昨天,一則“手機丟失?你的支付寶就完瞭!”的帖子在微博上瘋轉。該帖稱,手機丟失後被他人拾獲,隻利用手機校驗碼等手段,支付密碼將被破解。支付寶於昨天下午回應稱支付寶安全沒有問題。《法制晚報》記者對網傳內容進行實驗發現,網傳帖子並不靠譜。
網傳“手機丟失後支付寶易被盜” 記者實驗發現電腦和手機客戶端都需輸入身份證號——
靠校驗碼 盜不瞭支付寶
除瞭手機校驗碼,獲取支付寶密碼還需知曉機主的身份證號。如果不是知曉機主身份證號的“熟人”,將無法提取支付寶錢財。
事件
手機校驗碼
破解支付寶密碼?
這條微博稱,如果支付寶關聯瞭銀行卡,手機丟瞭後,撿到手機的人隻需通過手機校驗碼,就能獲取登錄密碼、解除移動數字證書認證並獲得支付密碼。
對此,支付寶昨天下午4時許,通過官微發出一條落款為“小微金融服務集團首席風險官胡曉明”的長微博。
胡曉明表示,“如果真有別人撿到你的手機,想在別的電腦上找回你的支付寶密碼,他一定需要‘手機校驗碼+身份證信息’等更高安全級別的校驗,絕對不可能僅通過一個手機校驗碼就找回你的密碼。”
實驗
步驟1:嘗試電腦破解密碼
記者按照網傳帖子所述,在非記者本人的電腦上登錄支付寶。點擊“忘記密碼”,進入的頁面要求輸入手機號和電腦校驗碼,輸入後出現“手機校驗碼+身份證號驗證”和“人工驗證”兩個選項。記者點擊前者,進入頁面後發現,不僅需要輸入手機校驗碼,而且還要輸入身份證號,如果不輸入身份證號,則無法點擊“下一步”。
步驟2:嘗試手機客戶端破解密碼
電腦上不輸身份證號無法繼續,在手機客戶端上,又是如何驗證的?記者在手機客戶端上,嘗試登錄支付寶,首先要輸入手勢密碼。記者選擇“忘記手勢密碼”,頁面彈出“需要重新登錄”對話框。
記者點擊後,出現賬號登錄頁面,需輸入登錄密碼,記者選擇“忘記登錄密碼”,頁面給出瞭三個選項找回密碼:“手機校驗碼+證件號碼的方式”、“通過安全保護問題”、“通過人工服務”。而網傳帖子中隻出現“手機校驗碼”方式,而並非記者體驗中給出的三個選項。
步驟3:嘗試驗證身份信息
記者選擇第一個選項後,手機的確收到一條有6位數字校驗碼的短信,輸入校驗碼後點擊下一步,進入“找回密碼”頁面,此時,要求填寫身份證號碼。
可見,如果不知道機主身份證號,操作將無法繼續,網傳帖子的其餘步驟也無法進行。
步驟4:
嘗試支付寶在未綁定手機的情況下破解密碼
記者更換一部手機,且解除支付寶賬號的手機綁定,重復步驟1、2。記者在選擇“忘記登錄密碼”後,頁面提示需要到網頁版的支付寶上繼續後續步驟,並且依然需要身份證號等信息,依然無法獲取密碼。
實驗結果:手機丟失後,如果不是知曉失主身份證號碼的“熟人”,陌生人拾獲手機後,造成支付寶賬戶資金被盜的可能性極小。
針對網傳的支付寶風險,胡曉明稱,最大的問題是木馬病毒釣魚網站,尤其是手機上,99%的被盜跟此相關,其餘是用戶被騙,而不是因為丟失手機。
據360手機衛士檢測, 2013年新增手機木馬數約67.1萬個,比2012年增長瞭4.4倍。2013年全年共監測到Android用戶感染惡意程序9747萬人次,較2012年全年的5175萬人次增長瞭88.3%。
為瞭確保安全,支付寶稱,手機丟失之後,應該第一時間打電話給手機運營商掛失SIM卡,以防被用於其他用途;其次如果有銀行卡、支付寶等的綁定,也應該及時打電話給上述服務商,進行相關業務的凍結。還可以用電腦登錄支付寶賬戶,關閉無線支付開關,這樣手機、iPad等無線終端設備的支付功能將全部關閉。
Orignal From: 支付寶密碼破解:僅靠校驗碼不會成功
留言列表
