实测支付宝密码安全：若不设“安保问题”仍会有风险

网络近日流传的一则“支付宝惊悚实验”引起广泛关注。实验者称手机丢失后，捡到手机的人可以只通一个手机验证码就轻松找回支付宝的密码，如果账号还有跟银行卡绑定，
那么
里面的资金可以被盗取。日前，央视《经济半小时》通过镜头给全国人民做了一次现场真实测试。测试发现，事实并非如实验中的描述，找回
支付宝密码需要同时验证手机校验码、身份证号和私人安全问题，过程相当繁琐，破译的可能性几乎为零。重设登录密码需要身份证验证为了证实"支付宝惊悚实验"的可信度，央视记者专程从国内最专业的网络安全公司里请来一位安全研究员，对手机丢失后可能发现情况做了全面的真实测试。研究人员假设捡到记者的手机，手机上装有支付宝钱包，
然后研究人员开始对手机里的支付宝钱包进行资金盗取。打开支付宝钱包，研究人员马上遇到支付宝钱包第一道安全屏障--图形锁定界面。支付宝钱包设有手势图形锁定功能，需要手设密码或重新登陆才能进入，研究人员既没手设密码，又不知道账户登陆密码，只能选择"忘记密码"，希望通过重设登陆密码功能进入支付宝账户。进入重设登录密码界面，第一步系统要求输入支付宝账户名和手机短信验证码，刚好记者的手机号就是账户号，而短信验证码也会发到记者这个手机上，因此就可以通过这一步。然而，进一步，系统要求研究人员输入支付宝账户主人的身份证号。这一步，研究人员没有拿到记者的身份证，支付宝的登陆密码也无法进行修改。"短信+安保问题"修改支付密码可能性几乎为零为了进一步测试，记者假定手机获得者能够得到身份证信息，在修改了登陆密码后，研究人员成功地登陆了这台手机上的支付宝。接下来，研究人员就尝试对这个账户做资金转出、转入操作了。由于研究人员不知道支付密码，
同样只能通过密码找回功能破解。支付密码找回有两种方式：一种是通过短信校验码，加上这个安保问题；另一种就是短信校验码，加上这个你存到的快捷支付的银行卡的信息。实操中研究人员选择第一种：短信校验码+安保问题。短信校验码很容易解决，验证码本身
就会发到这个本机手机上。但得到验证码之后，还要正确
填写一个安保问题，通常这个问题是手机用户自己个性化设定的，捡到手机的人不可能知道。研究人员坦言，虽然手机有丢失的风险，但风险其实可控，用户只要用户保护好自己的隐私，特别是有身份证号、银行卡号的只要保护好，并不需担心。