支付宝密码安全保护问题设置(网曝支付宝漏洞)
经济观察网 记者 盖虹达1月10日上午,有网友发布了关于支付宝密码可被熟人更改的消息,称不需要原密码,只需要知道手机号就可以更改。
消息爆出后,许多用户开始进行验证,其中自媒体BiaNews称选择“忘记密码”后,在验证用户信息的环节有不同跳转界面,有的直接跳转到银行卡验证,会发送验证码到银行预留手机号码中,用户可以提高警惕借此防范。而有的则出现四种验证方式选择的界面,其中“回答与您有关的问题”会要求操作人选择购物情况和朋友头像,选择正确可以重置密码。如果与朋友很熟悉的情况下,这一操作并不难。
本网记者发动周围朋友参与测试,发现除上述情况外,还有相当一部分用户是通过非手机号的方式注册淘宝以后关联支付宝账户,这种情况下在支付宝登陆界面选择忘记密码后,系统进入重置登陆密码状态,需要输入账户(手机号/邮箱/淘宝会员名),但输入手机号,系统会提示“账号不存在”或者“当前输入的是淘宝账户名,你可以去手机淘宝上找回密码”。
针对上述情况,本网记者向支付宝求证,第一时间得到回复,以下内容为支付宝回应。
支付宝回应:
我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。”
这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com