支付宝又又又出幺蛾子了!
在距离支付宝“校园日记”圈子涉嫌软色情之后,支付宝近日又爆出了安全漏洞:熟人可登入篡改你的支付密码。
简单来说,这次的漏洞一个风险控制策略的缺失。具体实现的步骤如下:
1.登入手机支付宝,点击忘记密码
2.选择手机不在身边,无法接受短信
3.选择其他验证方法,如熟人验证和购买过的商品
4.重置密码
粗看上去,这似乎并不是一个漏洞,反而更像是一个:好友亲密度测试,只要你对那人足够的熟悉,你就可以获得登入权限。甚至在被大范围的爆出前,在网上的评论中,就已经能发现“应用场景”了。
事件爆发之后,官方账户很快给出了策略调整的解决方案:
基本上,你再想知道男女朋友/基友的账号密码是不太能够通过这种猜测的方式实现了。
要是你还是不放心自己的账号安全,可以通过以下的方式降低风险:
1.留意手机短信,有意外情况就及时挂失
只要点击找回密码,支付宝就会自动发短信到你绑定的手机中。如果你无缘无故收到找回密码的短信,那说明你的账号可能有风险。
此时你可以在「我的」-「设置」-「账户与安全」-「安全中心」-「急救包」中选择「快速挂失」,挂失后「资金不进不出,任何人无法登录」。
2. 购买支付宝账户安全险
在「我的」-「保险服务」-「财产」中可选择「手机资金安全险」,3元起。
3. 调低花呗额度
将花呗额度从最高,调到你需要的额度,万一账号真的被盗,也能尽可能减少损失。你可以在「我的」-「蚂蚁花呗」-「设置」-「额度设置」中进行设置。
说到底,支付宝还是想要做好社交平台,但是单单做好一个钱包工具就已经不容易了,现在还出现这个“熟人漏洞”,导致大家大面积的删除好友。支付宝做的社交可谓烧钱又挨骂。
不仅如此,我在支付宝的官方回应下面,还看见了这样一个评论:
看来搞社交这件事,连支付宝内部都怨声载道啊。
支付宝本身属于金融产品出生,金融产品最重要的无非是安全性和密闭性。但是支付宝在看见社交平台的用户黏性以后,恨不能摇身一变就成为微信。可是,作为一个支付工具软件,只要你安全、稳定、可靠、简便。你做好了,我自然就会用,而且我根本就不想然别人知道我最近买了什么东西,甚至每次我打开支付宝提示我又有人领取了你的绿色能量,我都觉得烦好吗!
那么,一个好的钱包工具或者说一个好的金融产品应该怎么保障我们的财产安全呢?
首先,应该明确的一点就是:安全性与便利性是一件相悖的事情,两者之间只能保持一种动态的平衡,不能两者皆得。就像小额免密支付,想要实现拿出手机即扫即付就要承担一旦账户被盗以后面临的财产损失问题。
不一样的产品面对的对象不一样,必然是要做出不一样的选择的。换句话说,要是今天这个忘记密码漏洞出现在微信身上可以算是漏洞吗?答案是否定的,因为微信最基础的是一个即时通信工具,当然可以通过选择好友来验证自己对的身份,而微信自身也的确是这么做的。
另外一点,就是作为一个金融产品安全性是要高于便捷性的。基于此,当我发现一个理财APP登入密码居然支付弱密码,果断地放弃了注册。安全应该是有层次的,给最重要的资产提供差别保护,为优先级信息资产提供有针对性的保护 。而“忘记密码”是一件“低频而重要”的事情,自然要是给便捷性让步的。可以看到支付宝为了提高用户体验度设想了很多场景,细致而繁密。但是要知道的是,你想的不一定就是用户实际上遇到的问题,有时候看似是完整复杂的闭环,通过不同的点去打通。而一旦打通,这一套所谓的保障系统就完全崩溃。
最后还是想问一句:
网友评论