支付宝和微信的二维码『刷卡』支付服务够不够安全，有何隐患？
看起来是为了便利牺牲了安全每当点击进入刷卡功能，屏幕上会分别出现一个可供扫描的二维码和条形码。也就是说，经过微信支付认证的商户，可以直接通过线下的扫码设备扫描这两个码，来向顾客收费。这个功能直接与“微信支付”相连接，用户可以选择使用钱包里的“零钱”或绑定的银行卡和信用卡进行支付。
按投票排序
邀~ 先简单回答一下：二维码支付总体而言是足够安全的。金融行业最重要的莫过于“信任”二字，可以相信支付宝、微信、银联等不仅专业，而且会非常认真的对待支付里的任何问题——只是有时候会过于谨慎，以至于在用户体验和风险之间进行平衡时会倾向安全优先：宁可影响用户体验也要确保足够的安全。我试试看用最简单的方式让朋友们理解吧。二维码支付的安全与否，分为二维码部分和支付部分：二维码部分主要看用什么扫码软件：用支付宝钱包、微信基本没问题（除非有漏洞被利用）；支付部分，其实与二维码关系不大，还是手机支付领域的老问题。支付部分：以数据传递来说，以银联、支付宝和微信的技术能力是足够安全的（比如商户POS与平台、用户手机与平台的通讯、用户手机APP的安全性等等）；从支付模式来说，主要是快捷支付模式，这部分问题是快捷支付是否安全——与二维码无关；从风控角度来说，银联、支付宝的经验比腾讯更为丰富；从对消费者的保障来说，支付宝、微信双方都引入了赔付机制和保险公司；从监管角度来说，还有央妈盯着，不必太担心；从实际操作环境来说：会不会有钓鱼呢？有可能，需要消费者自己特别注意保持警惕——见下文最末提醒；至于其它，例如手机被盗等等：和保管好你的钱包、信用卡的道理是一样的——只是，支付模式（与二维码无关）的设计者还是为这类情况进行了准备：交易金额和频次限制、风控监督。技术方案的特点：——谢谢
讨论提醒，特意补充这一部分说明：条码、二维码、声波这类，不同于带有加密芯片的NFC等方案——信息载体本身不能确保自身防伪造、防篡改、防复制的，因此配套的支付方案基本都采取快捷支付类（控制金额、频次、用途）以进一步控制风险。利益相关：我的创业公司是支付宝授权代理商，为客户提供智能WiFi、支付宝和微信相关的解决方案，同时自己在发展商户做小平台运营。1. 在二维码支付里，二维码是做什么的？简单说：借助二维码生成和识别技术，在商户收银设备、用户手机之间传递交易必要的参数。发起支付：无论是买方、卖方，首先通过支付APP或者收银系统向支付平台服务器请求发起一笔支付；生成支付参数：服务器把支付相关的参数通过二维码图片返回给发起方；交换支付参数：发起方向对方展示二维码；核实支付参数：对方APP或收银设备扫码后，通过支付平台服务器确认该支付的参数、细节；确认支付：随后双方用某种方式表示认可支付；完成：支付平台服务器端完成支付动作，返回信息——二维码最大的作用就是在交换交易参数环节：二维码方便携带参数、方便对方接收和识别。——以上过程中，将二维码换成声波等其它方式，起到的作用也是一样的。——类似的，传统支付POS中也有二维码类似的问题，比如假读卡器（复制磁卡信息）、假密码键盘（复制密码，或未经银联安全认证的普通数字键盘）补充细节：交易必要的参数加密生成二维码：比如当前用户信息（付款方）、商户信息（收款方）、交易流水号、交易时间戳等必要的参数，组合成特定的数据结构并经过一定的加密后，用二维码算法（比如流行的QR）生成二维码图片；扫码、识别、提取参数、自动处理：用户发起交易、生成并出示二维码给商户；反之；——也就是其它朋友回答的主动扫码还是被动扫码2. 其它环节与二维码无关，那么二维码的安全问题在哪里？二维码的内容有不同类型，可能是一段文字，也可能是一个超链接地址 Url，等等问题出在扫码软件（二维码识别软件）对携带内容为超链接的二维码的处理方式一般的扫码软件，遇到内容Url类型的二维码就自动打开浏览器，访问对应的地址。