非技术层面讨论支付宝账户双层密码的安全问题

文/Leon@BPQN

对待与钱相关的网站如网银、支付宝应当非常谨慎,而支付宝值得你慎之又慎:重置网银密码必须凭身份证到到柜台办理,支付宝则可以通过多种途径在网上自助完成。便利带来风险。

支付宝有双层密码,第一层是登录密码。找回登录密码必须先输入账户名,账户名是邮箱或手机号码

下一步是选择找回登录密码的方式:

第二层密码是支付密码。

 

从上面的图我们可以得出以下结论:

1.身份证照片至关重要!因为他只需要知道你的支付宝账户名(其实也没那么容易知道,因此要提防熟人作案啊),就可以重置你的登录密码和支付密码。

解决对策:不要让任何人得到你的身份证照片,不要在网上轻易上传身份证照片。不要使用QQ邮箱作为支付宝账户名,QQ号容易被盗取,与此关联的QQ邮箱也受到株连。黑客盗号之后查看邮件历史就足够判断此邮箱是否作为支付宝账户使用,万一你邮箱里存着身份证照片呢?因此墙裂建议申请一个Gmail或者outlook作为专用邮箱,安全性方面老外做的很好,这一点你一定要相信老外而非网易或腾讯。

2.手机号码至关重要!如果别人获得了你支付宝绑定手机号的控制权(偷窃、捡到、趁你不备等方式),同时你设置了可以使用手机号码登录支付宝,那么他就可以修改你的登录密码。如果又知道你的身份证号码,他就可以修改你的支付密码。怎么才能知道你的身份证号码?短信里有可能存着,相册有可能有身份证照片,坏人甚至可以向你的通讯录群发“手上闲置几张话费充值卡,现在展开“个人在朋友心目中的地位”大调查,谁记得我身份证号,第一个回复赠送300元话费,第二个回复的赠送200元话费……” 那个拿你身份证号注册防沉迷系统的猥琐好基友可能会立即回复哦!然后流着哈喇子找你要话费……如果你的QQ或者其他什么帐号可以通过此手机号找回密码,那坏人又获得一个巨大的信息源。

解决对策:把“使用手机号码登录支付宝”选项关闭(这个漏洞我向支付宝客服反映过,不知现在是否已解决),保管好你的手机,多交一些智商比较高的朋友。

3.别人借用你的电脑,你的电脑上肯定安装了支付宝数字证书,登录页面肯定记住了你的账户名,私人电脑上邮箱很可能是自动登录吧?电脑文件里总存身份证照了吧?没有?那英语四六级证书扫描件有吧?大学毕业证书扫描件有吧?对,那上面也有身份证号。

解决对策:别人借用电脑要谨慎。当然更要防范你电脑的丢失,不过万一丢了,你第一个担心的肯定不是支付宝的安全问题,而是自己会不会一下子在网上火起来?