如果只是丟失手機的話,支付寶賬號還是比較安全的。但如果錢包也丟了,那就是大災難。你的銀行卡很可能會分文不剩!根源在于支付寶令人發指的重置密碼機制。下面詳細解釋。
以下狀況發生的前提條件是你與支付寶關聯的手機,身份證和銀行卡這三樣東西同時丟失,且銀行卡已開通快捷支付,支付寶可以用手機號登錄。構成以上條件,則可以輕易盜取支付寶余額和開通快捷支付的銀行卡里的金額。
測試時間為2014.11.27.
支付寶錢包版本號:8.3 (iOS)
很多人的身份證和銀行卡都是同時放在錢包里的,我就是。
以我自己為例,假如錢包(內有銀行卡與身份證)和手機同時丟失,那我的支付寶還安全嗎?不妨做個測試。
小偷打開支付寶時需要手勢密碼,有五次機會,直接無視,點擊忘記密碼,提示需要重新登錄,那么再次點擊忘記密碼,支付寶的重置登錄密碼如下圖,需要賬號(我們已經假設了可以用手機號登錄,獲取了手機自然能拿到手機號),手機驗證碼,身份證即可重置。此時,小偷就輕松地登錄你的支付寶了。
可是,只有登錄密碼是動不了錢的。還需要重置支付密碼。在設置里可以找到重置支付密碼,這里會提示兩種找回支付密碼的途徑,一種是通過短信加密保問題,另一種是通過短信加銀行卡,選擇第二個,如下圖,只需要手機驗證碼,綁定了快捷支付的銀行卡號,身份證就能重置支付密碼。
至此,支付寶賬號完全淪陷,隨意輸個賬號轉個賬,成功。支付體驗贊一個。
這還沒完。假如錢包里還有其他未綁定支付寶的銀行卡,且這張卡在銀行的預留手機號與被偷的手機一致,那么賊人可以幫你把這些卡的快捷支付給開通了,開通快捷支付也和上面一樣,只需要手機號,銀行卡,身份證。然后你的錢包就徹底淪陷了。。
更恐怖的是手機加密也沒用,即使是逼格滿滿的Touch ID加持也阻擋不了。因為構成重置支付寶密碼的三要素中的手機并不是必要條件,手機里的sim 卡才是,所以不管你手機怎么加密,把sim 卡拔出來換部手機就能重復上述步驟了。
我們來看看問題出在哪?
我認為最核心的問題是重置登錄密碼,重置支付密碼,開通快捷支付所需要的東西都是明文顯示在某一介質上(銀行卡號,身份證號都是直接在卡顯示),而不需要其他隱蔽性更強的信息,如密保問題。雖然重置支付密碼時有密保選項,但不是唯一途徑。
作為用戶,面對如此隨便的重置密碼流程,應該怎么增強防范呢?
我實在想不出什么好的方法,無非是看好手機,看好錢包。如發生丟失,要第一時間掛失手機卡,銀行卡,支付寶等,你是在跟小偷斗快。我會告訴你上面那個重置密碼加轉賬的流程執行起來最快不到3分鐘嗎?
最后,希望支付寶能改進重置密碼流程,目前的風險實在太高了。
==========14.12.04 更新===================
感謝@Kynus 的設置pin碼的建議,是個好方法。
小偷需要知道你的手機號碼:
假如iPhone有密碼/Touch ID,
小偷想知道你的號碼,就只能換臺手機放入SIM;
這個時候建議大家都設置Pin碼,
小偷就無法在其他機器上用你的SIM卡;
iPhone設置方法:設置-電話-SIM卡PIN碼
希望大家保管好自己的東西!
感謝@書塵萌夫 的測試。我稍后也測試下更改網絡環境和支付環境的狀況。
安卓8.3測試成功……另發現有一個小額免密支付,當面付免密支付(不過測試賬號沒錢所以沒試),樓主所說有點道理。
但是:
查了些東西,和支付寶客服聊了下,首先明確:用自己的手機在熟悉的支付環境下,這樣測試是百分百成功的,這是客戶密碼重置的需要。其次,換手機之后是不行的,網絡環境和支付環境是不相同的,sim卡也不頂用。所以,別人要動你的錢,最低限度要求是原機同城會解鎖手機鎖屏,以上,大家不用擔心錢給了別人。相反,注意下自己人吧!
