2017年04月07日 星期五

4步骤可登录好友支付宝? 支付宝表示:已升级安全验证方式

来源:广州日报 2017-01-11 10:52:12 记者:刘幸

支付宝发现致命新漏洞:陌生人有1/5的机会登录你的支付宝,而熟人100%可以登录你的支付宝,甚至可以不用原密码直接用手机号就可以更改。1月10日早上,一则关于“熟人可以篡改你支付宝密码”的消息在网络流传。有网友表示,只要登录他人的支付宝账号,选择“忘记密码”,就可以通过安全问题验证(识别近期购买物品或好友)找回密码,从而登陆别人的支付宝账号。

网友曝光:

4步骤可登录好友支付宝

按网友的说法,原理是这样的:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。经过测试,确实可行。

消息曝光后立刻刷了屏,毕竟这关乎到自己的财产安全。密码这么容易就被改了,细思极恐。

支付宝随后回应表示,通常情况下,用户找回登录密码至少需要输入手机短信验证码,只有对于部分暂时无法收到短信的用户或者更换移动设备的用户,风控系统才会先进行评估(比如账户信息完整程度、网络环境等因素),并在安全系数较高的情况下,才让用户回答一系列安全问题,而且只有在回答正确后,才能修改登录密码。

支付宝强调,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

立马升级:仅自己手机

才能识别近期购买的商品

上海交通大学密码与计算机安全实验室 (LoCCS) 安全研究团队通过该问题进行的全面安全测试,指出基于相关用户信息的密码重置方案尽管在特定场景下存在攻击面,但是攻击者的攻击窗口受到实际情况限制较大,且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制,因此很多现有评估存在对安全威胁的夸大描述。

另有安全专家对记者表示,因为存在一些用户在找回密码时,会遇到无法收到短信等情况,在这种情况下通过安全问题进行验证,在业内确实较为常见,用户不必过于惊慌。此外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。

支付宝同时表示,为了更好提升用户的安全感,在接到网友反映后,支付宝已经于10日上午进一步提高了风控系统的安全等级。目前,仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。10日中午,记者发现,在自己手机上试验登录别人的支付宝账户,没有出现回答安全问题的验证方式,也无法通过这种途径取得他的支付宝登录密码,而是要通过绑卡验证、人脸识别等其他方式。

当手机丢失怎么办?

安全专家表示,目前,很多人习惯丢失银行卡、手机后会及时挂失。随着移动互联时代的到来,很多人的生活已与网络账户息息相关,网友们也应当建立起给网络账户挂失的习惯,当手机丢失,不仅需要给手机号码挂失,也需要对手机绑定的网络账户挂失。

如果用户突然收到支付宝发来的验证码短信,说明有人尝试登录支付宝账号,可立刻进入支付宝客户端,通过“我的—设置—账户与安全—安全中心—急救包—快速挂失”或拨打支付宝服务热线挂失。

负责编辑:黎骏驰

版权声明:
• 凡注明“东莞时间网”的所有文字、图片、音视频、美术设计和程序等作品,版权均属东莞报业传媒集团所有。未经本网授权,不得进行一切形式的下载、转载或建立镜像。
• 您若对该稿件内容有任何疑问或质疑,请即与时间网联系,本网将迅速给您回应并做处理。
邮箱: (请将#替换成@) 处理时间:9:00—17:00
  • Copyright©Dongguan DailyAll Rights Reserved |
  • 东莞报业传媒集团新媒体中心版权所有  |
  • 粤B2-20090260  |
  • 法律顾问:广东理而行律师事务所