MCPLive > 杂志文章 > 手机丢失将直接造成支付宝金钱损失?

手机丢失将直接造成支付宝金钱损失?

2014-04-17苏驰《微型计算机》2014年3月上

在如今,也许大家每天醒来面对手机的第一件事,不是看微信、刷微博,而是查看余额宝的收益——当然另一个目的是看看钱还在吗。互联网金融在带来投资多样化的同时,也带给了大家更多安全的忧虑。“如果你的手机丢了,任何人仅凭借手机接收到的校验码就能找回你的支付宝密码,解除你的数字证书,盗空你的支付宝账户”,网上充斥着不少关于支付宝丢失后如何被攻陷的言论甚至是“攻略”。这无一不在向消费者暗示着一个信息:看好你的支付宝,先看好你的手机!

因此,我们决定假设这么一个测试场景:捡到一部手机,没有银行卡身份证等其他的任何东西,看看能攻陷多少层支付宝的安全防线,验证一下支付宝钱包是否真的像传说中那样脆弱?

验证问题1:如何知道该手机号能否登陆支付宝?

很简单,既然支付宝支持手机注册,只需在支付宝注册页面使用(捡到的)手机号(不要告诉我,你不知道手机号是多少?)进行注册验证:输入号码,阿里就能贴心的告诉你这个手机是否注册了支付宝(图1)。

验证问题2:光有手机,就能找回支付宝登录密码?

既然手机号码就是登陆号,接下来当然就是想办法搞到开门“钥匙”了。之前,网上不少贴都宣称,一个手机验证码就可以搞定支付宝登陆密码,那么是真的吗?

首先来到登陆页面,选择“忘记登记密码”(图2)。不过,在输入帐号及验证码后,与网上流传的方式有所不同的是:点击进去之后,除了手机号码和手机验证码之外,系统设置中取回密码还需要验证身份证信息,而并非只凭一个手机验证码就可以“通关”。好吧,现在从PC客户端似乎行不通了。不过,你不要忘了,支付宝还有个移动端应用——支付宝钱包。那么我们看看移动端能否光靠手机就能攻陷登陆密码这个关卡。在支付宝钱包输入“手机号”,输入短信上的验证码后并填入新登录密码(图3,4)。喜闻乐见,支付宝登录密码修改成功!而且经测试从移动端及PC端都可以正常登陆。

手机丢失将直接造成支付宝金钱损失?
图一

手机丢失将直接造成支付宝金钱损失?
图二

手机丢失将直接造成支付宝金钱损失?
图三

手机丢失将直接造成支付宝金钱损失?
图四

手机丢失将直接造成支付宝金钱损失?
图五

手机丢失将直接造成支付宝金钱损失?
图六

手机丢失将直接造成支付宝金钱损失?
图七

手机丢失将直接造成支付宝金钱损失?
图八

手机丢失将直接造成支付宝金钱损失?
图九

验证问题3:能否攻陷支付密码?

我们登陆该支付宝查看,不错,是个小土豪嘛,是不是有点心动?但要想把资金转出去,还得搞到支付密码,手机君再次出场(图5,6)。

这次我们发现,无论是PC端,还是移动端支付宝钱包,找回支付密码都需要身份信息(图7)。

看来,之前“一个手机搞定支付宝”已经成为了传说,依靠一只手机攻陷支付宝到支付密码的流言在这里得到了终结。不过,如果你是连着手机、身份证一起丢,那么你的资金安全就悬了!因为,只要知道身份信息,不仅支付密码、数字证书等等都可以轻易被攻陷,如果你的支付宝捆绑了银行卡或还开通了快捷支付,这样还将祸及银行资金的安全(图8)。

写在后:

总的来说,在目前看来,只丢了手机的话,支付宝钱的被盗的概率极低,至少要符合三大条件:手机丢失;开通手机号码登录功能;知道身份证信息。否则小偷顶多能去你支付宝里面看看,而无法偷走里面的东西。这就相当于小偷帮你把支付宝房间的锁直接换掉了,但无法把房间里金库的门打开。如果丢了手机、身份证或是泄露了相关信息,那就真的悲剧了。因此这也给了我们一个警示,那就是要养成保护好个人身份信息的习惯,不要轻易在网上泄露,同时钱包(身份证、银行卡)和手机好不能放在一个包中。此外,从我们的试验来看支付宝手机登录的确存在很大的隐私隐患,因此我们建议大家不要采用手机注册。而对于有邮箱和手机双帐号登录的支付宝用户,好是只保留邮箱登录,把手机登录的方式取消掉。想知道你的支付宝是否开通手机号登录很简单:登陆支付宝,进入“帐户设置-手机设置”页面即可(图9)。

要取消手机登录,支付宝官方提供的方法很麻烦,需要人工服务,而且还要提供一个新手机号。其实有一个较为简单的方法,我们可以先解绑手机,然后再重新绑定手机的方法来实现单纯取消手机登录而又不改变绑定手机号的目的。此外,要让自己的支付宝达到手机不丢就绝不出问题的安全境界,你好开通所有免费的安全手段,如开通了实名认证和使用了数字证书或者手机宝令、取消快捷支付功能。经过这样重重安保,使用支付宝等在线支付工具才能让你睡觉更为安心。

 

分享到:

用户评论

用户名:

密码: