支付宝安全隐患：手机丢失后或致账号内资金被盗

楼主^#

更多发布于：2012-10-25 11:04

[] 1


	前段时间和同学讨论手机丢失的后果有多严重的问题，他提到说如果手机落到某些不怀好意的人手里，支付宝甚至银行卡的钱很容易就被盗光了。起初我以为应该没那么严重吧，拿我的支付宝来说吧，用户名是邮箱，绑定了手机号码和邮政绿卡（淘宝联名卡，好像也叫支付宝卡通），密码18位，复杂度自信跑字典也难跑出来，交易基本上都是通过邮政绿卡直接支付（不管支付宝有没有钱，只要银行卡有钱，200以下输入支付密码就能支付成功），所以支付宝账户基本没什么余额，尽管如此每次交易完都会关闭余额支付功能，关闭后就算支付宝有余额也不能完成支付。如果要支付需要先开通，系统发一个随机6位验证码到手机，输入验证码才能开通，心想这样算安全了吧，其实不然，今天测试了一下重置密码，心想修改密码之前至少也得像很多论坛一样给我发个邮件询问一下吧，结果不太乐观。打开支付宝登录页面，点忘记密码选项，账户名填手机号码（需要开通手机号码登录），输入验证码点下一步，直接就有个通过手机短信找回登录密码选项了。如果手机落到别人手里要知道你号码不难吧？而很多人的支付宝都绑定了手机、开通手机号码登录功能。就那么简单的几步支付宝账户就沦陷了，有了登录密码和手机，就可以开通余额支付功能，支付密码也可以通过相同方法轻易修改。有了支付密码支付宝的钱就变成别人的了。可怕的是邮政绿卡通过支付密码和手机号就能消费。大于200的也就多个发验证码到手机的步骤，手机在别人手里，这个就形同虚设了。这一切的罪魁祸首就是可以通过手机找回密码，就算你没开通手机号码登录，某些居心叵测的人只要知道你的支付宝用户名，这个应该没多少人会保密吧，只要交易过就能知道，就算猜也简单吧，一般都是自己用的邮箱。有了用户名，再拿到你的手机。就可以通过手机修改你的支付宝登陆密码、支付密码。当然这只局限于熟人作案了，毕竟能知道你用户名并且能拿到你手机的也只有熟人了（也有例外：陌生人拿到你手机，岔巧手机安装有支付宝，且有登陆记录），这个世界人心叵测，暗贱难防呀。除非你不绑定手机，但是如果不绑定手机又不能使用支付宝卡通功能。所以说支付宝卡通方便是方便，但方便的同时也带来一定的安全隐患。既想使用支付宝卡通又想安全的，除了花钱购买宝盾这一方法外，似乎没有两全其美的方法了。不过宝盾确实有麻烦，去别的地方忘带了就不能支付了。合理的重置密码方法应该跟各大论坛一样，输入注册时的邮箱进行密码重置申请，系统把修改新密码的链接发送到邮箱，除非你能拿到我邮箱账户密码否则改不了我的密码。我想支付宝公司不会不知道这个问题可能会带来相当严重的安全隐患，支付宝没有改进的理由只有一个，逼用户购买宝令。最后，几点建议： 1、强烈建议使用邮箱而不是手机号码注册支付宝（手机号码注册的意味着手机号一定能登录，只要拿到你手机的人都能修改密码） 2、已经绑定手机的不要开启手机号码登录功能（否则同样只要拿到手机就能修改密码）上面这两条基本可以防止手机被扒被抢后别人修改你的支付宝密码了 3、如果不使用支付宝卡通的就不要绑定手机（意味不能通过手机短信修改密码，拿到手机也没用） 4、登录密码设置成强口令（大小写字母数字符号组合，12位以上） 5、支付宝账户不要存太多钱，交易时再充值 6、如果实在不放心、不闲麻烦、不缺钱那可以买个宝令当然，最重要最安全的就是保管好自己的手机,防强盗防扒手防内奸~~