这时候，如果二维码不是支付平台服务器生成的，就有可能被假冒的二维码引导自动访问钓鱼网站等，造成用户、商户的损失。这时，分两种情况：商户侧的系统生成假冒的二维码：用户没有足够的能力防范，这时候就有较大的安全隐患了；用户侧生成假冒的二维码：商户有义务、有能力保障自己的收银系统正确的连接支付平台服务器，不容易被用户侧假冒的二维码所欺骗。所以，日，央行叫停二维码支付主要是针对商户侧生成二维码这种模式。而用户侧生成二维码的模式，至少我们用支付宝一直是可以的。然而，进一步来看：3. 遇到商户侧的系统生成假冒二维码怎么办？其实不必太担心。因为在支付操作中，用户使用的是专用支付工具，不是一般的扫码软件。例如支付宝钱包（支付宝的支付APP）、微信（腾讯APP带支付功能）、银联钱包（银联的支付APP）。而这类专用的支付工具，其内置的扫码功能是不会自动打开浏览器去访问钓鱼网站的。具体原因：二维码采用了特定数据格式：为了防范此类问题、为了竞争，它们采用的二维码算法虽然是公共的，但携带的数据是自己平台特定的数据格式。扫码软件遇到特定数据格式时，才采取后续支付相关的动作，否则视为普通二维码处理；安全地址过滤：即便识别为普通二维码、内容为Url，这些APP也不会打开通用浏览器，而是由内置浏览器来访问特定Url。甚至在内置浏览器访问Url之前，会先经过服务器识别该Url是否在安全地址白名单，或者在黑名单之中。同时，有专门的安全团队负责维护这样的白名单、黑名单。可能的问题来自：那些专用的支付APP有安全漏洞被利用（绕过了上述安全机制）；用户使用了其它的扫码软件（脱离了上述安全机制）扫描假冒二维码打开了钓鱼网站。所以，结论是：——使用对应的支付APP扫描对应的二维码（支付宝对支付宝、微信对微信、银联对银联）——并保持支付APP是最新版本4. 额外需要注意的是操作环境安全：免费Wi-Fi作为一个智能WiFi系统平台解决方案和运营服务方，我很负责地提醒消费者——你真正要担心的主要是：假热点：假冒商户免费Wi-Fi钓鱼；泄密：免费Wi-Fi传输不经加密可能存在的泄密（支付APP自己会加密，主要是其它内容如收发电子邮件、论坛和页游登录等等）；商户路由器被劫持（植入恶意代码）：例如DNS劫持引起的钓鱼、中间人攻击、嗅探密码等——所以，敏感操作暂时还是使用3G/4G吧！
谢邀，俨然已经是支付行业活跃回答者了么=。=昨天微信开始正式推线下二维码支付，用的是微pos的方式打擦边球，二维码支付分正扫和反扫两种模式，微信支付、支付宝都在推广，每一个商户可以选择安装正扫和反扫中其中一种设备，或两种都安装，微信支付目前的重点则主要放在反扫模式布局上；二者的主要方式都是向第三方代理开放接口的方式，布局线下商户。因为财付通在第三方支付的相对弱势，微信基于绑定银行卡的支付比较不容易被各大银行盯上，能做到怎么样，会不会被叫停，还是要拭目以待啊。二维码支付在国内似乎十分新鲜，其实早在上世纪90年代，二维码支付技术就已经形成，韩国与日本是使用二维码支付比较早的国家，在日韩二维码支付已经普及了95%以上。4年前我们在做二维码支付规划的时候就是以乐购在韩国地铁做的二维码超市为愿景，人们可以在地铁站通过扫二维码支付买好当天要吃的菜，下班后菜送到家，方便快捷。现在我们在本省的所有营业厅布放了上千个定额二维码用于小额支付，月交易额也有几十万。从安全性说，二维码支付和在线支付一样，都是基于账户体系搭建的，手机扫二维码的动作就相当于在电脑上输入商品地址，所有在线上支付能遇到的安全问题，用二维码同样能遇到，包括但不限于虚假链接、恶意地址、木马链接等等，同时，由于许多二维码扫码工具并没有有恶意网址识别与拦截的能力，这给了手机病毒极大的传播空间。