eq论坛

 找回密码
 立即注册
查看: 54|回复: 1

如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户登陆漏洞问题?

[复制链接]

1

主题

3

帖子

13

积分

新手上路

Rank: 1

积分
13
发表于 2019-5-22 08:22:01 | 显示全部楼层 |阅读模式
相关问题: 如何看待支付宝、微信支付、QQ钱包的免密支付?  有的验证方式10白天应该是修改了,诸如选熟人、购买的物品等,之前是可以在非本机可以操作的,现…
回复

使用道具 举报

0

主题

7

帖子

22

积分

新手上路

Rank: 1

积分
22
发表于 2019-5-22 08:59:47 | 显示全部楼层

      支付宝官方回应刚刚出来。简单的说就是:支付密码(6位数字)和登录密码不同,仅仅登录无法立刻执行支付操作;收到不是本人操作的短信通知提醒应立即挂失;目前支付宝声称,仅在用户自己的手机上才能够通过识别商品和好友找回登录密码。但是,我自己亲自试验发现:1. 完全陌生人的账号找回确实不能识别商品和好友;2. 但是已经在你好友名单中的人,还是可以用这个办法找回。换句话说,你女票的手机可以用这个办法登录你的账号,不能避免熟人作案。3. 本题其它答案已经有例子显示,账户安全险可能不理赔熟人作案。针对熟人作案问题,支付宝为我提供了一个过去的案例:一位名为“星小白”的网友发文称《支付宝账户只有200余额仍被盗刷万元》,结果盗刷“星小白”账户的“黑客”正是其相识十年、准备结婚的男友林浩。林浩因盗窃罪,被判处拘役六个月,并处罚金2000元。就此问题我还在继续接触支付宝,并等待他们的后续回复。官方回应全文:我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。
      这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
      这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
      为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
      我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
      
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|eq论坛

GMT+8, 2019-6-19 02:58 , Processed in 0.053168 second(s), 18 queries .

快速回复 返回顶部 返回列表