【编者按】当前，优步已然成为众多国人的新代步方式。从点开手机软件叫车，到付款下车，一气呵成，付款时甚至不需要密码，简捷方便。

　　当前，优步已然成为众多国人的新代步方式。从点开手机软件叫车，到付款下车，一气呵成，付款时甚至不需要密码，简捷方便。

　　作为一个风靡全球300多个城市和地区的创新出行共享平台，优步在登陆中国市场后不久便凭借便捷、舒适、价廉等特点，迅速受到越来越多人的欢迎。然而，最近优步的用户忧心忡忡，因为优步账户接连被盗刷的新闻频繁曝出。一时之间，账户安全和支付安全成为埋藏在他们身边的一颗“定时炸弹”。而作为中国信息安全身份认证领域的领航企业，上海众人网络安全技术有限公司致力于在保证高安全性的前提下，让用户享受便捷的支付体验。

　　【案例一】

　　对于自己优步账户被盗的经历，王先生气愤不已。今年4月的一个晚上，人在杭州的王先生收到手机短信，显示优步有一个四川的订单，行程总共188元。王先生立即申请退款，并想解绑他的支付方式。但是系统显示APP里面不能解绑，账户也没办法注销。第二天早上，王先生不但收到多个优步扣费短信，此后还显示他的手机号被更改。王先生发投诉邮件，却发现盗刷的人也更改了他的绑定邮箱，导致他无法找回优步账户。愤怒的王先生拨打支付宝的电话要求强制解除绑定优步。

　　【案例二】

　　李女士介绍，近日她突然收到银行发来的一条“莫名其妙”的短信。短信显示，当天10时，李女士用优步在香港打车，消费55元。奇怪的是，李女士不但近期人不在香港，而且一年前她就已经卸载了优步软件，不知道为何账户会被扣除在香港的打车消费。为此，她赶紧登录邮箱，发现已收到四封邮件，提醒有人修改其优步账号和密码。

　　安全漏洞增大被盗风险

　　事实上，这种优步用户账户被窃取，没叫车却被扣费的事件在最近一段时间接二连三发生。优步的使用用户都了解，在注册时，需要绑定支付宝账号或者信用卡账号作为担保。而很多人通常会选择绑定支付宝，这样在车程结束后，系统直接通过支付宝扣除车费，中间不需要验证或输入密码。不过，便捷的免密过程，却增加了优步用户被盗刷的隐患。

　　优步账户是怎么被盗的?今年年初，就曾有黑客在网上发文《Uber 优步客户端接口设计不当可导致撞库攻击》、《我是如何尝试登陆别人的uber的》，公布优步的各种漏洞。在撞库时，黑客可以收集在网络上已泄露的用户名、密码等信息，之后用技术手段前往一些网站逐个“试”着登录，最终“撞大运”地“试”出一些可以登录的用户名、密码。此外，由于手机号码格式是固定的，黑客也可以以遍历手机号的方式，用数字穷举把所有的可能性都尝试一遍，而且光用类似123456的密码就能猜出很多账号，这样的探测流程可以用程序自动化实现。再加上支付时缺乏密码验证等，这使得盗号的难度并不大，易被不法分子非法获取。

　　在便捷和安全间做最好的平衡

　　黑客的各种作案手段让人防不胜防，提高警惕保护账户安全和支付安全已经刻不容缓。

　　“当前，第三方支付的兴起，极大方便了人们的消费。然而，从支付安全角度考虑，安全性和便捷性是非常矛盾的两个方面。以优步为例，很多用户享受快捷支付的方便，对自己的账户安全却并不十分在意，而优步本身在支付方面又存有漏洞，这就导致了账户被盗现象高发。”上海市信息安全行业协会会长、上海众人网络安全技术有限公司董事长谈剑峰指出。

　　上海众人网络安全技术有限公司一直坚持“自主研发、自主设计、自主生产”的“国产化”发展战略，相继研发出应用于互联网和移动互联网的高安全身份认证技术。众人科技最新推出的面向于移动互联网认证和支付安全的创新性密码技术SOTP(Super One-Time-Password)从技术上很好地解决了移动支付中安全与便捷的平衡性问题。

　　此技术创新地实现了密钥与算法的融合，在无需增加硬件SE的前提下，采用软实现的技术路径开创式地解决了移动设备中轻量化安全存储密钥的关键性问题。同时可基于“一人一算法”+“一机一算法”+“一次一密”+“一时一密”的极高安全特性，与风险感知、大数据风控、主动防御机制、多因素认证等要素相结合，有效保护了移动互联网用户的身份认证安全、个人信息安全以及应用数据安全，并实现了云端统一化认证。有了SOTP技术的保护，犹如为帐户加上了一把无形的锁，只有真实的用户、真实的设备、真实的交易才能被打开，让“撞库”再也不会发生。同时还能有效防御网络钓鱼、木马拦截、电信诈骗等一系列攻击。