1月10日早上,一則關(guān)于“熟人可以篡改你支付寶密碼”的消息在網(wǎng)絡(luò)流傳。有網(wǎng)友表示,只要登錄他人的支付寶賬號(hào),選擇“忘記密碼”,就可以通過安全問題驗(yàn)證(識(shí)別近期購買物品或好友)找回密碼,從而登陸別人的支付寶賬號(hào)。

  支付寶隨后回應(yīng)表示,通常情況下,用戶找回登錄密碼至少需要輸入手機(jī)短信驗(yàn)證碼,只有對(duì)于部分暫時(shí)無法收到短信的用戶或者更換移動(dòng)設(shè)備的用戶,風(fēng)控系統(tǒng)才會(huì)先進(jìn)行評(píng)估(比如賬戶信息完整程度、網(wǎng)絡(luò)環(huán)境等因素),并在安全系數(shù)較高的情況下,才讓用戶回答一系列安全問題,而且只有在回答正確后,才能修改登錄密碼。

  支付寶強(qiáng)調(diào),這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼,且一旦用戶支付寶在其他設(shè)備被登錄,本人設(shè)備會(huì)收到通知提醒。

  上海交通大學(xué)密碼與計(jì)算機(jī)安全實(shí)驗(yàn)室 (LoCCS) 安全研究團(tuán)隊(duì)通過該問題進(jìn)行的全面安全測試,指出基于相關(guān)用戶信息的密碼重置方案盡管在特定場景下存在攻擊面,但是攻擊者的攻擊窗口受到實(shí)際情況限制較大,且在完成登陸后再進(jìn)行針對(duì)用戶財(cái)產(chǎn)的操作會(huì)被支付密碼進(jìn)一步限制,因此很多現(xiàn)有評(píng)估存在對(duì)安全威脅的夸大描述。

  另有安全專家對(duì)筆者表示,因?yàn)榇嬖谝恍┯脩粼谡一孛艽a時(shí),會(huì)遇到無法收到短信等情況,在這種情況下通過安全問題進(jìn)行驗(yàn)證,在業(yè)內(nèi)確實(shí)較為常見,用戶不必過于驚慌。此外,支付寶密碼分為登錄密碼和支付密碼,就算登錄密碼被重置,支付密碼也不會(huì)受到影響,用戶資金安全還是可以得到保障。

  支付寶同時(shí)表示,為了更好提升用戶的安全感,在接到網(wǎng)友反映后,支付寶已經(jīng)于10日上午進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級(jí)。目前,僅在用戶自己的手機(jī)上,才能通過識(shí)別近期購買商品以及識(shí)別本人好友來找回登錄密碼,通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。

  10日中午,筆者在征得一位同事同意后,在自己手機(jī)上試驗(yàn)登陸他的支付寶賬戶,沒有出現(xiàn)回答安全問題的驗(yàn)證方式,也無法通過這種途徑取得他的支付寶登錄密碼,而是要通過綁卡驗(yàn)證、人臉識(shí)別等其他方式。

  安全專家表示,目前,很多人習(xí)慣丟失銀行卡、手機(jī)后會(huì)及時(shí)掛失。隨著移動(dòng)互聯(lián)時(shí)代的到來,很多人的生活已與網(wǎng)絡(luò)賬戶息息相關(guān),網(wǎng)友們也應(yīng)當(dāng)建立起給網(wǎng)絡(luò)賬戶掛失的習(xí)慣,當(dāng)手機(jī)丟失,不僅需要給手機(jī)號(hào)碼掛失,也需要對(duì)手機(jī)綁定的網(wǎng)絡(luò)賬戶掛失。(每日經(jīng)濟(jì)新聞)