而且，二维码技术的便利性简直太高，原来在电脑上钓鱼还至少要做个web链接，还得不被杀毒软件屏蔽，现在开个玩笑的说，花几千块做几百张假的二维码像贴老军医一样的贴，还真不知道能骗到多少人。日，央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》，暂停支付宝、腾讯的虚拟信用卡产品，同时叫停的还有条码(二维码)支付等面对面支付服务，并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报。同时，二维码支付硬件厂家也从三方面提出了安全解决方案。第一，从硬件方面，微pos的硬件有自我保护的能力，若是被强拆，微pos内的芯片会自行烧毁，防止有人试图篡改pos机系统；第二，微pos的系统是基于Android进行了必要的删减和封装形成，不存在多余的功能，这也保证了系统不被恶意软件侵染；第三，微pos机在处理数据时都会进行信息加密，保证交易数据不外泄。另外，银联也在做二维码支付的相关工作，但是中国银联技术专家徐静雯博士表示“因为发现确实有技术条件无法消除的隐患，所以没有进行商业应用。当研究出技术成熟、业务可行、且安全可控的解决方案，并获得监管部门级合作机构认可后，银联才会推出相关产品和服务。”至于具体是什么安全隐患，至少我们现在已经在做的二维码还没发现，或许银联站得更高，眼光更长远。=====================谢提醒补充一下============================中午本想到天虹实测，发现微信pos还未到位（老区含泪，北上广深估计有了），从软件的使用流程上，确实只需要在首次生成二维码时验证支付密码，如果被扫码时再验证一次就完美了，如不验证，那么请设置手机密码锁屏预防万一，如手机丢失且没锁屏密码的，建议立刻使用其他手机登录自己的微信并及时对原手机号报停/重新开卡，避免损失。软件的支付安全里提到由中国人民财产保险股份有限公司承保并提供全额24小时理赔，但安全tips里写的全是主动扫码的东西，被动扫码的还未提及。
谢谢。在这里我们不谈政策相关的东西，只谈交易本身只能产生和带来的风险。现在我们看到的主流二维码支付本质上是一种点对点的在线交易，而实际的应用场景多见于线下支付，也就是所谓的O2O；所以我们常见的几种在线交易的风险都仍然会存在，但具体的表现形式和风险出现的情况会有所不同。1、账户风险最常见的风险是账户被盗用了的风险。这种风险在依托手机为主体的二维码支付的场景下，会降低很多。手机支付的第一个步骤是授权。在这个阶段，会通过支付密码、手机短信、身份信息和隐私信息等等验证之后，将设备和支付账号做一层绑定。在这种风控逻辑的设定下，你的账户被盗了，如果想通过扫码来支付，那就意味着要同时获取上述信息。一般的拖库造成的账号密码泄漏无法通过首次支付的授权。所以二维码支付对于单纯的拖库和单一的账号密码被盗来说相对更为安全。2、钓鱼风险所谓钓鱼，简单来说就是你认为是A，结果支付的是B。对于这个问题，扫码的风险会相对较大一些。传统的在线支付中我们通常就比较容易比对网址是不是官方网站来做判断，而我们无法通过比对二维码是不是官方二维码来验证支付安全性。另外加之商户的名称大多数都不是你所熟悉的标识名（比如美团的订单，扫完了会发现付款对方是北京三快在线科技有限公司），就更加不容易判断买的东西是不是自己要的那个。但回过头来说，像微信这样的线下的当面支付，这种概率会小的多，在商家店内，商家会维护好自己的二维码不被轻易的做替换，如果商家的收款二维码是逐笔生成的，那么风险程度就会进一步的降低。3、木马风险手机木马是现在基于手机支付的方案中最危险的因素，容易造成设备本身的信息拦截、设备授权窃取等等各种不安全因素。而手机木马的查杀和防范，也是一个刚起步的行业。