2017年1月9日，随着微信小程序的闪亮登场，各路企业热情高涨，争先恐后推出自己的小程序。但与此形成对比的是，银行业对小程序的态度颇为谨慎。据媒体报道，在小程序上线后，就有银行人士表示，银行对安全性等级要求较高，小程序能否满足银行的要求,还需要进一步考量。经过分析不难发现，在小程序中开展账户登陆、支付转账等银行业务时，现有安全机制无法有效保护用户密码，将出现以下问题：

　　首先，用户输入的密码可被轻易截获，不仅让用户遭受资金损失，还会严重影响银行声誉；

　　其次，部分业务只接受特殊保护过的密码，如果用户端不对密码做特殊加密则无法验证通过，此项业务也无法进行。

　　最后，不符合政策及监管机构的要求。例如1月13日，证监会就叫停了所有涉及“交易”、“开户”等业务的金融证券类小程序，这与此类小程序在密码保护等安全层面的缺陷不无关系。

　　可见，微信小程序现有安全机制存在不足，缺乏有效的密码保护解决方案，成为制约银行乃至整个金融行业在短期内大批量上线小程序的主要障碍之一。作为具有多年金融信息安全服务经验的中国金融认证中心（CFCA），在第一时间即意识到银行业在微信小程序端的安全需求，并率先推出了小程序版安全输入控件。该控件和传统密码安全控件功能相同，可保护小程序中用户密码等敏感信息的输入、传输安全。

CFCA 微信小程序版安全输入控件

　　CFCA微信小程序版安全输入控件的主要特点包括：

　　支持RSA、SM2等国密、国际加密算法；

　　使用自定义键盘，防止了大多数针对截取系统键盘输入的木马的攻击；

　　输入框字符串替换为*，不保留明文；

　　内存实时加密，防止密码明文在内存中驻留；

　　可以设置数字键盘乱序，让键盘每次显示的时候数字排列都是随机的；

　　使用公钥密码算法高强度加密，结合服务器随机数防重放攻击，保证密码在网络传输中的安全。

　　以上特点通俗点讲可以归纳为：当我们在小程序中输入密码时，安全控件可以赶在所有恶意程序下手前将密码信息收入囊中，并用一把密钥进行加密。此时，恶意程序仍可窃听键盘记录，但得到的只是一堆与密码无关的信息，而密码信息的踪迹只有安全控件知道，并处在其保护之下。其后，密码要从客户端发往服务器端，这一路也是险象丛生，各种嗅探器、中间人攻击闻风而动。但此时安全控件已对密码进行加密，唯有服务器端的一把专有私钥才能解密。黑客就算截取到了数据包，也会因没有私钥而无法破解密码。

　　首款小程序版密码控件的问世意味着银行小程序获得了一枚“护身符”，扫除了延误其上线的主要障碍之一，因此某大型国有银行和某全国性股份制银行及一批金融机构立即引入CFCA这一安全输入方案。同时，CFCA还及时推出了支持安卓、IOS系统的SSL证书，在安全输入的基础上确保小程序HTTPS通讯加密和域名服务器真实性，进一步加强银行小程序的安全性，助力银行高效布局微信端业务，为用户提供更安全便捷的服务。

　　如果您希望更深入的了解微信小程序版密码控件的信息，请致电010-59798680或登录www.cfca.com.cn进行查询。　　

责任编辑：韩希宇