第A01版:要闻
   第A02版:第一眼
   第A03版:要闻时事
   第A04版:最重点
   第A05版:晨视界
   第A06版:北京发布
   第A07版:北京民生
   第A08版:北京身边
   第A09版:休闲星榜
   第A10版:有事找晨报
   第A11版:北京拍案
   第A12版:北京现场
   第A13版:北京现场
   第A14版:国内时事
   第A15版:国内纵览
   第A16版:相对凡人
   第A18版:国际热点
   第A19版:体育新闻
   第A20版:体育新闻
   第A21版:专题
   第A22版:文娱新闻
   第A23版:文娱新闻
   第A24版:文娱新闻
   第A25版:经济新闻
   第A26版:经济新闻
   第A27版:经济新闻
   第A28版:证券投资
   第A29版:读者拍客
   第A30版:晨语
   第A31版:圆桌
   第A32版:今晨播报
   第B01版:名医坊
   第B02版:名医坊
   第B03版:名医坊
   第B04版:名医坊
   第B05版:健康周刊
   第B06版:健康关注
   第B07版:健康养生
   第B08版:健康中医
第A05版: 晨视界  上一版   下一版
    标题目录
熟人篡改支付宝密码 很难!
    《北京晨报》电子版维权胜诉
 
 
  2017年1月11日    目录导航
放大 缩小 默认  
http://www.morningpost.com.cn/             北京晨报网
熟人篡改支付宝密码 很难!
网曝支付宝新漏洞 专家称“恐慌”来自隐私保护不够

   “只要知道你支付宝里的好友,或者你最近在淘宝买了什么,就能随意更改你的支付宝登录密码。”昨日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这一瞬间似乎变成了带有“马赛克”的黑衣人,让所有支付宝使用者惴惴不安。不过,在此问题曝出之后,支付宝随即提高安全等级。但是一场安全性与便捷性平衡的话题,再度被推上了舆论的制高点。

  网曝 登录密码被疑熟人可改

  据此前媒体报道称,支付宝存在一个致命漏洞,即他人可以通过支付宝的“找回密码”重置你的支付宝登录密码,并表示“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”。

  实际上,在新设备上登录支付宝时,通常需要用户重新输入密码才能进入支付宝。不过,在输入密码时,密码框下有一个“找回密码”的按钮。点击按钮之后,支付宝提供多种找回密码的方式,除了发送手机验证码之外,还有识别最近购买的东西或识别好友、回答安全性问题等选项。而后两者则主要是在“无法收到手机短信”的前提下进行的。

  也就是说,如果别人知道最近你的购买记录、知道你的好友是谁,或者你设置的问题别人全部知道,就有可能通过这样的设定来修改支付宝的登录密码。

  回应 支付宝迅速提高安全等级

  对此,支付宝负责人向北京晨报记者回应,这一方式仅在特定情况下才会实现,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,不能完成支付。而所谓的特定条件,是支付宝会先对网络环境、账户信息完整程度等进行评估,安全系数高的情况下才会启动。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  不过,尽管对于自身安全体系信心满满,支付宝还是在昨日上午就提高了安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  进展 暂无因此失窃案例

  支付宝表示,目前暂时还未收到因此而失窃的案例。那么支付宝安全事件又是否存在足以“致命”的隐患?

  一位支付安全领域资深人士向北京晨报记者表示,如果这些信息别人都知道,的确有被盗的可能性。但他对于报道中所提及盗用数据有所质疑,他认为这还需要进一步的论证才能评判。“从以往的盗刷案件来讲,实行诈骗的往往会隐匿身份,熟人诈骗的可能性相对较低。”

  在他看来,这样的问题是否“致命”,也要看在登录后是否拥有动用资金的权限。也就是说,如果登录之后可以大规模挪用资金,那么其安全风险就相当巨大。

  对此支付宝表示,支付宝有两套密码体系,找回登录密码并不意味着能够找回支付密码。而在新设备登录后,即便是小额免密环节,也需要重新输入支付密码才能够继续使用。

  分析 隐私保护不够致恐慌

  既然并非是“致命”漏洞,为何还会引起如此巨大的社会关注?