所以一旦中了有针对性的手机木马，基本上是不安全的占大多数了，360说的再好，也很难对抗这种情况。4、设备风险设备丢失是一个绕不过去的话题。之前轰轰烈烈的手机丢了是不是支付宝账户就被盗了其实说的就是这件事。在线下支付，一张银行卡丢了和一部绑了卡可以做二维码支付的手机丢了，风险还真是不一样的，后者的风险显然高的多了。前几天的对于Apple Pay的讨论里我们其实也可以看到，设备丢失的风险，需要有一个不依赖于账户体系本身的验证方式来做验证（手机短信、密码仍然是账户体系本身的一部分）。苹果的方案是指纹。对于支付公司来说，人脸识别、声音识别等生物技术的附加验证方式，一定会是未来的方向。5、其他基站劫持啊，网络劫持啊这种高科技的风险，也一定会越来越多的出现，但这是所有手机支付包括PC在线支付都会出现的问题，警惕性还是得有。风险归风险，时代的潮流并不可逆，二维码支付、NFC支付等等未来一定会是市场的主风向标。风险这种事，交给支付公司的风控部门来考虑就好了。1、对于风控来说，依托于设备的支付会更加的安全。风险的监控中会获取到更多的信息，比如设备标识，实时的地理位置，按键习惯等等都会成为PC时代不具备的风险识别因子。这种识别条件越多，对于风控来说，也就越好做；2、二维码支付的风险主就是授权阶段的验证信息泄漏、设备丢失和钓鱼木马风险，注意养成良好的安全支付习惯，仍然是大家要做的功课。具体应该注意什么，日报的安全模块里都说的很多了，我就不重复了。总结起来我觉得就是：手机保管好，没事别乱扫，短信不泄漏，隐私心中留，有事先挂失，遇案要报警。反正我自己是能扫就扫，谁愿意去输那么多账号密码呀。
无论是支付宝的付款码，微信的“刷卡”，我认为都是相对安全的。相对安全的意思在于，技术层没有办法保障客户端平台或者服务端一定不出什么0Day，用户自身也没办法保障自己的信息一定不被泄露，密码一定没人能破，社会工程学的玩法是千变万化的。想想最近的iCloud事件，想想不久前CSDN密码泄露事件。但从产品层面，这种支付技术和形式已经将风险从一开始限定到了一个较小的范围内。譬如说支付宝的小额免密，一刷就支付了，不安全吗？不安全，但额度就这么大，损失的范围已经限定得很小，那我认为便是可以接受的。微信做移动支付，一开始推出和银行卡一样的六位密码，不安全吧？和支付宝那么长的密码相比，肯定是不安全的，但细想一下银行不也一直就六位密码吗？这个风险的范围，其实也被限定到一个较小的范围，只是这个范围是由银行验证过罢了。另一个方面，支付宝的付款码，微信的“刷卡”，这种模式要求商家端都是接受认证的或者签约的，也就锁死了资金流动的范围，这又进一步限定了风险的范围。最后，至于各家进一步的风控机制，也从制度和服务层面，把用户的风险控制到了一个更小范围内。这里就不展开了。PS：用付款码吃了很久的早餐，相信我，这种模式的方便程度，会让你忘记安全不安全这码事情。
谢邀。扫码支付国外用了很多年了，大问题是没有的。安全问题多是环境被入侵、密码被破、应用程序自身漏洞等等，其实都是常见的安全问题。一般来说，最好不要root，不要从来历不明的地方下载应用（前几天小米都被爆其应用商店上一些软件体积和官方不一样），还有，尽量不要丢手机…
题主问″够不够安全"，这个要看怎么来定义“安全”，如下:1.二维码支付技术是否安全2.支付终端(尤其是手机)等硬件是否安全3.主导的支付机构是否靠谱？主要是涉及用户体验等4.用户本身的自我风险把控意识目前市场参与各方主要是布局阶段，培育市场，培养用户消费习惯，包括不断试错和纠正。所以现阶段重点不是安全，而是更强调方便快捷等用户体验。要我说，现阶段移动手机本身就不是安全系数很高的支付产品载体，绝大多数的用户也不是自我风险管理意识很强所以不要谈安全和风险，现有市场份额都没多少谈安全没意义。
只听说过存银行的钱没了。
我就想说，你自己带个钱包出门不也可能掉了不是？
