如果只是丟失手機(jī)的話,支付寶賬號(hào)還是比較安全的。但如果錢包也丟了,那就是大災(zāi)難。你的銀行卡很可能會(huì)分文不剩!根源在于支付寶令人發(fā)指的重置密碼機(jī)制。下面詳細(xì)解釋。 以下狀況發(fā)生的前提條件是你與支付寶關(guān)聯(lián)的手機(jī),身份證和銀行卡這三樣?xùn)|西同時(shí)丟失,且銀行卡已開通快捷支付,支付寶可以用手機(jī)號(hào)登錄。構(gòu)成以上條件,則可以輕易盜取支付寶余額和開通快捷支付的銀行卡里的金額。 測(cè)試時(shí)間為2014.11.27. 很多人的身份證和銀行卡都是同時(shí)放在錢包里的,我就是。 以我自己為例,假如錢包(內(nèi)有銀行卡與身份證)和手機(jī)同時(shí)丟失,那我的支付寶還安全嗎?不妨做個(gè)測(cè)試。 小偷打開支付寶時(shí)需要手勢(shì)密碼,有五次機(jī)會(huì),直接無視,點(diǎn)擊忘記密碼,提示需要重新登錄,那么再次點(diǎn)擊忘記密碼,支付寶的重置登錄密碼如下圖,需要賬號(hào)(我們已經(jīng)假設(shè)了可以用手機(jī)號(hào)登錄,獲取了手機(jī)自然能拿到手機(jī)號(hào)),手機(jī)驗(yàn)證碼,身份證即可重置。此時(shí),小偷就輕松地登錄你的支付寶了。 登錄.png
可是,只有登錄密碼是動(dòng)不了錢的。還需要重置支付密碼。在設(shè)置里可以找到重置支付密碼,這里會(huì)提示兩種找回支付密碼的途徑,一種是通過短信加密保問題,另一種是通過短信加銀行卡,選擇第二個(gè),如下圖,只需要手機(jī)驗(yàn)證碼,綁定了快捷支付的銀行卡號(hào),身份證就能重置支付密碼。 支付.png
至此,支付寶賬號(hào)完全淪陷,隨意輸個(gè)賬號(hào)轉(zhuǎn)個(gè)賬,成功。支付體驗(yàn)贊一個(gè)。 IMG_2784.png
這還沒完。假如錢包里還有其他未綁定支付寶的銀行卡,且這張卡在銀行的預(yù)留手機(jī)號(hào)與被偷的手機(jī)一致,那么賊人可以幫你把這些卡的快捷支付給開通了,開通快捷支付也和上面一樣,只需要手機(jī)號(hào),銀行卡,身份證。然后你的錢包就徹底淪陷了。。 更恐怖的是手機(jī)加密也沒用,即使是逼格滿滿的Touch ID加持也阻擋不了。因?yàn)闃?gòu)成重置支付寶密碼的三要素中的手機(jī)并不是必要條件,手機(jī)里的sim 卡才是,所以不管你手機(jī)怎么加密,把sim 卡拔出來換部手機(jī)就能重復(fù)上述步驟了。 我們來看看問題出在哪? 作為用戶,面對(duì)如此隨便的重置密碼流程,應(yīng)該怎么增強(qiáng)防范呢? 最后,希望支付寶能改進(jìn)重置密碼流程,目前的風(fēng)險(xiǎn)實(shí)在太高了。 |
|