包丢了以后——关于支付宝资金安全的二三事

kakenhi

前言：

前些阵子，淘宝手机支付的安全问题炒的沸沸扬扬，各媒体的新闻报道，以及工作人员的辟谣，看得人云里雾里，我是向来不用手机淘宝的，当时对这方面的讯息也没有多加关注，不过用户与工作人员争论的焦点我倒是很关心，因为这种事曾经发生在我身上：手机丢了。

假如手机丢了，或者说，假如我的包丢了，那支付宝还安全吗？由于好奇心，我今天也来探索了一番。我的支付宝不知道什么时候，开通了手机登录功能，在登录界面输入手机号码和密码，便可以直接登录，我曾经尝试过取消这一功能，但需要另外一个手机号和人工审核这种复杂的流程，便放弃了。



1.
如果手机丢了，然后恰好被一个不坏好意的人捡到，当然他就知道了我们的登录用户名，也能收到淘宝发来的验证短信，假设他找了就近的一家网吧上网，打开了如下页面：



此时，他并不知道我们的密码，为了模拟更加真实的被盗情况，我使用的是新装的XP虚拟机，新装的谷歌浏览器，我的ADSL宽带也进行了重播，确认ip发生了变化。



2.

这时，让我们试试“忘记登录密码”选项吧。




淘宝告知，可以通过手机验证码的方式重设密码，我喜出望外的点进去，发现除了手机验证码以外，还需要输入身份证号码。

如果仅仅丢了一个手机，又没有在手机中留存有身份证号信息，看来坏人是无法登录支付宝的。



3.

但如果换一种想法，情况就不同了，如果手机放在包里，同时还放了一张身份证复印件，包丢了。这时，坏人便可以通过短信验证的方法，修改支付宝登录密码。

另外，我还对手机号码进行互连网搜索，甚至利用了电信网上营业厅的一证多机查询功能，尝试定位身份证号，好在我没有找到一个“猪队友”，出卖用户信息。




通过身份证号码和手机验证的方式，我成功重置了支付宝登录密码。



4.

到此时为止，我还是很放心的，因为我开通了支付宝证书，要使用转账功能，必须同时拥有我的支付密码和证书。




但为了确认，我还是尝试将金额转移到另一个支付宝账户。




淘宝告知，要进行操作，必须安装数字证书，或者、、、、、等等，这个使用短信付款是什么玩意儿？让我们点开看看！



5.



支付宝说，只要有绑定的手机，获取短信后就可以付款了！点击“获取免费短信”后，我的手机收到了这样一条讯息：

“您申请短信支付，金额1.50元，请回复XXX确认支付”

我回复XXX之后，奇迹发生了。



6.



卧槽这样就交易成功了？我书读得少你们别骗我，说好的交易密码呢？说好的证书呢？

话又说回来，我从未用过手机淘宝，这个短信支付功能，到底是什么时候开通的？

仔细一想，大约一年前，我曾经换了一个手机，那时，我还在使用淘宝的“手机宝令”动态密码功能，换手机后，便从淘宝官网，下载了一个新的宝令：https://securitycenter.alipay.com/otp/mobile/intro.htm

我第一次下载，选的是“支付宝-手机宝令”选项卡，可哪知下载回来的是一个含“手机宝令”的“手机支付宝”！当看到淘宝用户名/密码输入的对话框时，我便感到疑惑，登录以后，我才发觉自己被骗了，于是卸载了这个应用，并从官网第二个选项卡——“手机密令”处下载了正常的客户端。

可哪知，当我在“手机支付宝”中输入我的用户名密码后，支付宝中的“手机支付”选项就已神不知鬼不觉的被打开了。我为了自己的安全，使用着复杂的密码，安装了一堆淘宝浏览器插件，忍受着不太方便的付款流程，这些努力，就因为一个小小的“手机支付开关”被毁掉了，更可笑的是，我竟然在这半年中，对此事完全不知情。

“使用短信付款”，这个选项，在拥有正确的支付宝证书的电脑上，是看不到的，只有在那些没有证书的不怀好意的人的电脑上才会出现。我无意探究淘宝的程序员脑子里那些天马行空的想法，但这个选项无疑就是一个留给坏人的隐形之门。

得此教训后，我进入支付宝的“手机设置”选项卡(居然不是“安全设置”)，关闭了这一功能。



7.



关闭“手机支付”功能后，便不能使用短信付款了。

这时，必须拥有证书和交易密码才能进行转账，但是，真的是这样吗？



8.



出于好奇，我又点击了“安装数字证书”这一选项。这时才发现，这个选项在手机被盗的情况下，完全就是一个摆设，因为只要通过短信验证，便可以下载安装数字证书。

数字证书是用来证明自己身份的一个私钥，是绝对不应被公开的一组信息。如果让我来设计，用户要在两台电脑上使用同一个证书，我会教给用户导入、导出的方法，并告诫用户，证书是很私密的东西，应该使用FLASH存储设备来拷贝、导入，且务必在安装后删除。而淘宝采取的办法是，将证书保存在服务器端，手机验证通过后自动下载安装。这两种办法各有利弊，但淘宝采取的方法与我的预期不同。

我原本以为电脑里的证书能成为手机丢失后的第二道防线，但现在这个预期显然落空了。我只剩下了最后一道防线——交易密码。



9.



如果不输入交易密码便无法完成转账，那点击“忘记密码”又会怎样呢？

淘宝提供了3个选项，1、手机验证+银行卡号 2、邮箱+密保问题 3、人工服务

有手机的我们，自然选择了第一个选项。



10.




从这里可以看到，我们必须输入身份证号、银行卡号，才能重置密码。假设坏人有我的身份证复印件，银行卡号便是他必须拥有的最后一个信息。

我突然灵光一动，打开了我的短信列表，在上千条短信的最底层，找到了那个号码。

半年前，我在更换银行卡后，用短信将卡号发给了我的母亲，这个记录一直在我的发件箱中留存至今。



后记：

方便与安全不可兼得，我一直秉持这样的观点，所以在知道了手机支付宝有多么方便之后，便一直对它敬而远之，所以在淘宝使用各种手段推广手机支付后，开始担心起了自己的资金安危，而今天的事实证明了，这种担心的确不是多余的。如果保持我原来的设置，在手机丢失之后，只需知道我的身份证号码便可盗用支付宝进行付款，这根本谈不上安全。

手机验证原本是一种安全措施，用于在电脑中毒，密码被窃取的情况下保证资金安全，但当这种验证方式被赋予了过高的权限时，反而会成为一种安全隐患。如今，随着用户安全意识的提高，电脑中毒账户被盗的现象已经越来越少见，而手机丢失则是每个人都可能遇上的事情。当淘宝安全中心显示安全等级为“高”时，希望用户不要沉浸在这种虚假的安全感中，为资金安全负责的，不是淘宝，而是用户自己。


总结：如何保证资金安全？

重要：

1. 关闭支付宝“手机支付”功能。

2. 不要将存留有身份证卡号/银行卡卡号的东西与手机放在同一个包里，更不要在手机上留下这些信息。

3. 不要在网上公开你的身份证卡号/银行卡卡号，人肉搜索和数据分析可能将它们与你关联起来！

4. 如果手机丢失，尽快去营业厅挂失、停用、补办号码。


提醒：

1. 如果没有开通淘宝/支付宝手机号码快捷登录，不要开通。

2. 使用复杂的，难以被其他人联想到的支付密码。

behindofmine

手机支付非常快捷，但并不安全，看起来还是网银支付更安全。