谢谢邀请。虽然我不是做支付这块的，但很明显问这个问题缺乏基本的常识：二维码本身是一个输入方式，这就和手动输入某个网址道理是一样的真正的支付过程仍然是原生的过程，所以二维码支付的风险 ＝ 原生支付的风险而由于原生支付的前提，是ID被认证，而ID认证的前提是得登记身份证（财付通，支付宝均需要），所以有法律效力。退一万步讲，支付宝和微信支付（财付通）都有银行流水，真要付错，从银行系统或者支付宝/财付通中得流水号也有追回的途径
当初美国人发明信用卡的时候，也一堆人觉得不安全，照样挡不住其势如破竹的发展
微信付款安全度简直不能看，经过简训，小学生都可以掌握微信支付的盗窃技巧！以下就是当事人全部受害经过———————————————————————————————————————————13日晚，李先生在回家途中突然发现工行信息提示，您消费xx元，时间xx。顿时天昏地暗晕头转向，经过多方查证，最终锁定犯罪嫌疑人俩名。嫌疑人目前已基本交代整个作案过程,哥已派出一个专门工作组负责该案的审讯和取证工作。嫌疑人李某13日晚，犯罪嫌疑人李某伙同王某，以吃冰激凌为由，蒙骗其善良的表舅。据了解，13日13时50分左右嫌疑人李某用【搂脖法:卖萌技巧的一种】和【观察法：站在别人的身后看着他输入密码。成功率73% 】成功偷窥到其表舅微信支付密码，成功获取6位密码后王某以打游戏为由骗得表舅手机，成功团购了俩份游乐园套票。其心计之深沉，犯罪手法之高明，情节之恶劣，套票之昂贵【关键点】，当事人表示 没什么可说的了。另据了解，嫌疑人年龄最小的9岁，最大的仅11岁。昨日，表舅在现场看到犯罪嫌疑人正在遭受暴打。夏小知工作社记者为您报道！———————————————————————————————————————————
没密码根本不敢用，至少每次付款你给个手势验证啊，太尼玛危险了
泻药安全不安全老百姓和腾讯说了不算，第三方支付公司某种支付方式是否安全要央行支付结算司等机构判断。今年3月份爆发的二维码风波，腾讯阿里的主动式扫码方案被叫停，一个主要原因是二维码不是用户自己生成的，用户主动扫外来的二维码有被植入木马的风险。今年8月以后，银联、邮储、阿里、腾讯等展示的二维码扫码方案，都是被动式扫码。二维码的生成是用户的设备自己生成的，被植入木马的风险相对较低，就算出岔子，责任也好大部分推到用户身上，目前监管部门对此睁一只眼闭一只眼。当然二维码等都是支付解决方案，真正容易出岔子的是绑定微信支付时候的账户实名验证（使用他人手机号、身份证、卡号绑卡）以及交易数据传输被截取，或者刷卡规则的漏洞被钻（比如年初波及支付全行业的预授权套现风波），客户与商户合谋，使用虚假交易信用卡套现，这些个顽疾，腾讯一家是解决不了的。
位于的不安全来之监管部门觉得他们看不懂搞不明白觉得这个不安全
谢邀，好久没上知乎，今天才看到这里，从专业的角度说，二维码不存在自己的安全体系，那么二维码支付和其他的支付的安全体系是一样的，所以说技术上是没有问题的。如果要说隐患，则可能出现在使用场景上，和一些线下的安全隐患，如手机被偷等等
那就是说，你捡到一部手机，如果他的支付宝是默认了密码且没有加密的话，你就可以打开他，然后去商店让店员扫码支付，你甚至不用知道他的支付密码。这里就少了一道关，对不对，那些支付密码手机验证码如同虚设…当然，还得你支付宝有余额。其实说真的，有快捷的同时肯定有这或者那的问题，有隐患的同时肯定有方便。主要是看你怎么使用了…
谢邀！上海的便利店试用过几次，支付宝钱包出示付款二维码，商家一扫钱就刷走，连个验证码都没有。锁屏密码又是一阵哆嗦，丢手机很恐慌。但是就算有验证码还是本手机也没意义，一时间似乎无更优解。
