熟人能盜支付寶賬號？筆者親測行不通

　　1月10日早上，一則關於“熟人可以篡改你支付寶密碼”的消息在網絡流傳。有網友表示，隻要登錄他人的支付寶賬號，選擇“忘記密碼”，就可以通過安全問題驗証（識別近期購買物品或好友）找回密碼，從而登陸別人的支付寶賬號。

　　支付寶隨后回應表示，通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗証碼，隻有對於部分暫時無法收到短信的用戶或者更換移動設備的用戶，風控系統才會先進行評估（比如賬戶信息完整程度、網絡環境等因素），並在安全系數較高的情況下，才讓用戶回答一系列安全問題，而且隻有在回答正確后，才能修改登錄密碼。

　　支付寶強調，這一策略隻能找回登錄密碼，僅通過回答安全問題並無法找回支付密碼，且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

　　上海交通大學密碼與計算機安全實驗室 （LoCCS） 安全研究團隊通過該問題進行的全面安全測試，指出基於相關用戶信息的密碼重置方案盡管在特定場景下存在攻擊面，但是攻擊者的攻擊窗口受到實際情況限制較大，且在完成登陸后再進行針對用戶財產的操作會被支付密碼進一步限制，因此很多現有評估存在對安全威脅的夸大描述。

　　另有安全專家對筆者表示，因為存在一些用戶在找回密碼時，會遇到無法收到短信等情況，在這種情況下通過安全問題進行驗証，在業內確實較為常見，用戶不必過於驚慌。此外，支付寶密碼分為登錄密碼和支付密碼，就算登錄密碼被重置，支付密碼也不會受到影響，用戶資金安全還是可以得到保障。

　　支付寶同時表示，為了更好提升用戶的安全感，在接到網友反映后，支付寶已經於10日上午進一步提高了風控系統的安全等級。目前，僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

　　10日中午，筆者在征得一位同事同意后，在自己手機上試驗登陸他的支付寶賬戶，沒有出現回答安全問題的驗証方式，也無法通過這種途徑取得他的支付寶登陸密碼，而是要通過綁卡驗証、人臉識別等其他方式。

　　安全專家表示，目前，很多人習慣丟失銀行卡、手機后會及時挂失。隨著移動互聯時代的到來，很多人的生活已與網絡賬戶息息相關，網友們也應當建立起給網絡賬戶挂失的習慣，當手機丟失，不僅需要給手機號碼挂失，也需要對手機綁定的網絡賬戶挂失。

　　文/夏涵文