1月10日早上,一则关于“熟人可以篡改你支付宝密码”的消息在网络流传。有网友表示,只要登录他人的支付宝账号,选择“忘记密码”,就可以通过安全问题验证(识别近期购买物品或好友)找回密码,从而登录别人的支付宝账号。
支付宝随后回应表示,通常情况下,用户找回登录密码至少需要输入手机短信验证码,只有对于部分暂时无法收到短信的用户或者更换移动设备的用户,风控系统才会先进行评估(比如账户信息完整程度、网络环境等因素),并在安全系数较高的情况下,才让用户回答一系列安全问题,而且只有在回答正确后,才能修改登录密码。
支付宝强调,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
安全专家: 安全威胁被夸大 不必过于惊慌
上海交通大学密码与计算机安全实验室 (LoCCS) 安全研究团队通过该问题进行的全面安全测试,指出基于相关用户信息的密码重置方案尽管在特定场景下存在攻击面,但是攻击者的攻击窗口受到实际情况限制较大,且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制,因此很多现有评估存在对安全威胁的夸大描述。
另有安全专家对记者表示,因为存在一些用户在找回密码时,会遇到无法收到短信等情况,在这种情况下通过安全问题进行验证,在业内确实较为常见,用户不必过于惊慌。此外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。