支付寶表示安全驗證方式已升級

本報訊(記者　朱奭雋)1月10日早上，一則關于“熟人可以篡改你支付寶密碼”的消息在網絡流傳。有網友表示，只要登錄他人的支付寶賬號，選擇“忘記密碼”，就可以通過安全問題驗證(識別近期購買物品或好友)找回密碼，從而登錄別人的支付寶賬號。

支付寶回應表示，通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼，只有對于部分暫時無法收到短信的用戶或者更換移動設備的用戶，風控系統才會先進行評估(比如賬戶信息完整程度、網絡環境等因素)，并在安全系數較高的情況下，才讓用戶回答一系列安全問題，而且只有在回答正確后，才能修改登錄密碼。另外，支付寶強調，僅通過回答安全問題并無法找回支付密碼，且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

上海交通大學密碼與計算機安全實驗室安全研究團隊通過該問題進行的全面安全測試，指出基于相關用戶信息的密碼重置方案盡管在特定場景下存在攻擊面，但是攻擊者的攻擊窗口受到實際情況限制較大，且在完成登錄后再進行針對用戶財產的操作會被支付密碼進一步限制，因此很多現有評估存在對安全威脅的夸大描述。

另有安全專家對記者表示，因為存在一些用戶在找回密碼時，會遇到無法收到短信等情況，在這種情況下通過安全問題進行驗證，在業內確實較為常見，用戶不必過于驚慌。此外，支付寶密碼分為登錄密碼和支付密碼，就算登錄密碼被重置，支付密碼也不會受到影響，用戶資金安全還是可以得到保障。

據了解，為了更好提升用戶的安全感，支付寶已經于10日上午進一步提高了風控系統的安全等級。目前，僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

安全專家表示，隨著移動互聯時代的到來，很多人的生活已與網絡賬戶息息相關，網友們也應當建立起給網絡賬戶掛失的習慣，當手機丟失，不僅需要給手機號碼掛失，也需要對手機綁定的網絡賬戶掛失。如果用戶突然收到支付寶發來的驗證碼短信，說明有人嘗試登錄支付寶賬號，可以立刻進入支付寶客戶端，通過“我的-設置-賬戶與安全-安全中心-急救包-快速掛失”或撥打支付寶服務熱線進行掛失。