《經(jīng)濟半小時》釋疑：手機丟失 支付寶依然安全

支付寶支付安全測試

申迪：支付寶一般之前開始的時候，會有這樣的一個解鎖界面，就是它有一個圖形解鎖，但是對于攻擊者來說，肯定不知道這個界面，第一步就要選擇忘記這個手勢密碼。那比如說對于攻擊者來說，肯定就不知道這個界面，所以他選擇忘記手勢密碼，他當(dāng)然點擊這個時候，就會進入到下一步界面。這時候支付寶就提示重新登錄。然后這個時候，就可以輸入數(shù)字類型的密碼了，這個密碼他當(dāng)然也不知道了。

相比較微信綁定銀行卡的程序，支付寶在一開始登陸的時候，就需要用戶輸入密碼，雖然安全程度和復(fù)雜程度更高，但這個密碼是否又能夠被破解呢?

申迪：比如說需要知道帳戶名，你看我們在初始界面的時候，其實這個帳戶名是被隱藏了一部分的，并不是一個完整帳戶名，那么就需要點擊忘記密碼，需要一個完整的用戶名，當(dāng)然很有可能是一個手機號，所以這一步是可以繞過的，那比如說我現(xiàn)在輸入一個本機的手機號。

研究人員提醒我們，由于在現(xiàn)實操作中，很多消費者將自己的手機號碼設(shè)定為賬戶名，因此這次試驗就模擬了這種常見的情況，研究人員在賬戶一欄輸入手機號碼后，然后發(fā)送短信獲取手機的驗證碼。

申迪：驗證碼會發(fā)到這個手機賬號本身上，當(dāng)然在撿到這部手機的情況下，就可以把驗證碼拿到了，那么進入下一步。但是下一步還有一個驗證，就是身份證號。需要知道這部手機機主的身份證號，對于這一步來說，就和微信是同一種情況下，就是說這個身份證號還是很難拿到。等于說攻擊者到這一步就沒有辦法了。

修改登錄密碼需要驗證身份證

環(huán)節(jié)測試到這里，如果沒有獲得正確的身份證號碼的話，支付寶的登陸密碼也無法進行修改，為了進一步測試，記者假定手機獲得者能夠得到身份證信息，在修改了登陸密碼后，記者成功地登陸了這部手機上的支付寶的界面。賬號里的資金情況開始一清二楚。

申迪：資金帳戶余額沒有，銀行卡里面有三張，然后余額寶里有錢。

央視財經(jīng)《經(jīng)濟半小時》記者：余額寶里面有多少錢?

申迪： 有三萬塊錢。

看到了支付寶里有錢，但這樣是否就能夠消費或者轉(zhuǎn)移這三萬多元錢呢?

申迪：在支付寶做任何操作，只要涉及到金錢轉(zhuǎn)出、轉(zhuǎn)入相關(guān)的，都會給你這個提示，都會輸入這個支付密碼。找回支付密碼是需要條件的，這里面提供兩種方式，一種是通過短信，加上這個安保問題，一種就是短信，加上這個你存到的快捷支付的銀行卡的信息。