熟人就能改支付宝密码？ 实验室：系夸大描述

本篇文章1479字，读完约4分钟

1月10日上午，一条关于“熟人可以篡改你的支付宝密码”的消息在网上流传。一些网友表示，只要登录到别人的支付宝账户，选择“忘记密码”，就可以通过安全验证找到自己的密码(识别最近购买的物品或朋友)，然后登录到别人的支付宝账户。

支付宝随后回应称，在正常情况下，用户至少应该输入手机短信验证码来检索自己的登录密码。只有对于一些暂时收不到短信的用户或更换移动设备的用户，风险控制系统才会首先进行评估(如账户信息的完整性、网络环境等因素)，让用户在安全系数较高时回答一系列安全问题，只有回答正确后才能修改登录密码。

支付宝强调，这种策略只能检索登录密码，但不能仅通过回答安全问题来检索支付密码，一旦用户支付宝登录到其他设备，他的设备将会收到通知提醒。

上海交通大学密码与计算机安全实验室(loccs)的安全研究小组就此问题进行了全面的安全测试，指出虽然基于相关用户信息的密码重置方案在特定场景下存在攻击面，但攻击者的攻击窗口受到实际情况的很大限制，登录完成后对用户财产的操作将进一步受到支付密码的限制，因此现有的许多评估都夸大了对安全威胁的描述。

另一位安全专家告诉媒体，由于在某些情况下，用户在检索密码时无法收到短信，因此在这种情况下，通过安全问题进行验证在业内相当普遍，因此用户不必过于惊慌。此外，支付宝密码分为登录密码和支付密码。即使重置登录密码，支付密码也不会受到影响，用户资金的安全性仍然可以得到保证。

支付宝还表示，为了更好地增强用户的安全感，支付宝在收到网友反馈后，于10日上午进一步提高了风控系统的安全级别。目前，只有在用户自己的手机上，才可以通过识别最近购买的商品和我的朋友来检索登录密码，但是这种方法不能应用于通过其他移动设备检索登录密码。

10日中午，在征得同事同意后，测试人员试图用手机登录他的支付宝账户。没有验证方法来回答安全问题，他无法通过这种方式获得自己的支付宝登录密码，只能通过其他方法，如卡绑定验证和人脸识别。

安全专家说，目前，许多人习惯于及时报告银行卡和手机的丢失。随着移动互联网时代的到来，许多人的生活都与在线账户密切相关。网民也应该养成报告网上账户丢失的习惯。当手机丢失时，不仅要报告手机号码的丢失，还要报告绑定到手机的在线账户的丢失。

例如，如果用户突然收到支付宝发送的验证码信息，表示有人试图登录支付宝账户，他可以立即进入支付宝客户端，通过“我的-设置-账户和安全-安全中心-急救包-快速挂失”或拨打支付宝服务热线95188进行挂失，这样可以防止任何人登录您的账户，防止资金流入流出。回复全文:

我们收到了网民的反馈，说我们可以通过识别朋友和最近购买的商品来找到支付宝的登录密码。

这种方法只能在某些情况下实现。通常，用户至少需要输入手机短信验证码来检索登录密码。对于一些暂时无法接收短信的用户或更换移动设备的用户，我们的风险控制系统将首先进行评估(如账户信息的完整性、网络环境等因素)。只有当安全系数较高时，用户才能回答一系列安全问题，只有当答案正确时，才能修改登录密码。

此策略只能检索登录密码，但不能仅通过回答安全问题来检索支付密码。一旦用户支付宝登录到其他设备，我的设备将收到一个通知提醒。

为了更好地增强用户的安全感，在收到网友反馈后，我们在10日上午进一步提高了风控系统的安全级别。目前，只有在用户自己的手机上，才可以通过识别最近购买的商品和我的朋友来检索登录密码，但是这种方法不能应用于通过其他移动设备检索登录密码。

我们也欢迎用户继续对我们的安全策略提出意见和建议，我们将根据您的反馈进一步完善和修改。

来源：搜狐微门户