支付寶的帳戶安全

支付寶密碼更改漏洞

2017年1月10日凌晨，某位匿名人士在微信群聲稱可更改他人支付寶密碼，且僅須手機號。

當日中午支付寶官方回應，已於上午提升風險控制安全等級。
該事件由媒體”科技先生”求證，確定可行。
以下為流程:
1.於登入介面輸入帳號並點選“忘記密碼”
2.點選“無法接收短信”
3.眾多驗證方式中選擇所知道的驗證方式(熟人驗證、朋友信息…)
4.無視舊密碼直接設定新密碼
5.直接登入帳戶(具有所有功能且免密支付)
根據”愛范兒”網站實際測試，成功率為2/3。

支付寶官方回復

回復全文:
我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。
这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。
这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。
为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。

<<支付宝安全保障规则>>:
https://cshall.alipay.com/lab/help_detail.htm?help_id=252759