<

熟人篡改支付宝密码 很难!

来源:北京晨报2017-01-11

  北京晨报讯(记者 姜樊 刘映花)“只要知道你支付宝里的好友,或者你最近在淘宝买了什么,就能随意更改你的支付宝登录密码。”10日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这一瞬间似乎变成了带有“马赛克”的黑衣人,让所有支付宝使用者惴惴不安。不过,在此问题曝出之后,支付宝随即提高安全等级。但是一场安全性与便捷性平衡的话题,再度被推上了舆论的制高点。

  网曝 登录密码被疑熟人可改

  据此前媒体报道称,支付宝存在一个致命漏洞,即他人可以通过支付宝的“找回密码”重置你的支付宝登录密码,并表示“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”。

  实际上,在新设备上登录支付宝时,通常需要用户重新输入密码才能进入支付宝。不过,在输入密码时,密码框下有一个“找回密码”的按钮。点击按钮之后,支付宝提供多种找回密码的方式,除了发送手机验证码之外,还有识别最近购买的东西或识别好友、回答安全性问题等选项。而后两者则主要是在“无法收到手机短信”的前提下进行的。

  也就是说,如果别人知道最近你的购买记录、知道你的好友是谁,或者你设置的问题别人全部知道,就有可能通过这样的设定来修改支付宝的登录密码。

  回应 支付宝迅速提高安全等级

  对此,支付宝负责人向北京晨报记者回应,这一方式仅在特定情况下才会实现,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,不能完成支付。而所谓的特定条件,是支付宝会先对网络环境、账户信息完整程度等进行评估,安全系数高的情况下才会启动。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  不过,尽管对于自身安全体系信心满满,支付宝还是在昨日上午就提高了安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  进展 暂无因此失窃案例

  支付宝表示,目前暂时还未收到因此而失窃的案例。那么支付宝安全事件又是否存在足以“致命”的隐患?

  一位支付安全领域资深人士向北京晨报记者表示,如果这些信息别人都知道,的确有被盗的可能性。但他对于报道中所提及盗用数据有所质疑,他认为这还需要进一步的论证才能评判。“从以往的盗刷案件来讲,实行诈骗的往往会隐匿身份,熟人诈骗的可能性相对较低。”

  在他看来,这样的问题是否“致命”,也要看在登录后是否拥有动用资金的权限。也就是说,如果登录之后可以大规模挪用资金,那么其安全风险就相当巨大。

  对此支付宝表示,支付宝有两套密码体系,找回登录密码并不意味着能够找回支付密码。而在新设备登录后,即便是小额免密环节,也需要重新输入支付密码才能够继续使用。

  分析 隐私保护不够致恐慌

  既然并非是“致命”漏洞,为何还会引起如此巨大的社会关注?

  支付安全领域资深人士表示,这可能源于原本“一对一”的认证信息被泛化了,所以引发了用户的不安。“比如密码或者手机验证信息,只有用户知道。但你购买了什么东西,或者你的好友有谁,很可能在不经意间将信息共享给了别人。”该资深人士解释道,知道答案的人不唯一,就出现了上述问题。

  不过,在上海交通大学密码与计算机安全实验室主任谷大武看来,支付安全应该是“安全”与“隐私”并重,但往往在当下用户对于后者并不重视。“中国用户对于自己消费信息等隐私的保护不够,也造成了当下的恐慌。”

  谷大武认为,其实这也是安全性与便捷性平衡的问题。支付安全与便捷性是矛盾的,一味追求安全,则可能导致在真实场景下不可用;但便捷性则可能会让安全性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。

相关新闻
精品栏目

爱心妈咪小屋化尴尬

他们的生命 与热血相伴

探秘云阳恐龙化石群

避暑就去川河盖景区

热门推荐

楚乔传群演来头不小

她们20岁长这样

桑巴狂欢节

儿女双全的明星

刘恺威接机长腿杨幂

谢霆锋招厨神比拼厨艺

新闻 |  问政 |  资讯 |  百事通

华龙网 www.cqnews.net 触屏版 | 电脑版

Copyright ©2000-2015 CQNEWS Corporation,
All Rights Reserved.
首页 | 新闻 原创 视听 | 问政 评论 社区 | 区县 娱乐 财经 | 旅游 亲子 直播 | 文艺 教育 科普 安监 | 房产 健康 汽车 | 取证 宅购 地图 | 麻哥辣妹 3c家居 hello重庆
  • 站内
站内
分享
新浪微博
腾讯微博
微信
QQ空间
QQ好友
手机阅读分享话题

熟人篡改支付宝密码 很难!