邀。关于支付宝/微信刷卡支付（以下简称刷卡支付）的安全问题，从以下几个方面讨论以下。刷卡支付没有安全与不安全之分，只有安全程度之分，或者换句话说，只有风险的高低之分。任何支付都不是100%安全的，可以说任何支付方式都是有风险的，只有风险的高低之分，我们所说的安全其实是希望风险比较低的一种支付方式，或者是要做到不安全需要很高的成本才可以破解的支付方式。所以我们首先要在安全的定义上达成一致。与之前被叫停的二维码支付比较之前的二维码支付对于用户来说，是一种主动的支付，用户通过商家（或个人）提供二维码扫描以完成支付，那么在这个过程中，对于二维码的生成用户是没有能力干预或者辨别的，这样机制对于一些别有居心的人就可以方便的植入木马，那么这种支付方式确实存在了很大的安全隐患，而且别有用心的人生成植入木马的二维码几乎没有成本。对比现在的刷卡支付的方式，可以理解为一种被动的支付方式，二维码（或条码）是有用户自己生成，由商家扫描用户的二维码（或条码）以完成支付。这样的一个改动，使整个支付的可控性提高了很多。二维码（或条码）由用户自己生成，每个一段时间刷新，这在源头上控制了二维码（或条码）的生成，大大提高了安全性；商家（或个人）需要有扫码的设备才可以完成扫码，而这些设备是由支付宝/微信提供的，这个环节也增加了安全性；即使用户的手机被挂马或者扫码的设备出了问题，这是需要投入很大的成本才能实现的，从成本上来说，安全性也更加的高。与其他的线下支付的方式比较目前主流的线下支付方式：现金或者线下刷卡。现金这个不用说了，目前还是应用最广泛的支付方式，这种方式最大得隐患是假币和丢失/被盗/抢劫，咱们就不展开说了。线下刷卡（线下刷信用卡或借记卡，区别于我们说的刷卡支付），目前也是一种便捷的线下支付方式，风险在于盗刷。刷卡支付的过程：消费者通过自己的手机App（支付宝/微信）生成付款的二维码/条形码，商家通过扫码设备扫描消费者生成的二维码/条形码，然后生成一个“安全的”交易链接，通过这个链接，消费者完成支付。在整个的交易环节，涉及到了第三方支付、消费者、商家、银行，涉及到了终端设备、网络、服务器的数据交互。那么对于线下的现金或线下刷卡来说，多了交易者（第三方支付）、多了终端设备（手机及App、扫码设备），从安全性上来说，每多一个交易环节的参与者，每多一个设备，风险性肯定是增大的。所以从这个层面来说，刷卡支付比现金或者线下刷卡的风险更高一些。但是，这并不能说明刷卡支付是不安全的，只是相对来说，风险更高一些，但并没有高到不能使用这种支付方式的地步。与其他的在线支付方式比较目前主流在的在线支付方式：网上银行、快捷支付、基于第三方的账户支付。这三种方式的特点：所以交易的链接都是由银行或者第三方支付提供的，可控性高。（假链接或者木马咱们就不讨论了）会有辅助的安全措施，如：短信验证、U盾、数字证书等，提高了安全性。明确的服务提供者，如支付宝、财付通、银联，在交易的过程中如果出现异常，你都可以方便的找到投诉渠道进行申诉。基于以上三点，刷卡支付也具备以上的三个特征，但是交易环节的终端设备不同，交易设备也更多，如果抛开更多的终端设备来说，个人意见是，刷卡支付与其他的在线支付方式从安全角度来说是一致的，风险也是一样的。综上，我们现在应该可以确定的是，这种刷卡支付的方式与其他的在线支付方式并无本质的不同，或者可以称为一种微创新，在安全性上也基本是一致的。如果你能接受在线支付的方式，不妨也接受这种刷卡支付的方式。
安全是顿，hacker是茅，安全没有绝对的，相比现金，支付宝和微信更安全本人亲身经历售货机扫支付宝二维码，扣了钱不出货的情况虽然没了解过支付宝和微信支付安全细节，但这种级别公司的技术上来说都比较成熟，被突破概率较低，更多的是行为习惯上被窃取，如熟人偷了你的手机随着手机加入指纹锁，移动支付会变得更简洁也更安全，现金以后兜里可能都不需要揣着百元大钞了
谢谢邀请。昨晚竟然把草稿发出去了......