  支付安全领域资深人士表示,这可能源于原本“一对一”的认证信息被泛化了,所以引发了用户的不安。“比如密码或者手机验证信息,只有用户知道。但你购买了什么东西,或者你的好友有谁,很可能在不经意间将信息共享给了别人。”该资深人士解释道,知道答案的人不唯一,就出现了上述问题。

  不过,在上海交通大学密码与计算机安全实验室主任谷大武看来,支付安全应该是“安全”与“隐私”并重,但往往在当下用户对于后者并不重视。“中国用户对于自己消费信息等隐私的保护不够,也造成了当下的恐慌。”

  谷大武认为,其实这也是安全性与便捷性平衡的问题。支付安全与便捷性是矛盾的,一味追求安全,则可能导致在真实场景下不可用;但便捷性则可能会让安全性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。

  ■链接

  3年前数据还在黑市交易

  网络账户的安全挑战来自于多个方面。比如,平台本身设计存在漏洞,黑客攻击,甚至安全软件“监守自盗”等。

  针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,很多互联网公司都与警方建立了长效的合作机制。然而,数据被不断地在黑市交易,让账户风险阴魂不散。

  “不管什么原因,信息一旦泄露,就像撕开了一个口子。进入地下黑色产业链后,更可能被多次贩卖。也就是说三四年前泄露的数据,可能现在还在卖。”一位电商人士向记者表示。

  在大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户将虚拟币转走,或将QQ号倒卖。第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止,才会将数据出售。

  在“黑市”,用户的数据被“明码标价”。据媒体报道,比如12G的数据包价格从“10万到70万”不等,每位用户的个人敏感信息平均只值1分钱。

  提醒

  遇到泄露的情况要立即修改账号密码;

  支付账号、社交账号、常用邮箱、网络购物这些网站要单独设置密码;

  不要在不常用的、安全系数较低的网站设置与自己主要网站账号相同的密码;

  接到陌生人或者客服电话不要轻信;

  每隔三个月就要对密码进行一次修改,防止黑客撞库等。

  ■记者手记

  纠结“证明我是我”

  不如完善追回机制

  网上对于支付宝安全性的质疑,说得高端一些是“认证核实”的问题,但说通俗一些,又是那个老生常谈的“如何证明我是我”的问题,只不过这次是在网上。

  其实,这在互联网金融安全领域而言是个难题:在信息泄露严重的时代,在线下都很难证明的事情,搬到网上去证明,难度可想而知。但这又是个不得不做的事情,毕竟真实“忘记密码”的需求还是存在的。

  诚如谷大武所言,支付安全与便捷性是天生矛盾的。在当下,除了运用可信的第三方(如通过电信公司发送短信验证码)之外,似乎并没有太多技术可用。当然,谷大武也表示,如果未来电子身份证得以普及,可能将是解决这个问题的钥匙,但这是后话。

  其实与其纠结如何在网络上证明“我就是我”,不如转换一种思路。实际上,放眼海外,很多人使用信用卡并不设置密码。当然,银行卡现在以IC卡芯片为主,其不可复制性自身就已经在事前形成一道安全壁垒。但如果发生盗刷,其事后完善的追回机制,也让持卡人更加放心地使用。

  如果放在互联网支付时代,这无疑是个极好的事例。在一笔交易发生前,现在已经拥有了密码等安全措施作为保障。而交易过程中,互联网平台是否能够及时监控风险和异常,比如银联在免密时设置了“商铺白名单”,从而阻绝可能发生的盗刷情况;交易结束后,如果发生盗刷情况,是否有完备的追回机制和赔偿手段,比如说支付宝的盗刷险等,都能够促进消费者对于安全的认可。

  所以笔者认为,在网上解决“证明我是我”的问题,不仅需要金融基础设施建设的进一步加快,也需要支付企业真正形成可行优质的事前、事中、事后可追溯的机制,才能更好地解决安全与便捷性之间的问题。

  本版撰文 北京晨报记者 姜樊 刘映花

 


 
版权所有 北京晨报 1998 - 2013 本网站所有内容属北京晨报所有,未经许可不得转载。
合作伙伴
Copyright 1998 - 2013 all rights reserved