2017-01-11 11:29:38 来源: 0 条评论
【摘要】 10日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。

  北京晨报讯(记者 姜樊 刘映花)“只要知道你支付宝里的好友,或者你最近在淘宝买了什么,就能随意更改你的支付宝登录密码。”10日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这一瞬间似乎变成了带有“马赛克”的黑衣人,让所有支付宝使用者惴惴不安。不过,在此问题曝出之后,支付宝随即提高安全等级。但是一场安全性与便捷性平衡的话题,再度被推上了舆论的制高点。

  网曝 登录密码被疑熟人可改

  据此前媒体报道称,支付宝存在一个致命漏洞,即他人可以通过支付宝的“找回密码”重置你的支付宝登录密码,并表示“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”。

  实际上,在新设备上登录支付宝时,通常需要用户重新输入密码才能进入支付宝。不过,在输入密码时,密码框下有一个“找回密码”的按钮。点击按钮之后,支付宝提供多种找回密码的方式,除了发送手机验证码之外,还有识别最近购买的东西或识别好友、回答安全性问题等选项。而后两者则主要是在“无法收到手机短信”的前提下进行的。

  也就是说,如果别人知道最近你的购买记录、知道你的好友是谁,或者你设置的问题别人全部知道,就有可能通过这样的设定来修改支付宝的登录密码。

  回应 支付宝迅速提高安全等级

  对此,支付宝负责人向北京晨报记者回应,这一方式仅在特定情况下才会实现,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,不能完成支付。而所谓的特定条件,是支付宝会先对网络环境、账户信息完整程度等进行评估,安全系数高的情况下才会启动。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  不过,尽管对于自身安全体系信心满满,支付宝还是在昨日上午就提高了安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  进展 暂无因此失窃案例

  支付宝表示,目前暂时还未收到因此而失窃的案例。那么支付宝安全事件又是否存在足以“致命”的隐患?

  一位支付安全领域资深人士向北京晨报记者表示,如果这些信息别人都知道,的确有被盗的可能性。但他对于报道中所提及盗用数据有所质疑,他认为这还需要进一步的论证才能评判。“从以往的盗刷案件来讲,实行诈骗的往往会隐匿身份,熟人诈骗的可能性相对较低。”

  在他看来,这样的问题是否“致命”,也要看在登录后是否拥有动用资金的权限。也就是说,如果登录之后可以大规模挪用资金,那么其安全风险就相当巨大。

  对此支付宝表示,支付宝有两套密码体系,找回登录密码并不意味着能够找回支付密码。而在新设备登录后,即便是小额免密环节,也需要重新输入支付密码才能够继续使用。

  分析 隐私保护不够致恐慌

  既然并非是“致命”漏洞,为何还会引起如此巨大的社会关注?

  支付安全领域资深人士表示,这可能源于原本“一对一”的认证信息被泛化了,所以引发了用户的不安。“比如密码或者手机验证信息,只有用户知道。但你购买了什么东西,或者你的好友有谁,很可能在不经意间将信息共享给了别人。”该资深人士解释道,知道答案的人不唯一,就出现了上述问题。

  不过,在上海交通大学密码与计算机安全实验室主任谷大武看来,支付安全应该是“安全”与“隐私”并重,但往往在当下用户对于后者并不重视。“中国用户对于自己消费信息等隐私的保护不够,也造成了当下的恐慌。”

  谷大武认为,其实这也是安全性与便捷性平衡的问题。支付安全与便捷性是矛盾的,一味追求安全,则可能导致在真实场景下不可用;但便捷性则可能会让安全性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。

看天下
[责任编辑: 王玲 ]
发言请遵守新闻跟帖服务协议
精彩视频
版权声明:
联系方式:重庆华龙网集团有限公司 咨询电话:60367951
①重庆日报报业集团授权华龙网,在互联网上使用、发布、交流集团14报1刊的新闻信息。未经本网授权,不得转载、摘编或利用其它方式使用重庆日报报业集团任何作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:华龙网”或“来源:华龙网-重庆XX”。违反上述声明者,本网将追究其相关法律责任。
② 凡本网注明“来源:华龙网”的作品,系由本网自行采编,版权属华龙网。未经本网授权,不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:华龙网”。违反上述声明者,本网将追究其相关法律责任。
附:重庆日报报业集团14报1刊:重庆日报 重庆晚报 重庆晨报 重庆商报 时代信报 新女报 健康人报 重庆法制报 三峡都市报 巴渝都市报 武陵都市报 渝州服务导报 人居周报 都市热报 今日重庆
>