支付宝漏洞引发的支付安全问题

采宝2017.01.12 14:44:00来源：杭州合言信息科技有限公司

马云社交心一直不死，在去年支付宝推出“圈子”引发热议，因为内容大胆奔放，一度被喻为“支付鸨”，但是不得不承认，支付宝通过这一事件进一步扩大了支付宝的社交影响力，也着实圈了一些粉。

然后近日的一则关于“熟人可以篡改你支付宝密码”的消息迅速传播。有网友表示，只要登录他人的支付宝账号，选择“忘记密码”，就可以通过安全问题验证找回密码，从而登录别人的支付宝账号。这消息一出，网友大为震惊，纷纷删粉。

支付宝也积极进行了回应，称在接到网友反映后，已对风控系统的安全等级进行了升级。

支付宝事后表示，熟人篡改密码这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码，且一旦用户支付宝在其他设备被登录，用户会收到通知提醒。

支付宝同时表示，在接到网友反映后，支付宝立即对风控系统的安全等级进行了提升。目前，仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

通常情况下，用户找回登录密码至少需要输入手机短信验证码，只有对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统才会先进行评估（比如账户信息完整程度、网络环境等因素），并在安全系数较高的情况下，让用户回答一系列安全问题，而且只有在回答正确后，才能修改登录密码。此外，支付宝密码分为登录密码和支付密码，就算登录密码被重置，支付密码也不会受到影响，用户资金安全还是可以得到保障。

上海交通大学指出基于相关用户信息的密码重置方案尽管在特定场景下存在攻击面，但是攻击者的攻击窗口受到实际情况限制较大，且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制，因此很多现有评估对安全威胁夸大描述。

尽管如此，杭州合言信息科技有限公司在这里提醒广大网友，在第三支付发展的如火如荼的今天，网络支付安全问题日益突出，尤其临近年末，各种金融诈骗层出不穷，广大网民在享受互联网金融带来的快捷和方便的同时，也应该时刻注意自己的支付信息安全，保护好自己的钱袋子。

相关阅读：2017微信支付正式严查违规！支付须正规授权