支付宝安全吗

支付宝是一种方便、快速的支付方式。客户可通过将个人第三方支付账户关联自己的储蓄卡或者信用卡，每次付款时只需输入第三方支付账户的支付密码和手机校验码即可完成付款，从而绕开了银行支付网络，只要绑定了银行卡，用户无需银行卡密码就可以通过支付宝从银行卡里转账。那么，支付宝到底安全不安全呢？

工、农、中、建四大行陆续对快捷业务调整了限额，四大行对支付宝的单笔额度和单日累计基本限制在万元以下，最低的仅为5000元，每月累计也基本不超过5万元。针对“为何要限制支付宝限额”，工商银行某处长回应称，支付宝产生初衷是为了满足网购客户小额支付宝资金的便利性，只需要通过手机发送的支付机构的动态验证码，就可以从银行账户划转资金进行支付。这种方式确实方便，但支付宝安全性存在明显隐患，交易对手机的依赖性太高，一旦手机丢失、注册时信息泄露或者手机被植入木马病毒，绑定支付宝手机号便容易被篡改，用户的资金很容易被盗。

支付宝的安全关键在于手机，要保证手机绝对安全，特别是保证短信安全，那才能保证支付宝的安全。对于支付宝的攻击方法就更多了，如果用户开通了小额支付免输密码，黑客只需安装先前介绍的伪造身份证SIM开的方法即可直接支付小额付款。不过要盗取大量资金，还需要用户的支付密码方可，这里黑客就采用各种方法攻击用户的支付密码即可。

通常的攻击方法除了在电脑端的木马和钓鱼网站之外，还有通过手机APP应用的攻击方法，黑客可以先将具有盗号功能的恶意应用发布到各个应用商店或论坛里，如果用户使用Android手机下载并安装这类恶意应用（例如假冒的游戏应用），那么恶意应用就在后台拦截用户短信通讯，然后再伪装一笔转账，通过截获用户短信来完成交易，或者通过后台将用户引导到钓鱼网站来截获支付密码，这样就完全避规了银行的USBKEY等令牌系统，从而盗取用户资金。

为了应对这种情况，支付宝还推出了一个手机宝令这样的动态令牌来加强手机支付的安全性，用户启用手机宝令后，即可看到一个每分钟都变化的一次性密码的“动态令牌”，在原有的短信基础不变上，增加上这个动态令牌，这样，恶意应用即使拦截了用户短信和一次性密码也没用，因为无法计算出下次支付所需要的动态密码，所以会使得窃取用户资金会失败。

动态令牌这个方案解决了黑客通过恶意应用盗取用户银行卡资金的威胁，但如果用户手机被偷的话，别人就可以在手机上看到这个“动态令牌”，因此更为理想的方案是，支付宝再绑定一个动态令牌硬件（非手机动态令牌应用），例如已经停售的宝令，动态令牌可以挂在钥匙链上，这样即使手机丢了，没有动态令牌也无法转账，动态令牌丢了，没有支付宝密码也一样无法转账。这样的方案就能够大幅提高支付宝的安全性，并且技术上也很容易实现，无需驱动，这样用户就不用害怕手机被盗而引起的资金财务风险了。

总而言之，用户如果能保证手机和短信的绝对安全，支付宝就是安全的，否则就是不安全的。