昨天微信开始正式推线下二维码支付，用的是微 pos 的方式打擦边球，二维码支付分正扫和反扫两种模式，微信支付、支付宝都在推广，每一个商户可以选择安装正扫和反扫中其中一种设备，或两种都安装，微信支付目前的重点则主要放在反扫模式布局上；二者的主要方式都是向第三方代理开放接口的方式，布局线下商户。因为财付通在第三方支付的相对弱势，微信基于绑定银行卡的支付比较不容易被各大银行盯上，能做到怎么样，会不会被叫停，还是要拭目以待啊。

二维码支付在国内似乎十分新鲜，其实早在上世纪 90 年代，二维码支付技术就已经形成，韩国与日本是使用二维码支付比较早的国家，在日韩二维码支付已经普及了 95%以上。4 年前我们在做二维码支付规划的时候就是以乐购在韩国地铁做的二维码超市为愿景，人们可以在地铁站通过扫二维码支付买好当天要吃的菜，下班后菜送到家，方便快捷。现在我们在本省的所有营业厅布放了上千个定额二维码用于小额支付，月交易额也有几十万。

从安全性说，二维码支付和在线支付一样，都是基于账户体系搭建的，手机扫二维码的动作就相当于在电脑上输入商品地址，所有在线上支付能遇到的安全问题，用二维码同样能遇到，包括但不限于虚假链接、恶意地址、木马链接等等，同时，由于许多二维码扫码工具并没有有恶意网址识别与拦截的能力，这给了手机病毒极大的传播空间。而且，二维码技术的便利性简直太高，原来在电脑上钓鱼还至少要做个 web 链接，还得不被杀毒软件屏蔽，现在开个玩笑的说，花几千块做几百张假的二维码像贴老军医一样的贴，还真不知道能骗到多少人。

2014 年 3 月 13 日，央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》，暂停支付宝、腾讯的虚拟信用卡产品，同时叫停的还有条码(二维码)支付等面对面支付服务，并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报。同时，二维码支付硬件厂家也从三方面提出了安全解决方案。第一，从硬件方面，微 pos 的硬件有自我保护的能力，若是被强拆，微 pos 内的芯片会自行烧毁，防止有人试图篡改 pos 机系统；第二，微 pos 的系统是基于 Android 进行了必要的删减和封装形成，不存在多余的功能，这也保证了系统不被恶意软件侵染；第三，微 pos 机在处理数据时都会进行信息加密，保证交易数据不外泄。

另外，银联也在做二维码支付的相关工作，但是中国银联技术专家徐静雯博士表示“因为发现确实有技术条件无法消除的隐患，所以没有进行商业应用。当研究出技术成熟、业务可行、且安全可控的解决方案，并获得监管部门级合作机构认可后，银联才会推出相关产品和服务。”至于具体是什么安全隐患，至少我们现在已经在做的二维码还没发现，或许银联站得更高，眼光更长远。

被动扫码的安全性其实比主动扫码要高许多，被扫码的账户实际上是把密码验证的过程前置了，必须进了账户的客户端才能生成被扫的二维码，因目前还没有实际使用过，不知道是否在生成二维码之前是否需要验证支付密码，如果有的话，那至少是验证账户密码和支付密码，安全性相对是要高一些。

先简单回答一下：二维码支付总体而言是足够安全的，可以相信支付宝、微信、银联等不仅专业，而且会非常认真的对待支付里的任何问题——只是有时候会过于谨慎，以至于在用户体验和风险之间进行平衡时，可能会以损失用户体验为代价来确保足够的安全。

我试试看用最简单的方式让朋友们理解吧。

• 二维码支付的安全与否，分为二维码部分和支付部分：
• 二维码部分主要看用什么扫码软件：用支付宝钱包、微信基本没问题（除非有漏洞被利用）；
• 支付部分，其实与二维码关系不大，还是手机支付领域的老问题。
• 支付部分：
• 以支付宝和微信的技术能力来说，是足够安全的（比如商户 POS 与平台、用户手机与平台的通讯、用户手机 APP 的安全性等等）；
• 从支付模式来说，主要是快捷支付模式，这部分问题是快捷支付是否安全；
• 从风控角度来说，支付宝的经验更为丰富；
• 从对消费者的保障来说，双方都引入了赔付机制和保险公司；
• 从监管角度来说，还有央妈盯着，不必太担心；
• 从实际操作环境来说：会不会有钓鱼呢？有可能，需要消费者自己特别注意保持警惕——见下文最末提醒。