支付类的安全主要是两个方面：技术手段的安全性；业务流程的安全性。目前看，微信新的扫码支付安全性，相当于刷一个小额无密信用卡的安全级别。一、技术上的安全性
本身二维码只是一段索引信息，真正的数据在生成二维码系统的后台，所以二维码本身是安全的。二维码的风险主要体现在两个方面：
1、二维码生成者不安全。即钓鱼风险，这也是传统二维码模式最大的风险点，也是”技术无法规避的风险“。欺骗者生成一个二维码，通过种种手段骗你去扫，扫完后欺骗你做一笔支付。这类风险主要发生在主扫式，即商户生成订单，客户扫描订单二维码。
2、二维码被复制。二维码被复制的成本非常低，但复制能够产生的收益也极低。这类风险主要发生在被扫式，即客户生成二维码，商户扫描。
其他如被劫持替换等，都和以往的WEB安全没有本质区别。
这次微信相当于生成一张实体卡的“影子”，如果在1分钟内，二维码被其他人复制使用，理论上是有风险的，但我估计生成时加入了时间戳+机器设备标识，所以微信通过时间+单点登录+设备识别解决了这个问题。
也就是说，哪怕我可以仿制出所有卡片的信息，但如果我没办法在同样的设备上，在被访者没有登录的情况下使用，也是没有意义的。
二、业务流程的安全性
这个就非常复杂了。现在的支付风险也主要体现于此。简单的跨站、SQL注入经过扫描和渗透测试都可被发现，但业务流程风险就全靠人琢磨了。客户的安全
和二维码支付相关的业务流程有：
1、微信支付的开通；需要验证身份证，手机号，如果是信用卡则要验有效期等，必须和银行预留的一致；如果你的卡相关信息在银行预留的没有问题，手机号不是别人的（我不理解很多人在银行留别人手机号这么危险的行为）等，就保证了开通的安全，当然如果有人知道你的全部信息这个就没安全性可言了。
2、支付时的安全：第一次需要输入微信支付密码，以后每次重登录后需要输入微信支付密码，允许在其他机器登出。微信这次的做法很聪明：客户生成二维码，也就是实体卡的“影子”，商户借助微信POS扫描二维码；信息合法性和双方的身份认证都由微信的后台系统来保证，基本规避了业务流程安全。他的安全手段主要依靠“微信密码+微信支付密码”，当你更换设备或者不更换但重登录后，都会要求重新验证“微信密码+微信支付密码”，所以这两个不丢，就基本保证了客户的安全。
当然如果手机丢了，没有及时登出微信；或者微信被盗号，被人破解了微信登录密码+支付密码，也会有风险；但此类风险就和你丢失了一张无密信用卡，没有及时向银行挂失是一样的。况且，额度和交易次数限制的极低（10笔，300元）。
而商户端的安全如何保证呢？商户也会被骗刷。但被骗刷在微信里几乎很难行的通。因为必须在微信后台找到对应的实体卡，所以即使破解了二维码生成算法，生成一张可以刷过的二维码，在后台也是一样要找到对应的实体卡才可以，所以意义不大。
而配套的后台风控：如可疑交易筛查，可疑用户筛查，可疑商户筛查等等，以及投保，都保证了风险发生后，把风险损失降到最低。
所以说，有风险，但风险是完全可接受的。 但一旦未来微信添加一些其他业务，大概就要重新考虑了。
已有帐号？
无法登录？
社交帐号登录}