“只要知道你支付宝里的好友,或者你最近在淘宝买了什么,就能随意更改你的支付宝登录密码。”昨日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这一瞬间似乎变成了带有“马赛克”的黑衣人,让所有支付宝使用者惴惴不安。不过,在此问题曝出之后,支付宝随即提高安全等级。但是一场安全性与便捷性平衡的话题,再度被推上了舆论的制高点。
网曝 登录密码被疑熟人可改
据此前媒体报道称,支付宝存在一个致命漏洞,即他人可以通过支付宝的“找回密码”重置你的支付宝登录密码,并表示“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”。
实际上,在新设备上登录支付宝时,通常需要用户重新输入密码才能进入支付宝。不过,在输入密码时,密码框下有一个“找回密码”的按钮。点击按钮之后,支付宝提供多种找回密码的方式,除了发送手机验证码之外,还有识别最近购买的东西或识别好友、回答安全性问题等选项。而后两者则主要是在“无法收到手机短信”的前提下进行的。
也就是说,如果别人知道最近你的购买记录、知道你的好友是谁,或者你设置的问题别人全部知道,就有可能通过这样的设定来修改支付宝的登录密码。
回应 支付宝迅速提高安全等级
对此,支付宝负责人向北京晨报记者回应,这一方式仅在特定情况下才会实现,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,不能完成支付。而所谓的特定条件,是支付宝会先对网络环境、账户信息完整程度等进行评估,安全系数高的情况下才会启动。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
不过,尽管对于自身安全体系信心满满,支付宝还是在昨日上午就提高了安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
进展 暂无因此失窃案例
支付宝表示,目前暂时还未收到因此而失窃的案例。那么支付宝安全事件又是否存在足以“致命”的隐患?
一位支付安全领域资深人士向北京晨报记者表示,如果这些信息别人都知道,的确有被盗的可能性。但他对于报道中所提及盗用数据有所质疑,他认为这还需要进一步的论证才能评判。“从以往的盗刷案件来讲,实行诈骗的往往会隐匿身份,熟人诈骗的可能性相对较低。”
在他看来,这样的问题是否“致命”,也要看在登录后是否拥有动用资金的权限。也就是说,如果登录之后可以大规模挪用资金,那么其安全风险就相当巨大。
对此支付宝表示,支付宝有两套密码体系,找回登录密码并不意味着能够找回支付密码。而在新设备登录后,即便是小额免密环节,也需要重新输入支付密码才能够继续使用。
分析 隐私保护不够致恐慌
既然并非是“致命”漏洞,为何还会引起如此巨大的社会关注?
支付安全领域资深人士表示,这可能源于原本“一对一”的认证信息被泛化了,所以引发了用户的不安。“比如密码或者手机验证信息,只有用户知道。但你购买了什么东西,或者你的好友有谁,很可能在不经意间将信息共享给了别人。”该资深人士解释道,知道答案的人不唯一,就出现了上述问题。
不过,在上海交通大学密码与计算机安全实验室主任谷大武看来,支付安全应该是“安全”与“隐私”并重,但往往在当下用户对于后者并不重视。“中国用户对于自己消费信息等隐私的保护不够,也造成了当下的恐慌。”
谷大武认为,其实这也是安全性与便捷性平衡的问题。支付安全与便捷性是矛盾的,一味追求安全,则可能导致在真实场景下不可用;但便捷性则可能会让安全性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。(北京晨报)