但安全性都很高。
支付宝由于有独立的OS储存指纹信息,再加上支付宝安全检验服务的监控,如果随意破解就能获取指纹信息的话,阿里怎么撑起互联网三巨头的大名。没钱怎么办?很多朋友都在微信上寻找平台,比如金猫钱袋,芝麻分500可获取五十万额度,不过有一定风险,请慎重!
微信虽然没有安全检验服务,但通过联网签名、验签的方法,如果服务器出问题了,签名串无法匹配,当然也就不能完成指纹支付,破解难度也是相当高。
因此,两者安全性自然不用普通用户担心,既然技术已经成熟,保护隐私的责任,厂家也有一半的责任。
联系客服