对支付宝账号安全性的一些思考

自从“余额宝”推出之后,关于支付宝的安全问题日益频繁地出现在各大网络媒体的头条上,而且都是类似“支付宝XXX用户被盗XXX元”等新闻,标题也越来越吸引读者的眼球。看到如此多被盗的新闻,作为余额宝重度用户的我也有一丝不安:支付宝真的如此不安全么?为此,我决定通过尝试“盗取”自己的支付宝账户验证其安全性。

一般情况下,要实现把支付宝或余额宝的钱转走,必须要有账户的登录密码+支付密码,转账金额过大还会要求短信验证码。所以“登录密码+支付密码+手机”是完成转账的“标配”。

假设我现在知道一个支付宝账户的用户名,用户的姓名和身份证号,而且该账户绑定的手机号也在我手上(用于接收短信验证码),然后在一台从未登录过该账户的电脑上实施下面的“盗号步骤”。(为什么要满足如此多条件后面再解释)

1、登录密码找回

2

登录密码的重置需要“短信+证件号码”,这个条件我们已经满足,所以登录密码毫无压力就拿下了。顺便插一句,如果该电脑装有数字证书,只要“短信”就可以重置密码。成功重置登录密码,手机或者邮箱不会收到任何通知。

2、支付密码找回

直接找回支付密码1

对于一台没有安装该账户“数字证书”的电脑来说,找回支付密码只能通过人工服务。同时我尝试通过手机端“支付宝钱包”重置支付密码,条件是(短信+快捷支付卡号)或者(短信+密保问题),而wap端无法重置任何密码。看来只能尝试安装“数字证书”看看有没有突破了。

3、安装数字证书

7

安装数字证书的过程十分简单,只需要验证短信校验码就完成了。与找回登录密码不同的是,成功申请数字证书后,手机、邮箱和旺旺都会收到对应的通知。

10

11

4、拥有数字证书下找回支付密码

12

有了数字证书,找回支付密码的方法就很多了,可以看到其中一项是“短信+证件号码”,妥妥的搞定。找回支付密码也是不会有任何的通知。

至此,“登录密码+支付密码+短信验证码”都有了 ,支付宝账户彻底沦陷。


如果有认真看过关于“支付宝被盗”的新闻,就会发现被盗事件大都是手机突然没信号,然后很快账户里面的钱就不翼而飞了。手机为什么会突然没信号?根据媒体的介绍,因为有同样号码的sim卡在其它地方上线,所以原sim卡就会被踢下线,而且再也连不上。要实现这样的效果,到营业厅办理“异地补卡”业务就能得到这样的一张sim卡。小偷首先收集用户的各种基本信息,然后造一张假身份证去营业厅补办sim卡。在一些比较落后的三四线城市,当地营业厅的条件无法辨别身份证的真假,可能只要看到有机主身份证就允许补办了(又或者找营业厅熟人补办跳过身份证验真)。加之收集到的信息,文章开头假设的条件已经完全满足,该支付宝账户所做的安全设置形同虚设。

现在不管你用没用过互联网,你的基本信息也已经“被泄露”的差不多了(银行、电信等各个行业都有卖资料的现象存在),因此“手机短信验证”就成为账户安全最后一道防线。但是由于运营商业务上或者技术上的漏洞,补办sim卡对于某些人来说也不是一件很困难的事情,“手机短信验证”严格上来说也是靠不住的。回顾整个过程,可以看到支付宝的安全策略过分依赖“手机短信验证”,导致“盗号”过程变得相对容易。但如果把找回密码的策略设置得更为复杂,那么该项业务的易用性又会大大降低。所以支付宝现在主要做的,一方面是让风控部门制定更复杂的规则令系统更准确地自行判断盗号是否发生,另一方面提供“先行赔付”等服务保障用户的财产不受损失。但是每年最高只有5000元的赔款,如果账号里有上万元全不见了不就亏大了?所以支付宝被盗了,从上面的描述可以看出,其实运营商、支付宝和用户三方都一定的责任。对于用户来说,在网络上行走江湖最重要的是学会保护个人隐私。虽然个人信息“被泄露”不可避免,但是毕竟是少数情况,大部分人的信息还是安全的。如果没有自我保护意识,很快就会进入“裸奔”状态。

最后一个问题,支付宝到底敢不敢用?这个问题技术层面上看,从“手机被盗”到“支付宝被盗”,操作再快也会有2-3分钟的操作过程,这时间足够让嗅觉敏锐的用户致电客服冻结账户了。同时小偷一般采用小额转账,但1~2笔异常交易过后账号就会被系统冻结。即使最终被盗,也还有支付宝的先行赔付。所以总的安全风险还是在可以接受的范围之内的。

« 返回