1月10日早上,一則關(guān)于“熟人可以篡改你支付寶密碼”的消息在網(wǎng)絡(luò)流傳。有網(wǎng)友表示,只要登錄他人的支付寶賬號,選擇“忘記密碼”,就可以通過安全問題驗證(識別近期購買物品或好友)找回密碼,從而登陸別人的支付寶賬號。

  支付寶隨后回應(yīng)表示,通常情況下,用戶找回登錄密碼至少需要輸入手機(jī)短信驗證碼,只有對于部分暫時無法收到短信的用戶或者更換移動設(shè)備的用戶,風(fēng)控系統(tǒng)才會先進(jìn)行評估(比如賬戶信息完整程度、網(wǎng)絡(luò)環(huán)境等因素),并在安全系數(shù)較高的情況下,才讓用戶回答一系列安全問題,而且只有在回答正確后,才能修改登錄密碼。

  支付寶強(qiáng)調(diào),這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼,且一旦用戶支付寶在其他設(shè)備被登錄,本人設(shè)備會收到通知提醒。

  上海交通大學(xué)密碼與計算機(jī)安全實(shí)驗室 (LoCCS) 安全研究團(tuán)隊通過該問題進(jìn)行的全面安全測試,指出基于相關(guān)用戶信息的密碼重置方案盡管在特定場景下存在攻擊面,但是攻擊者的攻擊窗口受到實(shí)際情況限制較大,且在完成登陸后再進(jìn)行針對用戶財產(chǎn)的操作會被支付密碼進(jìn)一步限制,因此很多現(xiàn)有評估存在對安全威脅的夸大描述。

  另有安全專家對筆者表示,因為存在一些用戶在找回密碼時,會遇到無法收到短信等情況,在這種情況下通過安全問題進(jìn)行驗證,在業(yè)內(nèi)確實(shí)較為常見,用戶不必過于驚慌。此外,支付寶密碼分為登錄密碼和支付密碼,就算登錄密碼被重置,支付密碼也不會受到影響,用戶資金安全還是可以得到保障。

  支付寶同時表示,為了更好提升用戶的安全感,在接到網(wǎng)友反映后,支付寶已經(jīng)于10日上午進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級。目前,僅在用戶自己的手機(jī)上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。

  10日中午,筆者在征得一位同事同意后,在自己手機(jī)上試驗登陸他的支付寶賬戶,沒有出現(xiàn)回答安全問題的驗證方式,也無法通過這種途徑取得他的支付寶登錄密碼,而是要通過綁卡驗證、人臉識別等其他方式。

  安全專家表示,目前,很多人習(xí)慣丟失銀行卡、手機(jī)后會及時掛失。隨著移動互聯(lián)時代的到來,很多人的生活已與網(wǎng)絡(luò)賬戶息息相關(guān),網(wǎng)友們也應(yīng)當(dāng)建立起給網(wǎng)絡(luò)賬戶掛失的習(xí)慣,當(dāng)手機(jī)丟失,不僅需要給手機(jī)號碼掛失,也需要對手機(jī)綁定的網(wǎng)絡(luò)賬戶掛失。(每日經(jīng)濟(jì)新聞)