利益相关：我的创业公司是支付宝授权代理商，为客户提供智能 WiFi、支付宝和微信相关的解决方案，同时自己在发展商户做小平台运营。

1. 在二维码支付里，二维码是做什么的？

简单说：借助二维码生成和识别技术，在商户收银设备、用户手机之间传递交易必要的参数。

• 发起支付：无论是买方、卖方，首先通过支付 APP 或者收银系统向支付平台服务器请求发起一笔支付；
• 生成支付参数：服务器把支付相关的参数通过二维码图片返回给发起方；
• 交换支付参数：发起方向对方展示二维码；
• 核实支付参数：对方 APP 或收银设备扫码后，通过支付平台服务器确认该支付的参数、细节；
• 确认支付：随后双方用某种方式表示认可支付；
• 完成：支付平台服务器端完成支付动作，返回信息

——二维码最大的作用就是在交换交易参数环节：二维码方便携带参数、方便对方接收和识别。

——以上过程中，将二维码换成声波等其它方式，起到的作用也是一样的。

——类似的，传统支付 POS 中也有二维码类似的问题，比如假读卡器（复制磁卡信息）、假密码键盘（复制密码，或未经银联安全认证的普通数字键盘）

补充细节：

1. 交易必要的参数加密生成二维码：比如当前用户信息（付款方）、商户信息（收款方）、交易流水号、交易时间戳等必要的参数，组合成特定的数据结构并经过一定的加密后，用二维码算法（比如流行的 QR）生成二维码图片；
2. 扫码、识别、提取参数、自动处理：

• 用户发起交易、生成并出示二维码给商户；反之；
• ——也就是其它朋友回答的主动扫码还是被动扫码

2. 其它环节与二维码无关，那么二维码的安全问题在哪里？

二维码的内容有不同类型，可能是一段文字，也可能是一个超链接地址 Url，等等

问题出在扫码软件（二维码识别软件）对携带内容为超链接的二维码的处理方式

一般的扫码软件，遇到内容 Url 类型的二维码就自动打开浏览器，访问对应的地址。

这时候，如果二维码不是支付平台服务器生成的，就有可能被假冒的二维码引导自动访问钓鱼网站等，造成用户、商户的损失。

这时，分两种情况：

• 商户侧的系统生成假冒的二维码：用户没有足够的能力防范，这时候就有较大的安全隐患了；
• 用户侧生成假冒的二维码：商户有义务、有能力保障自己的收银系统正确的连接支付平台服务器，不容易被用户侧假冒的二维码所欺骗。

所以，2014 年 3 月 14 日，央行叫停二维码支付主要是针对商户侧生成二维码这种模式。而用户侧生成二维码的模式，至少我们用支付宝一直是可以的。

然而，进一步来看：

3. 遇到商户侧的系统生成假冒二维码怎么办？

其实不必太担心。

因为在支付操作中，用户使用的是专用支付工具，不是一般的扫码软件。例如支付宝钱包（支付宝的支付 APP）、微信（腾讯 APP 带支付功能）、银联钱包（银联的支付 APP）。

而这类专用的支付工具，其内置的扫码功能是不会自动打开浏览器去访问钓鱼网站的。

具体原因：

• 二维码采用了特定数据格式：为了防范此类问题、为了竞争，它们采用的二维码算法虽然是公共的，但携带的数据是自己平台特定的数据格式。扫码软件遇到特定数据格式时，才采取后续支付相关的动作，否则视为普通二维码处理；
• 安全地址过滤：即便识别为普通二维码、内容为 Url，这些 APP 也不会打开通用浏览器，而是由内置浏览器来访问特定 Url。甚至在内置浏览器访问 Url 之前，会先经过服务器识别该 Url 是否在安全地址白名单，或者在黑名单之中。同时，有专门的安全团队负责维护这样的白名单、黑名单。

可能的问题来自：

• 那些专用的支付 APP 有安全漏洞被利用（绕过了上述安全机制）；
• 用户使用了其它的扫码软件（脱离了上述安全机制）扫描假冒二维码打开了钓鱼网站。

所以，结论是：

——使用对应的支付 APP 扫描对应的二维码（支付宝对支付宝、微信对微信、银联对银联）

——并保持支付 APP 是最新版本

4. 额外需要注意的是操作环境安全：免费 Wi-Fi

作为一个智能 WiFi 系统平台解决方案和运营服务方，我很负责地提醒消费者——你真正要担心的主要是：

1. 假热点：假冒商户免费 Wi-Fi 钓鱼；
2. 泄密：免费 Wi-Fi 传输不经加密可能存在的泄密（支付 APP 自己会加密，主要是其它内容如收发电子邮件、论坛和页游登录等等）；
3. 商户路由器被劫持（植入恶意代码）：例如 DNS 劫持引起的钓鱼、中间人攻击、嗅探密码等

——所以，敏感操作暂时还是使用 3G/4G 吧！