二維碼做交易有幾危險？(技術文)

當港鐵都發展做支付宝做入閘機，似乎用二維碼交易已經不可逆轉，但在筆者眼中，用二維碼做交易始終存在一定風險。

二維碼並不是中國發明

現時普遍使用QR Code，而QR Code支付雖然在大陸非常普遍，但其實QR Code 是日本公司Denso Wave發明；由於係免費技術，所以坊間其實好多QR Code的Generator同Reader係網上免費任用；而且QR Code的優點係支援中文、英文字母、數字及符號，所以非常適合儲存訊息使用。

教教大家點玩QR Code

上面條Link就係一個簡單的QR Code Generator，只要簡單輸入訊息，QR Code就好容易Gen出黎。

Download任何一個可以Read QR Code的Apps就可以隨時知道其內容；由於只係圖像，所以QR Code的訊息並不能加密。

二維碼做交易有乜問題？

由於二維碼無得做加密，複製亦都簡單，所以絕對有機會被偷圖，筆者就測試過支付宝的QR Code交易方式（我覺得真係偷錢事少，白白被人送資料返大陸事大）

收款有無問題

其鏡頭scan QR Code俾錢，基本上風險都係付款者身上，雖然QR code無定時更新，收款都係依靠付款者的網絡訊息，直接將現金存入帳戶，所以最多都係收唔到錢，而唔會有其他損失。

問題係QR Code若果被調包，其實用戶無從得知，錢就直接去咗調包者。咁你咪唯有發現被調包後報案，追返個戶口囉，不過財到光棍手⋯⋯

俾錢先係大問題

其實最大問題係俾錢，雖然每次交易都會改付款碼，但大大隻字寫晒出黎，同真實scan出黎一模一樣。我甚至唔需要影相，背咗付款碼就可以用工具製做出黎。

支付宝的付款碼係18位全數字，筆者測試大約估計全是28字頭，其他就係交易編號。而交易編號必需要上網才能出現，即係話你㩒個「付款」時，你的支付宝資料已經send晒上網再俾個QR code你，等收款方確認資料。若果你手痕refresh過幾次，支付宝就開定幾個QR code。問題係唔知支付宝有無set time limit，可能過咗好耐都照俾人收錢。

呢單新聞就簡單說明用二維碼付款的危險，更重要係交易碼只是普通數字，IT界祖師爺Alan Turing就係靠解碼幫英軍在二戰中獲勝，70年後仲有機構夠膽用咁簡單的編碼處理金錢交易，若果大家無原無故唔見錢，真係唔怪得人。（有興趣了解解碼，可以睇下The Imitation Game）

唔用二維碼支付用乜好？

其實相比QR Code，paywave作為電子支付的另一選擇，安全性真係高好多，本身靠晶片防偽性已經好高。用apple pay、google pay等虛擬交易仲發展埋加密系統，連收款一方都唔知你的帳戶資料。連倫敦搭巴士都可以用paywave的時候，發展無現金交易點解仲要用QR Code？