如果只是丢失手机的话,支付宝账号还是比较安全的。但如果钱包也丢了,那就是大灾难。你的银行卡很可能会分文不剩!根源在于支付宝令人发指的重置密码机制。下面详细解释。
以下状况发生的前提条件是你与支付宝关联的手机,身份证和银行卡这三样东西同时丢失,且银行卡已开通快捷支付,支付宝可以用手机号登录。构成以上条件,则可以轻易盗取支付宝余额和开通快捷支付的银行卡里的金额。
测试时间为2014.11.27.
支付宝钱包版本号:8.3 (iOS)
很多人的身份证和银行卡都是同时放在钱包里的,我就是。
以我自己为例,假如钱包(内有银行卡与身份证)和手机同时丢失,那我的支付宝还安全吗?不妨做个测试。
小偷打开支付宝时需要手势密码,有五次机会,直接无视,点击忘记密码,提示需要重新登录,那么再次点击忘记密码,支付宝的重置登录密码如下图,需要账号(我们已经假设了可以用手机号登录,获取了手机自然能拿到手机号),手机验证码,身份证即可重置。此时,小偷就轻松地登录你的支付宝了。
登录.png
可是,只有登录密码是动不了钱的。还需要重置支付密码。在设置里可以找到重置支付密码,这里会提示两种找回支付密码的途径,一种是通过短信加密保问题,另一种是通过短信加银行卡,选择第二个,如下图,只需要手机验证码,绑定了快捷支付的银行卡号,身份证就能重置支付密码。
支付.png
至此,支付宝账号完全沦陷,随意输个账号转个账,成功。支付体验赞一个。
IMG_2784.png
这还没完。假如钱包里还有其他未绑定支付宝的银行卡,且这张卡在银行的预留手机号与被偷的手机一致,那么贼人可以帮你把这些卡的快捷支付给开通了,开通快捷支付也和上面一样,只需要手机号,银行卡,身份证。然后你的钱包就彻底沦陷了。。
更恐怖的是手机加密也没用,即使是逼格满满的Touch ID加持也阻挡不了。因为构成重置支付宝密码的三要素中的手机并不是必要条件,手机里的sim 卡才是,所以不管你手机怎么加密,把sim 卡拔出来换部手机就能重复上述步骤了。
我们来看看问题出在哪?
我认为最核心的问题是重置登录密码,重置支付密码,开通快捷支付所需要的东西都是明文显示在某一介质上(银行卡号,身份证号都是直接在卡显示),而不需要其他隐蔽性更强的信息,如密保问题。虽然重置支付密码时有密保选项,但不是唯一途径。
作为用户,面对如此随便的重置密码流程,应该怎么增强防范呢?
我实在想不出什么好的方法,无非是看好手机,看好钱包。如发生丢失,要第一时间挂失手机卡,银行卡,支付宝等,你是在跟小偷斗快。我会告诉你上面那个重置密码加转账的流程执行起来最快不到3分钟吗?
最后,希望支付宝能改进重置密码流程,目前的风险实在太高了。
==========14.12.04 更新===================
感谢@Kynus 的设置pin码的建议,是个好方法。
小偷需要知道你的手机号码:
假如iPhone有密码/Touch ID,
小偷想知道你的号码,就只能换台手机放入SIM;
这个时候建议大家都设置Pin码,
小偷就无法在其他机器上用你的SIM卡;
iPhone设置方法:设置-电话-SIM卡PIN码
希望大家保管好自己的东西!
感谢@书尘萌夫 的测试。我稍后也测试下更改网络环境和支付环境的状况。
安卓8.3测试成功……另发现有一个小额免密支付,当面付免密支付(不过测试账号没钱所以没试),楼主所说有点道理。
但是:
查了些东西,和支付宝客服聊了下,首先明确:用自己的手机在熟悉的支付环境下,这样测试是百分百成功的,这是客户密码重置的需要。其次,换手机之后是不行的,网络环境和支付环境是不相同的,sim卡也不顶用。所以,别人要动你的钱,最低限度要求是原机同城会解锁手机锁屏,以上,大家不用担心钱给了别人。相反,注意下自己人吧!
网友评论
但是:
查了些东西,和支付宝客服聊了下,首先明确:用自己的手机在熟悉的支付环境下,这样测试是百分百成功的,这是客户密码重置的需要。其次,换手机之后是不行的,网络环境和支付环境是不相同的,sim卡也不顶用。所以,别人要动你的钱,最低限度要求是原机同城会解锁手机锁屏,以上,大家不用担心钱给了别人。相反,注意下自己人吧! @黑八先生 按照三分钟流程,也就是只要你人离开钱包三分钟,三个要件齐全,那么等你回来随时都会余额清空,神不知鬼不觉。现实中搞到一个人身份证和银行卡信息很简单,再借个手机就更简单了,除了警惕小偷,熊孩子拿你手机冲个点卡开个钻你都不知道。
手机手势解锁复杂点,捡到手机,进入不了手机怎么办?哦,你说刷机或者拿出sim卡换手机。这个时候,设置个sim卡的pin码,你还能有什么办法呢???
其实,我倒是觉得没有几个人会随身带着身份证的,手机、钱、银行卡可以说天天用的,你说身份证天天带着做什么呢?反正我的同事和朋友没有见过一个天天带身份证的。