“如果你的手机丢了,任何人仅凭借手机接收到的校验码就能找回你的支付宝密码,解除你的数字证书,盗空你的支付宝账户”,网上充斥着不少关于支付宝丢失后如何被攻陷的言论甚至是“攻略”。这无一不在向消费者暗示着一个信息:看好你的支付宝,先看好你的手机!
因此,我们决定假设以下测试场景:
1、捡到一部手机,没有银行卡身份证等其他的任何东西,看看能攻陷多少层支付宝的安全防线;
2、同时捡到手机和身份证,看看能攻陷多少层支付宝的安全防线。
如何知道该手机号能否登陆支付宝?
既然支付宝支持手机注册,只需在支付宝注册页面使用(捡到的)手机号进行注册验证:输入号码,阿里就能贴心的告诉你这个手机是否注册了支付宝。
光有手机,就能找回支付宝登录密码?
既然手机号码已经注册了支付宝,接下来就是想办法搞到开门“钥匙”了。之前,网上不少贴子都宣称,一个手机验证码就可以搞定支付宝登陆密码,是真的吗?
首先来到登陆页面,选择“忘记登记密码”。不过,在输入帐号及验证码后,除了手机号码和手机验证码之外,系统设置中取回密码还需要验证身份证信息,而并非只凭一个手机验证码就可以“通关”。PC客户端似乎行不通了。
经笔者亲自验证,现在手机端支付宝钱包修改密码也需要验证身份信息(输入完整身份证号)
攻陷登陆密码后能否继续攻陷支付密码?
其实到这里一般小偷也就放弃了,但我们假定小偷同时得到了你的身份证的话,看看能不能转走你的资金吧。
根据前面分析,小偷获得了你的身份证,那么登录密码就能修改了,也就是说可以正常查看你支付宝里面的资金状况了。不过想要转出去的话,还需要搞到支付密码,下面来看小偷能否通过手机+身份证修改支付密码。
这次我们发现,无论是PC端,还是移动端支付宝钱包,找回支付密码与找回登录密码是完全不同的。它需要密保问题或者银行卡卡号,后者还需要身份证信息。
一般来说,密保问题的安全系数还是很高的,支付宝里绑定的银行卡号也经过*号处理,小偷无法获取。因此手机丢失支付宝被转走的难度非常大。
看来,之前“一个手机搞定支付宝”已经成为了传说,依靠一只手机攻陷支付宝到支付密码的流言在这里得到了终结。即使你连着手机、身份证一起丢,那么你的资金也足够安全!
我们的建议:
总的来说,在目前看来,丢了手机的话,完全不必担心支付宝的钱被盗;就算身份证一起丢失,小偷顶多也就是进去转转,但钱是很难转走的。
不过,目前人们的信息泄露甚至买卖也是有的,一些技术更高的小偷可能会通过某些渠道查到你的身份证和银行卡号,通过社会工程学破解你的密保问题(比如你爸爸的名字,而你是照实填写的)。因此,对于有邮箱和手机双帐号登录的支付宝用户,我们建议只保留邮箱登录,把手机登录的方式取消掉。想知道你的支付宝是否开通手机号登录很简单:登陆支付宝,进入“帐户设置-手机设置”页面即可。
此外,要让自己的支付宝达到手机不丢就绝不出问题的安全境界,最好开通所有免费的安全手段,如开通实名认证和使用数字证书或者手机宝令、取消快捷支付功能(安全方便不能两全,大家看着办吧)。经过这样重重安保,使用支付宝等在线支付工具才能让你睡觉更为安心。
如果手机确实丢了,在发现丢失的第一时间里,进行手机卡锁定,这样小偷就不能获取到验证码,如果每笔支付都需要短信验证码的话,资金就很安全了。点击查看手机卡锁定方法(联通卡为例)。