如果只是丟失手機(jī)的話，支付寶賬號(hào)還是比較安全的。但如果錢包也丟了，那就是大災(zāi)難。你的銀行卡很可能會(huì)分文不剩！根源在于支付寶令人發(fā)指的重置密碼機(jī)制。下面詳細(xì)解釋。

以下狀況發(fā)生的前提條件是你與支付寶關(guān)聯(lián)的手機(jī)，身份證和銀行卡這三樣?xùn)|西同時(shí)丟失，且銀行卡已開通快捷支付，支付寶可以用手機(jī)號(hào)登錄。構(gòu)成以上條件，則可以輕易盜取支付寶余額和開通快捷支付的銀行卡里的金額。

測(cè)試時(shí)間為2014.11.27.
支付寶錢包版本號(hào)：8.3 （iOS）

很多人的身份證和銀行卡都是同時(shí)放在錢包里的，我就是。

以我自己為例，假如錢包（內(nèi)有銀行卡與身份證）和手機(jī)同時(shí)丟失，那我的支付寶還安全嗎？不妨做個(gè)測(cè)試。

小偷打開支付寶時(shí)需要手勢(shì)密碼，有五次機(jī)會(huì)，直接無視，點(diǎn)擊忘記密碼，提示需要重新登錄，那么再次點(diǎn)擊忘記密碼，支付寶的重置登錄密碼如下圖，需要賬號(hào)（我們已經(jīng)假設(shè)了可以用手機(jī)號(hào)登錄，獲取了手機(jī)自然能拿到手機(jī)號(hào)），手機(jī)驗(yàn)證碼，身份證即可重置。此時(shí)，小偷就輕松地登錄你的支付寶了。

登錄.png

可是，只有登錄密碼是動(dòng)不了錢的。還需要重置支付密碼。在設(shè)置里可以找到重置支付密碼，這里會(huì)提示兩種找回支付密碼的途徑，一種是通過短信加密保問題，另一種是通過短信加銀行卡，選擇第二個(gè)，如下圖，只需要手機(jī)驗(yàn)證碼，綁定了快捷支付的銀行卡號(hào)，身份證就能重置支付密碼。

支付.png

至此，支付寶賬號(hào)完全淪陷，隨意輸個(gè)賬號(hào)轉(zhuǎn)個(gè)賬，成功。支付體驗(yàn)贊一個(gè)。

IMG_2784.png

這還沒完。假如錢包里還有其他未綁定支付寶的銀行卡，且這張卡在銀行的預(yù)留手機(jī)號(hào)與被偷的手機(jī)一致，那么賊人可以幫你把這些卡的快捷支付給開通了，開通快捷支付也和上面一樣，只需要手機(jī)號(hào)，銀行卡，身份證。然后你的錢包就徹底淪陷了。。

更恐怖的是手機(jī)加密也沒用，即使是逼格滿滿的Touch ID加持也阻擋不了。因?yàn)闃?gòu)成重置支付寶密碼的三要素中的手機(jī)并不是必要條件，手機(jī)里的sim 卡才是，所以不管你手機(jī)怎么加密，把sim 卡拔出來換部手機(jī)就能重復(fù)上述步驟了。

我們來看看問題出在哪？
我認(rèn)為最核心的問題是重置登錄密碼，重置支付密碼，開通快捷支付所需要的東西都是明文顯示在某一介質(zhì)上（銀行卡號(hào)，身份證號(hào)都是直接在卡顯示），而不需要其他隱蔽性更強(qiáng)的信息，如密保問題。雖然重置支付密碼時(shí)有密保選項(xiàng)，但不是唯一途徑。

作為用戶，面對(duì)如此隨便的重置密碼流程，應(yīng)該怎么增強(qiáng)防范呢？
我實(shí)在想不出什么好的方法，無非是看好手機(jī)，看好錢包。如發(fā)生丟失，要第一時(shí)間掛失手機(jī)卡，銀行卡，支付寶等，你是在跟小偷斗快。我會(huì)告訴你上面那個(gè)重置密碼加轉(zhuǎn)賬的流程執(zhí)行起來最快不到3分鐘嗎？

最后，希望支付寶能改進(jìn)重置密碼流程，目前的風(fēng)險(xiǎn)實(shí)在太高了。